Descubren un fallo de seguridad que permite saltarse la confirmación con PIN en pagos contactless de tarjetas bancarias

Las tarjetas bancarias generalmente permiten pagos sin tener que utilizar el PIN si se trata de cantidades pequeñas. Sin embargo, a la hora de realizar pagos de sumas mas altas se requiere de confirmarlo con el PIN de seguridad para verificar que es el propietario quien hace la compra. Evitar esta confirmación por PIN podría permitir a terceros agotar todo el saldo de una tarjeta. Y es justo lo que han descubierto unos investigadores de seguridad que es posible hacer

Expertos en seguridad de ETH Zurich han publicado un nuevo estudio en el que muestran el proceso para conseguir saltarse el PIN de una tarjeta bancaria. Gracias a una vulnerabilidad en el sistema de autenticación de la tarjeta bancaria es posible realizar transacciones por contactless sin importar que sea una cantidad grande, ya que se evitan el tener que poner el PIN.

Dos teléfonos, una app y una tarjeta

Es lo que los investigadores necesitan para poder realizar el ataque correctamente. Dos teléfonos Android hacen de intermediarios entre la tarjeta bancaria y el dispositivo de pago. Para ello requieren de una app especial desarrollada por el equipo de seguridad. Por último tenemos la tarjeta de la víctima.

Los investigadores explican que esencialmente lo que hacen es modificar el ítem que verifica la transacción con la tarjeta. Para ello el teléfono cercano a la tarjeta bancaria actúa como un dispositivo de pago y le pide una transacción a la tarjeta de una suma pequeña que no requiera PIN. Con la transacción concedida envía estos datos al otro teléfono colocado junto al dispositivo de pago real y que en realidad actúa como tarjeta virtual. Pero modifica los datos para que la suma alta del dispositivo de pago real pueda concederse con los datos previamente autenticados.

Todo ello se realiza mediante Wi-Fi entre los dos teléfonos y estos a su vez se conectan a la tarjeta y al dispositivo de pago mediante NFC. Los investigadores comentan que sólo requieren de tener una tarjeta bancaria y comenzar a agotarla con pagos grandes hasta dejarla vacía. Algo que sería mucho más complicado o un proceso más largo si los pagos sin PIN están limitados a sumas pequeñas, por ejemplo 20 euros.

ETH Zurich descubrió esta vulnerabilidad a principios de este 2020 y contactó a los responsables de las tarjetas bancarias para solventar el problema. Afortunadamente no hay indicios de que previamente alguien haya estado utilizando este fallo de seguridad para acciones malintencionadas. Las investigaciones como la de ETH Zurich se realizan precisamente para encontrar estos fallos y parchearlos antes de que alguien los encuentre y use con otras intenciones.

Por otro lado, también tenemos las medidas de seguridad que proporcionan los bancos en casos de robo. Por ejemplo, muchos bancos actuales permiten bloquear o cancelar una tarjeta de crédito desde la página web, la app o llamando a las oficinas del mismo. También es posible configurar límites máximos de dinero que se pueda gastar cada día con una tarjeta bancaria.

Vía | We Live Security
Más información | EMVrace
Imagen | @rupixen

Ver todos los comentarios en https://www.xataka.com

VER 7 Comentarios

Portada de Xataka