EMV, el estándar para la autentificación de pagos mediante tarjetas de crédito y débito, comprende la utilización de aquellas con chip integrado y un PIN para validar las compras. Desde su creación en los '90 y su utilización por defecto en muchos países se ha vuelto un tema candente y se ha considerado un avance en términos de seguridad, al constituirse como alternativa para limitar el fraude bancario; sin embargo, investigadores franceses acaban de publicar el análisis forense de un caso que demuestra una falla en el sistema.
Una transacción típica mediante el estándar Europay MasterCard Visa (o EMV) se desglosa en tres partes:
- Autenticación de la tarjeta
- Verificación del dueño de la tarjeta
- Autorización de la transacción
Pero la vulnerabilidad hallada radica en el hecho de que la tarjeta no condiciona la autorización de la transacción (parte 3) en una exitosa verificación del dueño (parte 2); es decir, en este caso, no necesariamente debe validarse la identidad del usuario para que se autorice el pago, lo que abre la posibilidad de que se realice fraude a partir de esta falla.
La explotación consiste en dejar que la tarjeta genuina realice las partes 1 y 3, dejando la verificación del usuario a un dispositivo que es sujeto a ataques Man-In-The-Middle. La técnica no fue descubierta ahora: en mayo de 2011, explica el informe, el grupo de intereses económicos de los banqueros franceses advirtió que una docena de tarjetas EMV robadas en Francia en los meses anteriores estaban siendo usadas en Bélgica. La investigación condujo al arresto de una mujer de 25 años, a partir de quien se identificó al resto de los miembros de la banda criminal.
Tras arrestar a cuatro personas más, se incautaron 25 tarjetas robadas, software especializado y 5.000 euros en efectivo. Las pérdidas causadas por este fraude se estiman alrededor de los 600.000 euros, robados a partir de 7.000 transacciones con 40 tarjetas modificadas.
Ahora, los investigadores de la École Normale Supérieure University y el Science and Technology Institute CEA de Francia publicaron su análisis forense explicando en detalle el ataque en cuestión y cómo la banda criminal pudo realizar este fraude.
El resultado del análisis forense: cómo los criminales reemplazaron chips de tarjetas robadas
La técnica de la banda criminal consistía en modificar tarjetas robadas para insertarles un segundo chip, capaz de espiar la verificación de PIN que se envía a la terminal PoS (Point of Sale). Aprovechando una vulnerabilidad en el sistema de Chip-and-PIN, ejecutaban un ataque Man-In-The-Middle para interceptar la transmisión del código, y se valían del segundo chip que insertaban en la tarjeta, el cual aceptaba cualquier PIN como válido.
Cuando el comprador fraudulento insertaba la tarjeta alterada con los dos chips en su interior, el original realizar la autenticación normal de la tarjeta. Pero durante la verificación del portador, el sistema PoS pedía el PIN, y el estafador podía insertar cualquier número: el chip fraudulento entraría en escena aceptando la combinación ingresada, tal como explica The Hacker News.
Según los investigadores, las vulnerabilidades han sido corregidas. Este análisis nos sirve entonces para entender hasta dónde están dispuestos a llegar los criminales para seguir buscando rédito económico, en este caso perpetrando un fraude de tarjetas de crédito, y, en términos de seguridad, para comprender los requisitos que debe cumplir un sistema para que se limiten las posibilidades de fraude.
Sigue leyendo: Chip con PIN, con firma o EMV versus bandas magnétic