¿Es segura tu tarjeta con chip? Depende de dónde la utilices
Las tarjetas de crédito y débito con chip están diseñadas para que no sea factible que dispositivos de rastreo o malware clone tu tarjeta. En teoría, estás no pueden ser clonadas cuando pagas por algo, porque colocas el chip en lugar de deslizar la banda.
No obstante, una serie reciente de ataques de malware contra comerciantes en Estados Unidos sugiere que los ladrones están explotando las vulnerabilidades. Se están aprovechando de la forma en que ciertas instituciones financieras han implementado la tecnología. Esto para eludir las características de seguridad de las tarjetas con chip y crear tarjetas falsificadas utilizables de manera efectiva.
¿Cómo funcionan las tarjetas?
Las tarjetas de pago tradicionales codifican los datos de la cuenta del titular de la tarjeta en texto sin formato en una banda magnética. Esta información se puede leer y registrar mediante dispositivos de rastreo (skimming) o software malicioso instalado subrepticiamente en terminales de pago. Luego, esos datos pueden codificarse en cualquier otra cosa con una banda magnética y usarse para realizar transacciones fraudulentas.
Las tarjetas con chip más nuevas emplean una tecnología conocida como EMV que cifra los datos de la cuenta almacenados en el chip. La tecnología hace que se genere una clave de cifrado única, denominada token o “criptograma”. Esto ocurre cada vez que la tarjeta con chip interactúa con una terminal de pago con capacidad para chip.
Prácticamente todas las tarjetas con chip todavía tienen muchos de los mismos datos almacenados en el chip codificado en una banda magnética. Lo tienen en la parte posterior de la tarjeta. Esto se debe principalmente a razones de compatibilidad con versiones anteriores. La razón es que muchos comerciantes aún no han implementado completamente los lectores de tarjetas con chip. Esta funcionalidad dual también permite a los titulares de tarjetas deslizar la banda. Lo hacen si por alguna razón el chip de la tarjeta o la terminal habilitada para EMV de un comerciante no funciona correctamente.
Pero existen diferencias importantes entre los datos del titular de la tarjeta almacenados en chips EMV y los de las bandas magnéticas. Uno de ellos es un componente en el chip conocido como valor de verificación de tarjeta de circuito integrado o “iCVV” para abreviar. También conocido como “CVV dinámico“.
Diferencias entre iCVV y CVV
El iCVV difiere del valor de verificación de la tarjeta (CVV) almacenado en la banda magnética física. El iCVV protege contra la copia de datos de banda magnética del chip y del uso de datos para crear tarjetas de banda magnética falsificadas.
Los valores de iCVV y CVV no deben confundirse. No están relacionados con el código de seguridad de tres dígitos que está visiblemente impreso en el reverso de una tarjeta. Eso tres dígitos se utilizan principalmente para transacciones de comercio electrónico o para la verificación de la tarjeta por teléfono.
El atractivo del enfoque EMV es que es casi infalible a fraudes. Si un skimmer o malware logra interceptar la información de la transacción cuando se usa una tarjeta con chip, estarás protegido. Los datos solo son válidos para esa transacción y no deben permitir que los ladrones realicen pagos fraudulentos en el futuro.
Sin embargo, para que funcionen las protecciones de seguridad de EMV deben cumplirse ciertas acciones. Se supone que los sistemas de back-end implementados por las instituciones financieras emisoras de tarjetas verifican el uso. Es decir, cuando se introduce una tarjeta con chip en un lector de chip, solo se presenta el iCVV; y viceversa. Es decir que solo se presenta el CVV cuando se pasa la tarjeta. Si de alguna manera estos no coinciden para un tipo de transacción determinado, se supone que la institución financiera rechazará la transacción.
El problema es que no todas las instituciones financieras han configurado correctamente sus sistemas de esta manera. Como era de esperar, los ladrones han conocido esta vulnerabilidad durante años. En 2017, hablamos sobre la creciente prevalencia de los “shimmers“. Estos son dispositivos de lectura de tarjetas de alta tecnología diseñados para interceptar datos de transacciones con tarjetas con chip.
Incidentes recientes
Más recientemente, los investigadores de Cyber R&D Labs publicaron un artículo. Ahí detallan cómo probaron 11 implementaciones de tarjetas con chip de 10 bancos diferentes en Europa y Estados Unidos. Ellos descubrieron que podían obtener datos de cuatro de ellos y crear tarjetas de banda magnética clonadas que se utilizaron con éxito para colocar transacciones.
Existen fuertes indicios de que el malware de punto de venta (POS) está utilizando el mismo método detallado por Cyber R&D Labs. Lo usan para capturar datos de transacciones EMV que luego pueden revenderse y usarse para fabricar copias de bandas magnéticas de tarjetas basadas en chip.
Alerta de Visa
Hace un par de meses, Visa, la red de tarjetas de pago más grande del mundo, lanzó una alerta de seguridad. El aviso alertaba con respecto a un incidente comercial reciente. En el incidente las familias conocidas de malware POS aparentemente fueron modificadas para apuntar a terminales POS con chip EMV.
