Encuentran un fallo en las tarjetas de crédito Mastercard que les permite robar dinero sin conocer el PIN

Tecnología y redes
·2 min de lectura

Las tarjetas de crédito son un medio de pago que aspira a eliminar el dinero físico. Pero a pesar de su grandísima popularidad, y más sobre todo después del Covid-19, está lejos de ser un sistema 100% seguro. ¿Su último problema? Un grupo de expertos en seguridad ha encontrado la forma de clonar su funcionamiento sin necesidad de usar el PIN.

Los investigadores de ciberseguridad han revelado un ataque novedoso que podría permitir a los delincuentes engañar a un terminal de punto de venta para que realice transacciones con la tarjeta sin contacto Mastercard de la víctima mientras creen que es una tarjeta Visa.

Encuentran un fallo en las tarjetas de crédito Mastercard que les permite robar dinero sin conocer el PIN
Encuentran un fallo en las tarjetas de crédito Mastercard que les permite robar dinero sin conocer el PIN

La investigación, publicada por un grupo de académicos de ETH Zurich, se basa en un estudio detallado en septiembre pasado que profundizó en un ataque de omisión de PIN, que permite a los malos actores aprovechar la tarjeta de crédito Visa EMV robada o perdida de una víctima para realizar compras de alto valor sin conocimiento del PIN de la tarjeta, e incluso engañar al terminal para que acepte transacciones con tarjeta no auténticas.

"Esto no es sólo una confusión de marcas de tarjetas, sino que tiene consecuencias críticas", dijeron los investigadores David Basin, Ralf Sasse y Jorge Toro. "Por ejemplo, los delincuentes pueden usarlo en combinación con el ataque anterior a Visa para también eludir el PIN de las tarjetas Mastercard. Las tarjetas de esta marca se presumían previamente protegidas por PIN".

Tras la divulgación responsable, los investigadores de ETH Zurich dijeron que Mastercard implementó mecanismos de defensa a nivel de red para frustrar tales ataques. Los hallazgos se presentarán en el 30º Simposio de Seguridad de USENIX en agosto a finales de este año.

Cuando una transacción se hace con una tarjeta VISA o MasterCard, se usan sus respectivas redes para procesarla. Cada tarjeta tiene un identificador único para activar el kernel que redirige a su respectiva red de pago. Estos identificadores, llamados Application Identificar (AID), son los vulnerables al ataque, al no estar verificados en el propio terminal de pago. Con ello, se puede activar un kernel falso y hacer que un banco acepte transacciones sin contacto de tarjetas de diferentes fabricantes. En definitiva, el atacante realiza simultáneamente una transacción Visa con el terminal y una transacción MasterCard con la tarjeta.

Para poder llevar a cabo el ataque, es necesario que el atacante tenga acceso a la tarjeta física real o un móvil que la tenga asociada. También es necesario poder modificar los comandos del terminal y las respuestas de la tarjeta antes de entregarlos al correspondiente receptor. Mediante su app, los investigadores consiguieron saltarse la verificación por PIN para las transacciones con tarjetas de crédito y débito de MasterCard y Maestro.

Más noticias que te pueden interesar:

VIDEO | El truco viral casero para dejar la ropa 100% blanca: solo necesitas 3 ingredientes