Un nuevo documento de investigación, llamado Does the online card payment landscape unwittingly facilitate fraud? (¿Facilita inconscientemente el fraude el panorama de pago con tarjeta online?). Lo que han intentado averiguar es si la cantidad de sistemas de pago, y diferentes formas de comprobación de la veracidad de los titulares de las tarjetas, en lugar de beneficiar las transacciones seguras, está haciendo todo lo contrario. Este estudio ha sido realizado por investigadores de la Universidad de Newcastle, y explica cómo los métodos de pago online con tarjetas de crédito contienen puntos débiles en la seguridad que puede facilitar a los estafadores conseguir información sensible.

A esta técnica la han denominado: “Distributed Guessing Attack”, lo que viene a ser algo así como “Ataque Adivinador Distribuido”. Como explican en The Hacker News, esta técnica se cree que puede ser la responsable del robo de dinero procedente de 20.000 cuentas de clientes del banco Tesco en Reino Unido el mes pasado, tras lo cual la entidad no tuvo más remedio que congelar las transacciones online para proteger a los usuarios. The Guardian desgrana esta posibilidad, en la que obteniendo el número de la tarjeta, fecha de caducidad y el código de seguridad de cualquier tarjeta de crédito o débito Visa, a un criminal solo le bastan seis segundos y poco de trabajo de adivinanza para acceder a ella.

Actions and parties in online payment. Partes involucradas en el pago online. Tomado del estudio Does The Online Card Payment Landscape Unwittingly Facilitate Fraud?

Partes involucradas en el pago online. Tomado del estudio Does The Online Card Payment Landscape
Unwittingly Facilitate Fraud?

Así funciona el ataque

Al parecer, los problemas atañen solamente a las tarjetas Visa, ya que los atacantes pueden adivinar todas las posibles combinaciones de fechas de caducidad y números CVV a través de cientos de páginas web. Los investigadores han encontrado dos vulnerabilidades en la forma en la que las transacciones son verificadas mediante el sistema de pago online de Visa. Este, no detecta múltiples intentos de pago incorrectos, si se hacen a través de varios sitios web diferentes. Permite además un máximo de 20 intentos por tarjeta en cada sitio. Las webs no hacen chequeos de forma regular, variando la información de la tarjeta solicitada.

Las debilidades no son demasiado graves por sí mismas, pero combinadas y explotadas de forma conveniente, un ciberatacante puede recoger información de seguridad y hackear las tarjetas en solo unos segundos. En definitiva, el ataque no es más que fuerza bruta usada de forma inteligente contra los sitios de comercio online más populares. En este vídeo explican cómo funciona el ataque:

Es decir, en lugar de hacer fuerza bruta solamente contra un vendedor, se hace contra muchos de ellos, obteniendo diferente información en cada uno.

En primer lugar, el atacante necesita los números de la tarjeta de crédito, que puede conseguir a través de un mercado negro de la Deep Web. A continuación, usará bots web para realizar ataques de fuerza bruta y obtener los códigos CVV (Card Verification Value) y las fechas de caducidad. El equipo de investigación a estudiado los 400 sitios de e-commerce más populares (según Alexa), y ya ha contactado con los 36 más grandes para notificarles sus descubrimientos. Algunos de ellos ya han actuado en consecuencia, cambiando sus medidas de seguridad. Otros todavía no han hecho nada.

Desde Visa, que tiene más de 500 millones de tarjetas en circulación en Europa, han respondido al diario que la investigación no tiene en cuenta las múltiples capas de prevención de fraude que existen en los métodos de pago. Eso sí, el responsable del estudio afirma que es una buena noticia para los usuarios de MasterCard, ya que esta técnica de ataque no funciona con sus tarjetas. También destacó que los vendedores online que contaban con medidas de seguridad adicionales como “Verified by Visa” o “MasterCard SecureCode” también están a salvo de este tipo de ataque.

About Author

Monica Valle

Periodista especializada en tecnología y ciberseguridad. Directora de Globb Security, y presentadora del programa sobre seguridad informática y tecnología Mundo Hacker. @monivalle

Deja un comentario