“La implementación de tecnología de aceptación segura, como EMV® Chip, redujo significativamente la usabilidad de los datos por parte de los actores de amenazas. Esto porque los datos disponibles solo incluían el número de cuenta personal (PAN), y el valor de verificación de la tarjeta de circuito integrado (iCVV). Asimismo, la fecha de vencimiento”, Escribió Visa.
“Por lo tanto, siempre que el iCVV esté validado correctamente, el riesgo de fraude por falsificación es mínimo. Además, muchas de las ubicaciones de los comerciantes emplearon cifrado punto a punto (P2PE). Este cifró los datos PAN y redujo aún más el riesgo de las cuentas de pago procesadas como EMV® Chip”.
Cadena de restaurantes afectada
Visa no nombró al comerciante en cuestión, pero algo similar parece haber sucedido en Key Food Stores Co-Operative Inc. Key Food es una cadena de supermercados en el noreste de Estados Unidos.
Key Food inicialmente reveló una infracción de tarjetas en marzo de 2020. No obstante, hace dos semanas actualizó su aviso para aclarar que los datos de transacciones de EMV también fueron interceptados.
“Los dispositivos POS en las ubicaciones de las tiendas involucradas estaban habilitados para EMV”, explicó Key Food. “Para las transacciones EMV en estas ubicaciones, creemos que el malware solo habría encontrado el número de tarjeta y la fecha de vencimiento. Pero no el nombre del titular de la tarjeta ni el código de verificación interno”.
La declaración de Key Food puede ser técnicamente precisa. No obstante, pasa por alto la realidad de que los estafadores aún podrían utilizar los datos de EMV robados. Los podrían utilizar para crear versiones de banda magnética de las tarjetas EMV presentadas en los registros de las tiendas comprometidas. Esto en los casos en que el banco emisor de la tarjeta no haya implementado EMV correctamente.
La firma de inteligencia contra el fraude Gemini Advisory publicó un informesobre compromisos comerciales recientes. Ahí incluyen a Key Food, en el que los datos de transacciones de EMV fueron robados. Los datos terminaron a la venta en tiendas clandestinas que recibe a ladrones de tarjetas.
“Las tarjetas de pago robadas durante esta infracción se pusieron a la venta en la web oscura“, explicó Gemini. “Poco después de descubrir esta infracción, varias instituciones financieras confirmaron que las tarjetas comprometidas en esta infracción se procesaron todas como EMV. Estas no se basaron en la banda magnética como alternativa”.
Otros incidentes
Gemini dice que ha verificado que otra infracción reciente, en una licorería en Georgia tuvo un desenlace similar. Resultó en que los datos de transacciones EMV comprometidos aparecieron a la venta en tiendas de la dark web que venden datos de tarjetas robadas. Como han señalado tanto Gemini como Visa, en ambos casos la verificación adecuada de iCVV por parte de los bancos tendrían que ser el filtro. Deberían hacer que estos datos EMV interceptados sean inútiles para los delincuentes.
Gemini determinó que, debido a la gran cantidad de tiendas afectadas, es extremadamente improbable que los ladrones involucrados en estas infracciones interceptaran los datos de EMV utilizando shimmers de tarjetas EMV instalados físicamente.
“Dada la extrema impracticabilidad de esta táctica, probablemente usaron una técnica diferente para vulnerar de forma remota los sistemas POS. Así, recopilaron suficientes datos EMV para realizar la clonación EMV-Bypass”. Según escribió la compañía.
Stas Alforov, director de investigación y desarrollo de Gemini, dijo que las instituciones financieras que no realizan estos controles corren riesgos. Corren el riesgo de perder la capacidad de darse cuenta cuando esas tarjetas se utilizan para cometer fraude.
Esto se debe a que muchos bancos que han emitido tarjetas con chip asumen seguridad. Creen que mientras esas tarjetas con chip se utilicen para transacciones, prácticamente no hay riesgo de que las tarjetas se clonen y se vendan clandestinamente.
Cuando estas instituciones buscan patrones en transacciones fraudulentas para determinar qué comerciantes podrían verse comprometidos por el malware de POS, pueden descontar por completo cualquier pago basado en chips. Se centran solo en aquellos comerciantes en los que un cliente ha deslizado su tarjeta.
Conclusiones
“Las redes de tarjetas se están dando cuenta del hecho de que hay muchas más infracciones basadas en EMV en este momento”, dijo Alforov. “Los emisores de tarjetas, como Chase o Bank of America, de hecho, están comprobando [si hay una discrepancia entre el iCVV y el CVV]. Estos cancelarán las transacciones que no coincidan. Pero claramente ese no es el caso de algunas instituciones más pequeñas “.
Para bien o para mal, no sabemos qué instituciones financieras no han implementado correctamente el estándar EMV. Es por eso que siempre vale la pena vigilar de cerca tus estados de cuenta mensuales e informar de inmediato cualquier transacción no autorizada. Si tu institución te permite recibir alertas de transacciones a través de mensajes de texto, es una excelente medida de protección. Esta puede ser una forma casi en tiempo real de estar atento a dicha actividad.
Estos incidentes han ocurrido en Estados Unidos en donde generalmente la seguridad bancaria es muy meticulosa. Imagina lo que estará ocurriendo en los países de nuestra América Latina…
