• Tweet

El organismo que supervisa la tecnología de las tarjetas de pago basados en chip investiga la seguridad de chip-PIN, a raíz de las reclamaciones de que el protocolo ha sido roto.

El organismo de especificaciones, EMVCo, dijo que analizará un documento elaborado por investigadores de la Universidad de Cambridge, quienes demostraron un ataque con una tarjeta de pago válida que no requería un PIN válido para ingresar y completar una transacción.

EMVCo, propiedad de American Express, JCB, MasterCard y Visa, dijo que las compañías de tarjetas de crédito y débito también examinarán el documento.

“EMVCo conducirá su propio análisis y obtendrá sus propias conclusiones”, dijo la organización el miércoles. “Los sistemas de pago harán lo mismo”.

La semana pasada, investigadores de la Universidad de Cambridge, dijeron que habían encontrado una falla fundamental en EMV, el protocolo base de los pagos de chip-PIN. El fallo les había permitido construir un dispositivo que modificara e interceptara las comunicaciones entre una tarjeta y terminales de punto de venta, y engañar a la terminal a aceptar que una verificación de PIN había tenido éxito.

MasterCard confirmó que trabajaría con la tarjeta de otros proveedores de pago para revisar la seguridad relacionada con chip-PIN, pero dijo que esto era parte de un proceso continuo.

“El estándar EMV está en constante revisión por MasterCard y muchos otros participantes de la industria para asegurarse que evoluciona para satisfacer las necesidades de los productos emergentes”, dijo MasterCard. “Estos esfuerzos incluyen una revisión frecuente y regular de seguridad para asegurarse de que se están utilizando los últimos y prácticos mecanismos.”

Ross Anderson, profesor de la Universidad de Cambridge, quien dirigió la investigación del chip-PIN, dijo que no habría ninguna solución fácil para el protocolo.

"Hay mucho desacuerdo acerca de las medidas [efectivas] de la industria para corregir la vulnerabilidad", dijo Anderson. "Si nos fijamos en nuestra entrada en el blog [a conocer la vulnerabilidad], un número significativo de personas que afirman ser expertos en la industria están en desacuerdo."

Una de las afirmaciones de los investigadores en su artículo, chip-PIN se rompe, es que el consumidor podría asumir el costo de una transacción con tarjeta fraudulenta si los registros muestran que el PIN se había introducido en una terminal.

Sin embargo, la Administración de Pagos de Reino Unido, que actúa en calidad de asesor a los proveedores de tarjetas de pago, sostuvo que el ataque fue detectado, y dijo que sería posible de establecer si el consumidor ha sido responsable, o si el fraude había ocurrido.

"La firma forense del ataque puede ser vista si uno examina tres elementos de datos presentes en la solicitud de una autorización y tanto en el registro de pago posterior recibida por el emisor de la tarjeta", dijo la organización.

En el ataque descrito por los investigadores - conocido como "ataque en cuña "- la terminal es engañada por un dispositivo insertado a la mitad del proceso de verificación de pago. Como resultado, la terminal cree que un PIN ha sido verificado por la tarjeta. Sin embargo, la terminal no registra que un PIN válido fue introducido, sólo que el PIN no era necesaria, y la transacción se clasifica como una verificación de firma o fuera de línea. En ese caso, la responsabilidad por la pérdida no recaería en los clientes, dijo el departamento de Pagos del Reino Unido.

En respuesta a los comentarios de pagos del Reino Unido, Anderson dijo que, en la práctica, los bancos todavía podrían argumentar que los clientes son los responsables. Se refirió a una controversia jurídica entre los clientes de Halifax Alain Job y su banco, en el que Job afirmaba que Halifax había destruido los registros de datos de autenticación en las transacciones en disputa.

Anderson dijo que en el escenario presentado por el Departamento de Pagos del Reino Unido, el fraude se detectó sólo después del hecho y no durante el proceso. Añadió que los sistemas de detección de fraude no parecían ser automáticos, dejando la responsabilidad en el cliente para solicitar un análisis forense de sus operaciones si se sospecha que se había producido un fraude.

En el caso de la investigación de Cambridge, en el que uno de los equipos utilizó su propia tarjeta del banco de Halifax para realizar una transacción sin un PIN, el investigador no había sido alertado de la operación por su banco, según Anderson.

"El punto es, el fraude no se ha detectado", dijo Anderson. "Halifax fue una de las cartas que se utilizaron, y el banco aún no ha recogido los hechos de esas operaciones".

Anderson dijo que es posible para los bancos crear software para detener el ataque descrito por su equipo de investigación. Sería necesario comparar las diferentes partes del proceso de transacción para ver si los medios de autenticación son robustos, añadió.