• Tweet

Investigadores de la Universidad de Cambridge han publicado los resultados del éxito obtenido tras los intentos de obtener un número de identificación personal (PIN) y datos de la tarjeta de crédito de terminales de chip y PIN.

Los dispositivos de entrada de PIN (PED) Ingenico i3300 y Verifone Dione Xtreme utilizados por los investigadores del laboratorio de cómputo de la universidad usan mecanismos para evitar que los piratas informáticos accedan a la delicada tarjeta y puedan leer su PIN con el fin de lograr realizar comunicaciones y pagos no autorizados con tarjeta.

Sin embargo, el documento publicado hoy con el nombre "Thinking inside the box: system-level failures of tamper proofing" dice: "Lo que debería haber requerido $ 25,000 dólares solo necesita un clip doblado, una aguja, un cable corto y algunas ideas creativas; agregándolos a la línea de datos, esto tomaáa tan solo algunos minutos con la práctica. "

Mediante la explotación en los puntos de acceso de usuarios en el dispositivo de Ingenico para el cambio de las tarjetas SIM, los investigadores Saar Drimer y Steven Murdoch, supervisados por el profesor Ross Anderson, pudieron acceder a la línea no encriptada de la interfaz entre el PED y el chip de tarjeta inteligente. Y, aunque ambos tienen un interruptor a prueba de manipulaciones, esto fue esquivado en el Dione Xtreme por un pequeño agujero en una cinta plana del zócalo conector en la parte trasera del dispositivo.

Un clip de papel estaba conectado a la línea de datos, para actuar como un conductor conectado a una tarjeta lógica con un arreglo de compuertas programables en campo (FPGA) para traducir y transmitir los datos a una computadora portátil.

Visa ha certificado a los dos dispositivos como seguros, utilizando criterios como que toma 10 horas insertar cualquier bug para robar PINs. Pero los investigadores dijeron que la investigación demuestra que los procesos de diseño y certificación de PEDs y otros dispositivos de entrada de datos seguros, como las máquinas de votación y los sistemas de registros médicos electrónicos son defectuosos.

"El método identificado por la Universidad de Cambridge requiere conocimientos especializados y tiene dificultades técnicas inherentes. Este método es, por tanto, no reproducible en gran escala, ni tampoco toma en cuenta la vigilancia antifraude utilizada en la industria", dijo el fabricnate a través de un comunicado.

Esto fue respaldado por Apacs, cuya directora de comunicación de TI Sandra Quinn dijo a ITPRO que, aunque la investigación demostró que el hack fue técnicamente viable, no es noticia para la asociación británica de pagos, ni representó ningún paso en la violación de la integridad del chip o de un PIN. "Es la banda magnética de los datos la cual está registrada y usada para fabricar falsas tarjetas de captura junto con PIN, en general, a través de cámaras oscuras", dijo.

Cameron Olsen, vicepresidente de desarrollo de negocio para el fabricante de software de tarjetas inteligentes, Smart Technology Solutions (STS) dijo que la falla no radica en los PED, sino en los estándares de datos utilizados para almacenar datos en la tira magnética de las tarjetas.

Dijo que el gran error con las tarjetas en este momento es el hecho de que utilizan bandas magnéticas. "Esta tecnología es extremadamente insegura y es necesario que haya un fuerte impulso para acabar con esta tecnología. Los casos de fraude remarcados en la investigación es muy probable que sean ocasionados por la banda magnética y el que se refiere al chip es casi 100 por ciento probable que haya por medio de la banda magnética, donde el chip fue dañado.

"De eso no hay pruebas, se dice que la tecnología de chip ha sido agrietada", agregó Olson. "Sí, el Reino Unido hace uso de datos de autenticación utilizando Autenticación de Datos Estática (SDA, por sus siglas en inglés), sin embargo habrá un avance hacia la autenticación dinámica de datos (DDA), en algún momento, lo cual logrará una mayor seguridad. Los bancos del Reino Unido están ahora pagando el precio de ir con SDA en lugar de las tarjetas de DDA cuando fueron implantando chip y PIN. "

Tanto Olsen como Quinn dijeron que todas las tarjetas emiticas en el Reino Unido después del 1 de enero de 2008 incluyen un valor de verificación de tarjeta de circuito integrado (iCVV), lo que significa que si una de estas tarjetas fuera comprometida y una tarjeta falsa de banda magnética se creó a través de un compromiso de este tipo sería ineficaz en los cajeros automáticos, e incluso tampoco en algunos establecimientos.

Verifone no ha respondido a la solicitud de una entrevista para esclarecer esta información, hasta el momento de escribir este documento.