• Tweet

Verificado por Visa y SecureCode "fatalmente defectuoso", dijeron los expertos de la Universidad de Cambridge.

Los investigadores de la Universidad de Cambridge han lanzado un ataque fulminante sobre el protocolo 3-D Secure utilizado por Visa y MasterCard para autenticar a los clientes en línea, calificándolo de "un ejemplo clásico de cómo no hay que diseñar un protocolo de autenticación".

En una nueva investigación titulada "Código Seguro verificado por Visa y MasterCard: o, ¿Cómo no hacer un diseño de autenticación-" ("Verified by Visa and MasterCard SecureCode: or, How Not to Design Authentication"), Steven Murdoch y Ross Anderson sostienen que el 3-D Secure se ha vuelto popular porque "tiene el derecho de la economía", en lugar de ser más seguro que sus rivales menos populares, tales como OpenID, InfoCard y Liberty.

La investigación sostiene que el protocolo a menudo confunde a los usuarios, ejecutándose de manera contraria a los avisos tradicionales sobre las credenciales para ingresar sólo en sitios garantizados por Transport Layer Security, que navegadores como Internet Explorer 8 reconoce desplegando una barra de dirección verde.

“Debido a que el 3-D Secure es un iframe o un pop-up sin barra de direcciones, no hay una manera fácil para que el cliente verifique que está pidiendo la contraseña. Esto no solo hace que los ataques contra 3-D Secure sean más fáciles, sino que debilita otras iniciativas anti-phishing contradiciendo el previo aviso”, se reporta.

La confianza del cliente puede verse aún más perjudicada por el proceso de registro, que a menudo se completa durante una transacción comercial y solicita detalles personales tales como fecha de nacimiento.

"Desde la perspectiva del cliente, un sitio web de compra en línea está solicitando datos personales. Esto debilita aún más el uso de los clientes, la seguridad y la experiencia de confianza. Y está siendo explotado por los delincuentes como sitios web phishing suplantando el formulario ADS para solicitar datos bancarios", indicó el informe.

Algunos bancos también han utilizado el sistema 3-D Secure para responsabilizar injustamente al cliente de pérdidas por fraude.

Murdoch y Anderson advierten que el sistema probablemente con el tiempo sea débil para ataques man-in-the-middle y para el continuo crecimiento y sofisticación del malware, y que el centro de atención no debe ser sobre un inicio de sesión en el sistema sino en la "autenticación de la transacción".

"A largo plazo tenemos que avanzar a un dispositivo confiable de pago", concluyó el informe.

"En lugar de gastar $10 dólares (6,15 euros) por cliente para emitir un chip de autenticación con un programa calculador (como los dispositivos de Barclays" PinSentry), los bancos deberían gastar $20 dólares (12,30 euros) para la expedición de un dispositivo similar pero con una interfaz USB y una muestra de confianza. "