• Tweet

Cientos de millones de tarjetas de pago a lo largo y ancho de Europa tienen una falla que podría permitir a criminales con una tarjeta robada introducir un PIN aleatorio para completar la transacción, de acuerdo a investigadores de la Universidad de Cambridge.

Los hallazgos, que serán presentados en el Simposium de Seguridad y Privacidad del IEEE en California, en mayo, crean nuevas dudas sobre las tarjetas de tipo PIN-y-chip y EMV. Las tarjetas contienen un microchip que verifica que el PIN introducido para concluir la transacción sea correcto.

Los bancos europeos destacan el sistema como más seguro, ya que las tarjetas de los Estados Unidos no tienen dicho microchip, que hasta ahora ha prevenido algunos tipos de clonado de tarjetas.

Pero los investigadores de Cambridge han encontrado una vulnerabilidad en el complicado protocolo EMV que permite ataques de "hombre en el medio". Esencialmente, engaña a la terminal de punto de venta y le hace creer que ha recibido un PIN correcto sin importar los dígitos introducidos.

La tarjeta piensa que la transacción fue autorizada por una firma. En algunas instancias, las terminales de punto de venta pueden tener problemas al conectarse al banco emisor, pero permiten la transacción si esta fue autorizada por una firma.

El ataque requiere alto nivel de conocimiento del sistema de PIN-y-chip y algún hardware externo, como demostraron los investigadores en el programa "Newsnight" de la BBC el jueves pasado.

Sin embargo, "esta falla es realmente importante", dijo Ross Anderson, profesor de ingeniería en seguridad, en Newsnight.

En el programa, el colega de Anderson, Saar Drimer, ilustra el ataque en la cafetería de la Universidad de Cambridge. Portando una mochila que contiene una computadora portátil y un FPGA (Field Programmable Gate Array, un tipo de tarjeta programable), el investigador inserta una tarjeta falsa en el dispositivo de punto de venta, la cual está conectada a la tarjeta robada.

Para la demostración, los investigadores utilizaron una tarjeta de HSBC, una de la tienda departamental John Lewis, y tarjetas de débito de Barclays y The Cooperative Bank. Se puede observar a Drimer insertando calmadamente la tarjeta flasa - que tiene un cable saliéndole - a la terminal de punto de venta. La transacción se autoriza a pesar de que Drimer introduce un PIN incorrecto, "0000".

La industria de la banca fue informada hace dos meses de la vulnerabilidad por los investigadores. HSBC y Barclays comentaron a través de U.K. Payments, una asociación de banca del Reino Unido.

"Nunca dijimos que el sistema chip-y-PIN fuera completamente infalible", dijo una portavoz el viernes. "Creemos firmemente que el ataque no es viable en un ambiente de producción. Han creado una forma muy rebuscada de cometer este fraude."

Los investigadores de Cambridge han sido muy críticos en el pasado del esquema chip-y-PIN, encontrando numerosos problemas técnicos con las especificaciones y criticando la falta de transparencia bajo la que se desarrollo.

Afirman que esto es problemático ya que los bancos tienden a culpar a los clientes por pérdidas en transacciones en las que se utilizó el PIN, aún si los clientes indican que nadie más conocía el PIN.

"Hasta ahora, los bancos se han rehusado a reembolsar a las víctimas, porque aifrman que una tarjeta no puede ser utilizada sin el PIN correcto", de acuerdo a su investigación publicada como "Chip and PIN is Broken" ("Chip-y-PIN está descompuesto"). "Esta investigación muestra que sus afirmaciones son falsas."

Alrededor de 730 millones de tarjetas chip-y-PIN son utilizadas a nivel mundial. La mayoría de los países europeos utilizan las tarjetas, y también están siendo introducidas a Canada y discutidas en los Estados Unidos.

Además de Drimer y Anderson, la investigación fue realizada por Steven J. Murdoch y Mike Bond. Más información está disponible en el blog de Light Blue Touchpaper.