El sistema de chip y PIN empleados por la mayoría de bancos Europeos y Asiáticos es definitivamente más seguro que la banda magnética, sin embargo sigue habiendo algunos defectos.

Es posible utilizarlo vía cámaras en cajeros ATM o POS que registran los números de PIN a medida que son introducidos por los propietarios de las tarjetas, aunque también hay otras maneras de hacerlo.

El equipo de investigadores de la Universidad de Cambridge ha descubierto recientemente que hay una falla en la forma en que los algoritmos generan un numero único por cada transacción ATM o POS que se implementa, esto hace posible que los atacantes autoricen transacciones ilegales sin tener que clonar las tarjetas de los clientes.

"El numero único (UN) parece consistir en un valor fijo de 17 bits y 15 bits de las bajas son simplemente un contador que se incrementa cada pocos milisegundos repitiendo el ciclo cada 3 minutos", descubrieron.

"Nos preguntamos si el 'número impredecible' generado por un cajero automático (ATM) es de hecho predecible, esto puede crear la oportunidad de un ataque en el que un criminal con acceso temporal a una tarjeta (por ejemplo en una tienda bajo control de la mafia) se pueden calcular los códigos de autorización necesarios para sacar dinero del cajero automático en algún momento en el futuro gracias a que el valor del UN se ha predecido".

Su investigación los llevó a concluir que el número en cuestión es predecible y que ese ataque "pre-play", aunque no es tan fácil de ejecutar y que posee ciertas limitaciones, es posible y viable en la práctica a través de una serie de implementaciones que incluyen infectar con malware a los cajeros automáticos (ATM), suministrar ataques en cadena, recorte de terminal, modificación del UN en la red y la cooperación de un proveedor.

Ciertos bancos, dispositivos de pago y los principales proveedores de tarjetas de crédito han sido informados de la vulnerabilidad, pero la mayoría se negó a comentar oficialmente sobre los resultados.

"Hemos recibido algunas respuestas informales: el alcance y la magnitud del problema fue una sorpresa para algunos, mientras que otros indicaron que ya estaban sospechando de la seguridad de los números impredecibles o incluso dijeron que otros habían sido explícitamente conscientes del problema por años.  Si estas afirmaciones son ciertas, son una prueba más de que los bancos suprimen sistemáticamente la información acerca de las vulnerabilidades conocidas, mientras que a las víctimas de fraude se les continúa negando reembolsos", señalan los investigadores en el documento (PDF) que detalla el fallo y los atentados.  

"Encontramos fallas que son utilizadas ampliamente en cajeros automáticos de los principales fabricantes. Ahora podemos explicar al menos parte del creciente número de fraudes en los que se les negó a las víctimas reembolsos por parte de los bancos que afirman que las tarjetas EMV no se pueden clonar y que un cliente involucrado en un disputa puede ser causa de un error o de complicidad".