Los expertos aseguran que las tarjetas bancarias que usan la tecnología con “chip” o “de PIN”, como se suelen denominar, son más seguras que las tradicionales de banda magnética. Es por ello que los bancos hace tiempo que han pasado a actualizar sus tarjetas con esta tecnología, que ya todos estamos acostumbrados a usar. No les falta razón, es más segura, pero si hay algo claro en este mercado, es que no hay ninguna tecnología 100% segura. Aunque ya hemos visto en más de una ocasión que clonar y duplicar las tarjetas, sobre todo con tecnología Wireless (como NFC) es relativamente sencillo, la técnica usada por estos ciberdelincuentes no tiene nada que ver.

Un grupo de investigadores de informática forense han publicado un estudio sobre un caso real en el que un grupo de cibercriminales usaron una nueva técnica para robar este tipo de tarjetas. Los atacantes consiguieron desarrollar un chip “maestro” que, implantado en cualquier tarjeta robada, hacía que los atacantes pudieran usarla sin conocer el PIN de la tarjeta, como recoge The Hacker News. El caso tuvo en lugar entre 2011 y 2012 en Francia, cuando fueron arrestados cinco ciudadanos franceses que robaron cerca de 600.000 euros de tarjetas de crédito.

Un “chip prodigioso”, la clave del ataque

Los ciberciminales (ahora entre rejas) robaban tarjetas de crédito, a las que les quitaban el chip. A continuación, lo soldaban a su chip modificado (llamado “FUN card chip), e introducían los dos chips en el cuerpo de otra tarjeta de crédito.

Este segundo chip era capaz de burlar la verificación de PIN que las tarjetas envían al terminal de venta (POS – Point of Sale). Cuando el dispositivo de venta les solicitaba el código, los criminales simplemente se inventaban cuatro números aleatorios, y la compra se realizaba.

Los estafadores se aprovecharon de una vulnerabilidad de los sistemas de chip y PIN para llevar a cabo un ataque Man in The Middle (MiTM). El fallo era una conocida vulnerabilidad en las tarjetas de chip y PIN descubierta en 2006 que permitía a criminales usar tarjetas genuinas para hacer pagos sin conocer el PIN de la tarjeta. Por eso el segundo chip que los estafadores insertaban en las tarjetas, aceptaba cualquier PIN que se introducía.

Una transacción bancaria tradicional se lleva a cabo en tres pasos: se autentica la tarjeta, se verifica el titular de la tarjeta, y se autoriza la transacción. En el momento en el que el sistema de punto de venta solicitaba que se introduzca un PIN, el estafador podría introducir cualquier dígito, porque en este momento entraba en juego el segundo chip, que forzaba al sistema para que, cualquiera que fueran los dígitos introducidos, el sistema aceptaba la transacción.

Hay una buena noticia en todo esto, y es que la vulnerabilidad que afectaba a estas tarjetas ya está solucionada. Para llevar a cabo la investigación, los forenses usaron escáneres de rayos X que les permitieron descubrir el chip FUN card en el interior de las tarjetas.

About Author

Monica Valle

Periodista especializada en tecnología y ciberseguridad. Presentadora del programa sobre seguridad informática y tecnología Mundo Hacker. @monivalle

1 comentario

Deja un comentario