• Tweet

Los comentarios anónimos de los científicos de computación de la Universidad de Cambridge realizan investigaciones sobre las debilidades de seguridad con Chip y PIN (Número de Identificación Personal), estas se remontan a un grupo de trabajadores de la industria bancaria, que actuaron sin el permiso de sus jefes.

Un comentador realizó una investigación que demostró cómo podría ser posible hacer una transaccion autorizada con plásticos robados sin conocer el PIN, siempre y cuando la tarjeta no haya sido cancelada. El man-in-the-middle explota las deficiencias de seguridad en (Eurocard Mastercard Visa) los pagos con tarjetas inteligente, o no, de acuerdo con el commentador

El ataque nunca fue ejecutado con éxito. Para tener éxito, había que hacer frente a una tarjeta que se reporto como perdida o robada. ¡En ninguna parte del reporte se informa si las tarjetas se resportaron como perdidas o robadas! Todo los que han hecho es demostrar que una verdadera tarjeta puede ser procesada con CVR (cockpit voice recorder), y la configuración de TVR, son apenas pruebas convincentes.

En cuanto a la tecnología utilizada. No es grande y ciertamente no es inteligente. Para los graduados de post doctorado de Cambridge uno habria esperado que más de un estudiante de ingeniería electrónica de primer año podría alcanzarlo.Podemos tener algún sentido de la investigación en seguridad en lugar de esta opinión alarmista.

Los comentarios en la Universidad de Cambridge se mencionan en el blog de Light Blue Touchpaper, donde se menciona rápidamente que esto se remonta a una máquina mediante una dirección IP asignada a APACS, el sector bancario de Reino Unido, asociación cuyo trabajo es el ámbito de la seguridad de las tarjetas, esto se convirtió en la labor de la Asociación de Tarjetas de Reino Unido el verano pasado. El profesor Anderson, líder del equipo de Cambridge, señaló con ironía que la persona que hizo el comentario no fue muy bueno en el anonimato.

"La dirección IP es utilizada por Scrutineer para publicar y estar registrado en APACS (también conocido como la Asociación de Tarjetas de Reino Unido)", escribió Steve Murdoch, otro miembro del equipo. "También menciono que APACS utiliza un proxy para su conexión a internet."

Scrutineer respondio a estos puestos de gotcha con una respuesta más mesurada, que dejó de lado la cuestión de para quién trabajabas, y elogió el trabajo del equipo de Cambridge sobre las deficiencias de seguridad de la EMV, mencionando lo siguiente:

Mi objetivo, que probablemente falló, fue tratar de fomentar un debate más amplio sobre el tipo de cuestiones planteadas en esta valiosa investigación. Permítanme decir una vez más, sin embargo, se que se trata de una valiosa investigación, porque no sólo existen investigaciones de vulnerabilidades. Es importante y difícil, y me gustaría sugerirlo a todos los investigadores. El punto que estaba haciendo en el debate es que todos tenemos derecho a nuestras evaluaciones diferentes de la importancia de los resultados de las vulnerabilidades.

Marcos, lector de el Reg., quien trajo el tema a nuestra atención, lo describió como aparente "astro-turfing", la práctica de presentar una opinión empresarial como una campaña de base.

Una portavoz de la Asociación de Tarjetas del Reino Unido mencionó que los puestos del personal de Internet violaron las directrices de uso.

"Tenemos una política muy clara sobre el personal enviando sus comentarios a los blogs/grupos de noticias y como tal, esta se ha convertido en una cuestión de disciplina", dijo.

"La industria rechaza enérgicamente la acusación formulada en Newsnight y en la Universidad de Cambrige para Chip y PIN ", dijo. "Nosotros no aceptamos la afirmación de que el protocolo grave una de las más exitosas luchas contra las iniciativas de fraude que son fatalmente defectuosas."

"Chip y PIN han sido el factor principal detrás de un 66 por ciento de disminución de fraude en el punto de venta minorista del Reino Unido desde 2004", agregó.

La declaración continúa diciendo: "Ni el sector bancario ni la policía tiene pruebas de que los delincuentes tienen la capacidad de desplegar tales ataques sofisticados".