Hackers pueden averiguar el número y CVC de una tarjeta de crédito en sólo seis segundos
5 de Diciembre, 2016 - Internacional
Una reciente investigación de la Universidad de Newcastle ha revelado que averiguar los números de una tarjeta de crédito es más fácil que nunca.
Si una web está bien diseñada y programada, impondrá un límite a la cantidad de intentos que tenemos para iniciar sesión; esto se hace principalmente para evitar que un atacante averigüe nuestro nombre de usuario y contraseña a base de “fuerza bruta”, de probar una y otra vez todas las combinaciones posibles.
Cuando sacas dinero de un cajero ocurre algo similar, tienes una cantidad limitada de intentos, y si no lo consigues tu tarjeta o tu cuenta se bloquea por seguridad. Sin embargo, es posible que los expertos de estas compañías no hayan tenido en cuenta un método para averiguar los datos de una tarjeta a base de fuerza bruta.
Cómo es posible averiguar los números de una tarjeta de crédito
El método, que ha sido probado con tarjetas Visa, consiste en comprobar los números en varias webs diferentes; es decir, que el atacante tiene que intentar un pago en varias tiendas web diferentes, una detrás de la otra. Así hasta que dé con la combinación de número y CVC que le acepta el pago.
Esto sería muy fácil de hacer con un programa que automatizase el proceso; los investigadores han creado un programa capaz de conectarse a multitud de tiendas web para probar combinaciones de número de tarjeta y CVC.
Como demuestran en el vídeo, si un atacante usa este programa podría obtener una tarjeta válida en apenas seis segundos.
Si sólo dependiese de una tienda, sería casi imposible averiguar el número de la tarjeta; normalmente los intentos están limitados a 10 o 20 dependiendo de la tienda. Pero al dividir el trabajo en múltiples tiendas, las probabilidades de acertar son mucho más altas.
Dos pequeños fallos que unidos pueden ser fatales
Según los investigadores, este ataque se aprovecha de dos debilidades del sistema, que por separado no son tan graves.
El sistema de pagos online actual de Visa no detecta múltiples peticiones de pago inválidas provenientes de varias tiendas.
Las tiendas online piden diferentes variaciones de los datos necesarios para realizar una compra; es como un puzle, si juntas piezas de una tienda y de otra tendrás una imagen más clara del número y CVC que buscas.
Aunque empieces sólo con los seis primeros dígitos de la tarjeta (que representan al banco y el tipo de tarjeta); es posible rellenar el resto de dígitos a base de probar una y otra vez en diversas páginas.
Los investigadores han avisado a Visa de la posibilidad de este tipo de ataques; sin embargo, Visa ha respondido menospreciando el estudio. Según la compañía, el estudio no tiene en cuenta otros métodos contra el fraude implementados en el sistema de pagos.
Fuente: Yahoo Noticias
noticias reLACIONADAS
Hackers venden malwares para cajeros automáticos de Bitcoin en la deep web
10 de Agosto, 2018 - Perú
México: solo 1% de los pagos con tarjetas son contactless
9 de Agosto, 2021 - Perú
American Express logra un 24 % más de beneficios entre enero y septiembre
19 de Octubre, 2018 - Perú
MasterCard llega a un acuerdo en Colombia con la Alcaldía de Barranquilla