Un equipo de investigadores del Instituto Federal Suizo de Tecnología de Zúrich (ETH Zúrich) ha encontrado una vulnerabilidad de seguridad en el protocolo sin contacto EMV de Visa, que podría permitir a los delincuentes cometer fraude con tarjetas de crédito mediante un bypass del PIN.

 

A pesar de que en la mayoría de los mercados se ha ampliado el limite de compra diario en las tarjetas sin contacto por el distanciamiento social, ese límite existe y es la cantidad diaria máxima que se puede pagar sin la necesidad de un PIN. Una vez que se supera el límite, el terminal de la tarjeta solicitará una verificación al titular a través del digito del PIN.

 

Sin embargo, la nueva investigación, titulada 'The EMV Standard: Break, Fix, Verify', mostró que un delincuente podría explotar la falla y realizar compras exitosas sin tener que ingresar el PIN, incluso en los casos en que el cantidad excedió el límite diario.

 

Los académicos demostraron cómo se puede llevar a cabo el ataque utilizando dos teléfonos Android, una tarjeta de crédito sin contacto y una aplicación de prueba de concepto de Android que fue desarrollada especialmente para este propósito.

 

“El teléfono cerca del terminal de pago es el dispositivo emulador de tarjeta del atacante y el teléfono cerca de la víctima es el dispositivo emulador POS del atacante. Los dispositivos del atacante se comunican entre sí a través de WiFi y con el terminal y la tarjeta a través de NFC”, explicaron los investigadores, agregando que su aplicación no requiere ningún privilegio de root para funcionar.

“El ataque consiste en una modificación en la fuente de datos del objeto de la tarjeta–the Card Transaction Qualifiers– antes de entregarlo al terminal”, dice la descripción del ataque, con la modificación que indica el POS que no es necesario una verificación de PIN y que el titular de la tarjeta ya fue verificado por el dispositivo del consumidor.

 

Los investigadores probaron su ataque de bypass de PIN en uno de los seis protocolos sin contacto EMV (Mastercard, Visa, American Express, JCB, Discover, UnionPay). Sin embargo, creen que también se podría aplicar a los protocolos Discover y UnionPay, aunque no se probó en la práctica.

 

EMV, el estándar de protocolo internacional para el pago con tarjeta inteligente, se utiliza en más de 9 mil millones de tarjetas en todo el mundo, y a diciembre de 2019, se utilizaba en más del 80% de todas las transacciones con tarjeta presente a nivel mundial.

 

Cabe mencionar que además de probar el ataque en condiciones de laboratorio, los investigadores lograron hacerlo exitosamente en tiendas reales, utilizando tarjetas Visa Credit, Electron y V Pay. Hace poco más de un año, también el sistema de tarjetas VISA sin contacto mostró vulnerabilidades en Reino Unido.

 

El equipo también mencionó que sería difícil para un cajero darse cuenta que algo fraudulento está ocurriendo, ya que se ha convertido en un hecho habitual para los clientes pagar productos con sus teléfonos inteligentes.

 

Además, con la investigación se descubrió otra vulnerabilidad, que involucra transacciones sin contacto fuera de línea realizadas con una tarjeta Visa o Mastercard antiguas. Durante el ataque, el pirata informático modifica los datos producidos por la tarjeta, denominados -Criptograma de transacción-, antes de que se entreguen a la terminal.

 

Sin embargo, estos datos no pueden ser verificados por la terminal, sino por el banco emisor de la tarjeta y para cuando esto ocurre podría ser demasiado tarde.