Un equipo de investigadores del Instituto Federal de Tecnología Suizo en Zúrich (ETH Zúrich) ha descubierto una vulnerabilidad en el protocolo EMV para realizar pagos sin contacto de Visa que podría permitir a los atacantes realizar ataques de omisión de PIN y cometer fraude con tarjetas de crédito.
A modo de contexto, normalmente existe un límite en la cantidad que se puede pagar por bienes o servicios utilizando una tarjeta contactless que permite realizar pago sin contacto. Una vez que se supera el límite, el terminal de la tarjeta solicitará la verificación del titular de la tarjeta, quien deberá escribir un PIN.
Sin embargo, la nueva investigación, titulada 'The EMV Standard: Break, Fix, Verify', mostró que un delincuente que tiene en sus manos una tarjeta de crédito podría explotar la falla para realizar compras fraudulentas sin tener que ingresar el PIN incluso en los casos en que la cantidad excedió el límite.
Los académicos demostraron cómo se puede llevar a cabo el ataque utilizando dos teléfonos Android, una tarjeta de crédito que permita realizar pago sin contacto y una aplicación de prueba de concepto para Android que desarrollaron especialmente para este propósito.
“El teléfono cerca de la terminal de pago es el dispositivo emulador de tarjeta del atacante y el teléfono cerca de la tarjeta de la víctima es el dispositivo emulador del POS del atacante. Los dispositivos del atacante se comunican entre sí a través de Wi-Fi, y con el terminal y la tarjeta a través de NFC”, explicaron los investigadores, y agregaron que para funcionar su aplicación no necesita ningún privilegio root o hack especial para Android.
"El ataque consiste en una modificación del CTQ (Card Transaction Qualifiers), que es un objeto de datos de la tarjeta, antes de entregarlo al terminal", explican los investigadores, siendo que la modificación indica al terminal que no se necesita una verificación de PIN y que el titular de la tarjeta ya había sido verificado en el dispositivo del consumidor.
Los investigadores probaron su ataque de omisión de PIN en uno de los seis protocolos EMV para pago sin contacto que hay (cada protocolo corresponde a una marca diferente, como es Mastercard, Visa, American Express, JCB, Discover, UnionPay). En este caso se realizó la prueba de omisión de PIN en el de VISA; sin embargo, teorizaron que también podría aplicarse a los protocolos Discover y UnionPay, aunque no fueron probados en la práctica. EMV, el protocolo estándar internacional para el pago con tarjeta inteligente, se usa en más de 9 mil millones de tarjetas en todo el mundo y, a diciembre de 2019, se usaba en más del 80% de las transacciones que actualmente se realizan con tarjeta a nivel mundial.
Vale la pena mencionar que los investigadores no solo probaron el ataque en condiciones de laboratorio, sino que pudieron llevarlo a cabo con éxito en tiendas reales, utilizando tarjetas Visa Credit, Visa Electron y V Pay. Para estar seguros, utilizaron sus propias tarjetas para la prueba.
El equipo también señaló que sería difícil para un cajero darse cuenta de que algo fuera de lo normal estaba en marcha, ya que se ha convertido en algo habitual que los clientes prefieran pagar por sus productos utilizando sus smartphones.
Las investigaciones llevadas a cabo les permitió también descubrir otra vulnerabilidad, la cual involucra transacciones sin contacto realizadas offline, ya sea con una tarjeta Visa o una tarjeta Mastercard antigua. Durante este ataque, el ciberdelincuente modifica los datos producidos por la tarjeta denominados 'Criptograma de transacción' antes de que sean enviados al terminal.
Sin embargo, estos datos no pueden ser verificados por el terminal, sino solo por el emisor de la tarjeta, es decir, el banco. Entonces, para cuando eso ocurre, el ladrón está disfrutando de la mercadería en su mano. Por razones éticas, el equipo no probó este ataque en terminales reales.
El equipo notificó a Visa sobre sus descubrimientos.