Esta vulnerabilidad de evasión de PIN afecta los pagos sin contacto de Visa
Hace unos días Visa emitió una advertencia sobre un nuevo skimmer web conocido como Baka. Ahora investigadores de ciberseguridad han descubierto una vulnerabilidad de autenticación en las tarjetas de pago habilitadas para EMV de la compañía. Esta vulnerabilidad permite a los ciberdelincuentes obtener fondos y defraudar a los titulares de tarjetas, así como a los comerciantes de manera ilícita.
La investigación, publicada por un grupo de académicos de la ETH Zurich, es un ataque de evasión de PIN. El ataque permite a los adversarios aprovechar la tarjeta de crédito robada o perdida de una víctima para realizar compras de alto valor sin el conocimiento del PIN de la tarjeta. Incluso les permite engañar a un punto de venta (PoS) para aceptar una transacción con tarjeta sin conexión no autenticada.
Todas las tarjetas sin contacto modernas que hacen uso del protocolo Visa son vulnerables. Entre estas podemos mencionar las tarjetas de crédito Visa, tarjetas de débito Visa, Visa Electron y V Pay. Empero, los investigadores postularon que también podría aplicarse a los protocolos EMV implementados por Discover y UnionPay. No obstante, la vulnerabilidad no afecta a Mastercard, American Express y JCB.
Los hallazgos se presentarán en el 42º Simposio de IEEE sobre Seguridad y Privacidad que se celebrará en San Francisco el próximo mes de mayo.
Modificación de los verificadores de transacciones de tarjetas a través de un ataque MiTM
EMV (abreviatura de Europay, Mastercard y Visa), el estándar de protocolo internacional ampliamente utilizado para el pago con tarjeta inteligente. Este requiere que solo se puedan debitar cantidades más grandes de tarjetas de crédito con un código PIN.
Pero la configuración ideada por los investigadores de ETH explota una vulnerabilidad crítica en el protocolo para montar un ataque man-in-the-middle (MiTM). El ataque se logra través de una aplicación de Android que “le indica a la terminal que la verificación del PIN no es necesaria. Esto porque la verificación del titular de la tarjeta se realizó en el dispositivo del consumidor”.
El problema se debe al hecho de que el método de verificación del titular de la tarjeta (CVM) no está protegido. El método se utiliza para verificar si una persona que intenta realizar una transacción con una tarjeta de crédito o débito es el titular legítimo de la tarjeta. Dicho método no está protegido criptográficamente contra modificaciones.