Tarjeta de pago holandesa actualizada sigue vulnerable al ataque de retransmisión

Las nuevas características de seguridad implementadas en las tarjetas de pago holandesas no detendrán un tipo de ataque que los estafadores podrían usar en el futuro para robar dinero de las cuentas bancarias, según investigadores de la Universidad de Cambridge. en el Reino Unido

Steven J. Murdoch y Saar Drimer de Cambridge's Computer Group demostraron el miércoles en el programa de televisión holandés "Goudzoekers" que una tarjeta de pago con nuevas características de seguridad sigue siendo vulnerable a un llamado ataque de relevo.

Un ataque de retransmisión es una forma en la que los defraudadores utilizan la tecnología inalámbrica para obtener los detalles de la tarjeta bancaria y el PIN (Número de identificación personal) para las tarjetas de pago con chip y PIN que se usan en toda Europa. Las tarjetas con chip y PIN requieren que la persona ingrese un PIN de cuatro dígitos en los dispositivos de punto de venta o cajeros automáticos, con el PIN autenticado por un microchip incrustado en la tarjeta.

[Más información: cómo eliminar el malware desde su PC con Windows]

En el ataque de relevo, los detalles de la tarjeta de la víctima se graban a través de un terminal de pago manipulado. El número de PIN es observado por un estafador y luego se lo comunica a un cómplice que realiza una transacción simultánea en otro lugar. El cómplice tiene una tarjeta de pago falsa con acceso inalámbrico que utiliza los datos bancarios de la víctima recibidos del terminal de pago manipulado para realizar una transacción fraudulenta.

El ataque de relevo fue demostrado por Drimer y Murdoch en 2007, pero no se cree que sea activamente utilizado por delincuentes ya que ahora hay maneras más fáciles de comprometer las tarjetas de pago, dijo Murdoch.

Los bancos en el Reino Unido y los Países Bajos planean actualizar las tarjetas de pago con nuevas características de seguridad para frustrar diferentes tipos de ataques. Murdoch y Drimer probaron una tarjeta emitida por un banco holandés que tiene tres características nuevas.

Una es la autenticación dinámica de datos, que permite que una tarjeta se verifique como genuina sin necesidad de volver a conectarse a los sistemas del banco. Eso previene el llamado ataque "sí", donde se aceptará cualquier PIN para una transacción. Otra característica asegura que el PIN del cliente esté encriptado durante la comunicación entre un terminal de pago y la tarjeta, evitando la intercepción de un PIN de texto plano.

La última característica nueva se llama iCVV. Las tarjetas chip-and-PIN previamente contenían una copia de la información de la banda magnética, que contiene detalles de la cuenta dentro del microchip de la tarjeta. Con iCVV, la información completa de la banda magnética ya no está almacenada dentro del chip, dijo Murdoch.

Ninguna de las tres características detuvo un ataque de relevo, como se demostró en el programa, dijo Murdoch. Sin embargo, ninguno de ellos fue diseñado específicamente para detener un ataque de relevo, dijo. Los productores de "Goudzoekers" querían ver si las nuevas tarjetas aún eran vulnerables al ataque de relevos, dijo Murdoch. El show solo pagó los vuelos de Drimer y él a los Países Bajos para realizar el experimento, dijo Murdoch.

Murdoch, que ha realizado una investigación exhaustiva sobre la seguridad de las tarjetas con chip y PIN, dijo que él y Drimer no pensaban que el las nuevas características evitarían un ataque de relevo. Sin embargo, aceptaron la comisión del programa para obtener "más experiencia en los sistemas de otros países", dijo.

La Asociación Bancaria Holandesa descartó el último experimento, diciendo en un comunicado que el ataque de relevo tiene casi tres años y es demasiado engorroso y complejo para ser implementado a gran escala.

Murdoch admite que los ataques de retransmisión son difíciles de lograr. Pero a medida que otras vías de ataque más fáciles se cierran debido a las características de seguridad más fuertes en las tarjetas, es probable que los delincuentes "comiencen a investigar esto", dijo.

La asociación bancaria argumenta que "los delincuentes son demasiado estúpidos y perezosos". ", Dijo Murdoch. "Los delincuentes son flojos, pero no son estúpidos".