Las tarjetas con chip siguen siendo vulnerables

17 Ago 2016

La industria bancaria emplea mucho esfuerzo, tiempo y dinero para proteger las tarjetas bancarias. Durante años, su protección consistía en unos dígitos estampados y un campo de firma, pero ahora los chips inteligentes y las contraseñas de un solo uso son los guardianes de tu dinero frente a los delincuentes que lo quieren.

chip-n-pin-insecure-featured

Las nuevas tarjetas de chip y PIN (un estándar EMV) prometieron una seguridad mayor que con las tarjetas con banda magnética, pero, tan pronto como llegaron al mercado, los delincuentes trataron de romper su protección. Por fortuna, los delincuentes no son los únicos que las analizan; los expertos en seguridad también investigan estos sistemas. Investigadores de la compañía buscan vulnerabilidades en el equipamiento y en la arquitectura de los sistemas de pago para avisar a los desarrolladores y que estos parchen los agujeros antes de que los delincuentes los encuentren.

Los investigadores de la presentación de Black Hat dieron motivos de esperanza y de preocupación: sí, los delincuentes pueden robar dinero de las tarjetas de chip, pero las personas no son incapaces de protegerse. Dos empleados de NCR Corp., una compañía que desarrolla terminales de pago y cajeros automáticos, presentaron un ataque muy usado en terminales de pago de tiendas y gasolineras. Con una computadora Raspberry Pi pequeña y barata, se introdujeron en la comunicación entre la computadora principal de la tienda (la caja registradora) y el módulo de pago (la terminal).

En general, la comunicación entre estos dos sistemas tiene que estar bien cifrada, pero, en muchos casos, la terminal está configurada para utilizar un cifrado débil. Como resultado, los delincuentes pueden llevar a cabo ataques man-in-the-middle: interceptan los datos de la comunicación entre el módulo de pago y la computadora principal y los descifran.

En realidad, el ataque no extrae datos, aunque la seguridad de la tarjeta con chip sea mínima; algunos datos, como el código PIN, están cifrados en el chip y nunca se transmiten de forma abierta. Aun así, el atacante puede obtener otra información del chip (datos normalmente escritos en la banda magnética).

De este modo, los delincuentes pueden averiguar el nombre del propietario y el número de la tarjeta para realizar pagos online. Claro está que, en ese caso, los delincuentes también necesitarán el código CVV2 o el CVC2 situado en la parte posterior de la tarjeta y que normalmente se mantienen en secreto durante las transmisiones. Pero los delincuentes pueden intentar engañar a los propietarios para que les den esa información.

Además de las peticiones estándar como “Inserte tarjeta” e “Inserte PIN”, las terminales de pago pueden mostrar otro tipo de notificaciones, como una nueva petición que diga “introduzca su código CVV2 (o CVC2)”.

Este es otro planteamiento interesante: un criminal puede añadir algo como “Error, introduzca de nuevo el PIN” y, en esta ocasión, la terminal puede creer que se está transmitiendo información abierta y no segura. Si este truco funciona, la terminal envía los datos seguros como inseguros y los delincuentes obtienen los códigos PIN de las víctimas.

Los investigadores tienen dos consejos para los usuarios que quieran mantenerse a salvo. Primero, nunca deberías introducir dos veces el PIN en una transacción. Si ves un error y se te pide que vuelvas a introducir el PIN, cancela la transacción, saca la tarjeta, vuelve a insertarla e inserta tu PIN una vez más (y solo una vez más). También deberías ser cauteloso e ignorar cualquier pregunta inusual que te haga el terminal, en especial si es “¿Cuál es su código CVC2/CVV2?”

El segundo consejo no es aplicable a todos los países, pero es interesante. Los expertos de NCR opinan bien de los sistemas móviles de pago seguro (como Apple Pay), así que pagar con tu reloj y con tu teléfono puede ser más seguro que utilizar la tarjeta de crédito.

Por supuesto, utilizar dinero en efectivo es el mejor modo de protegerse de los fraudes bancarios y de tarjetas de crédito.