El grave fallo en las tarjetas VISA con chip: pagar sin PIN sin límite

Aunque mucha gente se ha pasado ya a eso de pagar con el móvil, todavía hay un enorme número que siguen usando las clásicas tarjetas de crédito, que se renovaron pasando de la arcaica banda magnética al más cómodo sistema del chip o ‘pago sin contacto’. Pero si tienes una tarjeta VISA de este tipo cuidado, porque el protocolo de pagos sin contacto de las tarjetas bancarias Visa contiene un fallo de seguridad que permite que los delincuentes lleven a cabo pagos mediante este sistema sin utilizar el código PIN para cantidades superiores al límite establecido.

El fallo de seguridad de las contactless de VISA



Un equipo de investigadores del Instituto Federal de Tecnología Suizo en Zúrich (ETH Zúrich) ha descubierto una vulnerabilidad en el protocolo EMV para realizar pagos contactless de Visa que podría permitir a los atacantes realizar ataques de omisión de PIN y cometer fraude con tarjetas de crédito.

A modo de contexto, normalmente existe un límite en la cantidad que se puede pagar usando una tarjeta contactless que permite realizar pago sin contacto. Una vez que se supera el límite, el terminal de la tarjeta solicitará la verificación del titular de la tarjeta, quien deberá escribir un PIN.

Sin embargo, la nueva investigación, titulada ‘The EMV Standard: Break, Fix, Verify‘, demuestra que un delincuente que tiene en sus manos una tarjeta de crédito “podría explotar la vulnerabilidad para realizar compras fraudulentas sin tener que ingresar el PIN incluso en los casos en que la cantidad excedió el límite”.

Vulnerabilidad en las contactless

El equipo de ciberexpertos demostró cómo se puede llevar a cabo el ataque utilizando dos teléfonos Android, una tarjeta de crédito que permita realizar pago sin contacto y una aplicación de prueba de concepto para Android que desarrollaron especialmente para este propósito.

“El teléfono cerca del terminal de pago es el dispositivo emulador de tarjeta del atacante ,y el teléfono cerca de la tarjeta de la víctima es el dispositivo emulador del POS del atacante. Los dispositivos del atacante se comunican entre sí a través de Wi-Fi, y con el terminal y la tarjeta a través de NFC”, explican desde ETH Zúrich, en un post del blog de seguridad de ESET.

Su aplicación no necesita ningún privilegio root o hack especial para Android para funcionar, y el ataque consiste en “una modificación del CTQ (Card Transaction Qualifiers), que es un objeto de datos de la tarjeta, antes de entregarlo al terminal”. La modificación indica al terminal que no se necesita una verificación de PIN y que el titular de la tarjeta ya había sido verificado en el dispositivo del consumidor.

Los investigadores probaron su ataque de omisión de PIN en uno de los seis protocolos EMV para pago sin contacto que hay -cada protocolo corresponde a una marca diferente, como es Mastercard, Visa, American Express, JCB, Discover, UnionPay. En este caso se realizó la prueba de omisión de PIN en el de VISA, aunque también podría aplicarse a los protocolos Discover y UnionPay -que no fueron usados en el test.

Demostrando el fallo en tiendas reales

EMV, el protocolo estándar internacional para el pago con tarjeta inteligente desarrollado por Europay, Mastercard y Visa, “previenen la falsificación utilizando un código de un solo uso que evita que los datos comprometidos se vuelvan a utilizar para el hurto”, y se usa en más de 9.000 millones de tarjetas en todo el mundo. A diciembre de 2019, más del 80% de las transacciones que actualmente se realizan con tarjeta a nivel mundial utilizan este protocolo.

Por ello, ETH Zúrich no solo probó el ataque en condiciones de laboratorio, sino que pudieron “llevarlo a cabo en tiendas reales con éxito, utilizando tarjetas Visa Credit, Visa Electron y V Pay”. Y de hecho, para estar seguros usaron sus propias tarjetas de crédito para la prueba.

El equipo también señaló que sería difícil para un cajero darse cuenta de que algo fuera de lo normal estaba en marcha, ya que se ha convertido en algo habitual que los clientes prefieran pagar por sus productos utilizando sus smartphones.

Las investigaciones llevadas a cabo les permitió también descubrir otra vulnerabilidad, la cual involucra transacciones sin contacto realizadas offline, ya sea con una tarjeta Visa o una tarjeta Mastercard antigua. Durante este ataque, el ciberdelincuente modifica los datos producidos por la tarjeta denominados ‘Criptograma de transacción’ antes de que sean enviados al terminal.

Sin embargo, estos datos no pueden ser verificados por el terminal, sino solo por el emisor de la tarjeta, es decir, el banco. Entonces, para cuando eso ocurre, el ladrón está disfrutando de la mercadería en su mano. Por razones éticas, “el equipo no probó este ataque en terminales reales”, aunque por supuesto “notificó a Visa sobre sus descubrimientos”.

La respuesta de Visa: Ningún fraude registrado

24 horas después de conocerse esto, la compañía Visa se ha pronunciado al fallo de seguridad, reconociendo que existe como leemos en Europa Press: "En Visa nos tomamos muy en serio todas las posibles amenazas en la seguridad de los pagos. En este sentido, apreciamos los esfuerzos académicos y de la industria en reforzar el ecosistema de pagos”.



Los consumidores "pueden seguir haciendo uso de sus tarjetas Visa con total confianza", ha defendido Visa, que ha valorado que los escenarios propuestos por los investigadores "pueden ser razonables para realizar simulaciones, pero han demostrado ser poco prácticos a la hora ser usados por estafadores en el mundo real".

"La realidad es que, en todo ese tiempo, no se han reportado estos modelos de fraude en la práctica. Las tarjetas 'contactless son muy seguras”.