Los investigadores de SR Labs, que  ya hicieron público un malware casi invisible para USB y una vulnerabilidad en las redes GSM, han encontrado ahora un fallo de seguridad en tarjetas de crédito y débito, según apunta Reuters.

El equipo capitaneado por Karsten Nohl ha avisado a los bancos alemanes de que sus sistemas de pago al por menor tienen fallos de seguridad que podría permitir a los defraudadores robar los códigos PIN de tarjetas de pago, crear tarjetas falsas o robar fondos de las cuentas de los clientes. Nohl describió dos tipos de ataques: uno para robar números de identificación personal (PIN) o transacciones cuando los clientes pagan en cajas, y un segundo método en el que los procesadores de pago actúan como intermediarios entre los bancos y los comerciantes para transferir fondos a otras cuentas fraudulentas.

El problema estaría en una vulnerabilidad en el protocolo ZVT, según afirma Nohl, permitiendo a atacantes “clonar la tarjeta u obtener su PIN en cuestión de segundos”, y todo por estar conectados a la misma red Wi-Fi. De esta forma, un ciberdelincuente podría acceder a una cuenta ajena conectándose a la red de un hotel o a cualquier red de un establecimiento público. Este protocolo ZVT es uno de los más extendidos y utilizados en Alemania, y usa una firma criptográfica (MAC) para proteger las claves PIN de las tarjetas.

Sin embargo, la firma se verifica mediante otra clave, que queda almacenada en el módulo de seguridad (HSM) y que suele ser la misma en muchos terminales. Por esta razón, teniendo en cuenta que los HSM de algunos terminales son vulnerables a ciertos ataques sencillos, todo el sistema quedaría expuesto tal y como indican los últimos hallazgos. Estos van más allá y demuestran que prácticamente todos los terminales en Alemania son susceptibles de tener pagos secuestrados y depositados en una cuenta bancaria de un cibercriminal.

De momento no hay evidencias de que los criminales estén utilizando estas técnicas de fraude pero, según afirma Nohl, estas debilidades podrían explicar robos de código PIN reclamados por algunos consumidores alemanes. Por ello, Nohl y sus compañeros han dado a conocer sus conclusiones a los bancos, emisores de tarjetas, fabricantes de dispositivos y asociaciones de la industria en las últimas semanas para que puedan tomar las medidas oportunas. Al respecto, ya se ha recomendado a los fabricantes de terminales de pago que tomen las medidas adecuadas para evitar este tipo de ataques, llevando a cabo actualizaciones de software, nuevas medidas de seguridad, o la sustitución de las tarjetas más antiguas.

En este sentido, Nohl advierte de que “a corto plazo, las características del sistema de pago vulnerable podría necesitar ser desconectado”. Pues “puede llevar meses a los vendedores actualizar el software de los cerca de 500.000 terminales de pago para que encajen con los números de autenticación únicos que podrían impedir este tipo de ataques” añadió.

 

About Author

Desiree Rodriguez

Responsable de Globb Security France y España. Periodista, Comunicadora Audiovisual y editora. Antes de unirse a GlobbTV, desarrolló la mayor parte de su carrera profesional en el grupo editorial de Madiva. Twitter: @Drodriguezleal.

Deja un comentario