Expertos en ciberseguridad de la Escuela Politécnica Federal de Zúrich han publicado un nuevo estudio en el que muestran el proceso para conseguir saltarse el pin de una tarjeta bancaria.
Debido a una vulnerabilidad en el sistema de autenticación de las tarjetas pueden realizarse transacciones por contactless superando el límite permitido, evitando el uso del pin.
El fallo de seguridad
Para demostrar las vulnerabilidades de las tarjetas bancarias los expertos en ciberseguridad David Basin, Ralf Sasse y Jorge Toro, de la Escuela Politécnica Federal de Zúrich, desarrollaron una aplicación de Android de prueba de concepto.
Según explican en el informe los investigadores crearon una "aplicación que implementa ataques man-in-the-middle sobre una arquitectura de ataque que se muestra a continuación". Y han decidido explicarlo en un vídeo.
El ataque permite a los ciberdelincuentes a realizar transacciones o comprar por encima del limite permitido por la tarjeta sin necesidad de introducir el pin.
Para Néstor Carriba, experto en ciberseguridad, la vulnerabilidad descubierta "es capaz de saltarse o baypasear los mecanismos de seguridad establecidas por Visa para realizar un pago en los diferentes países que están utilizando estos mecanismos de pago".
Debido a la pandemia de coronavirus las tarjetas de crédito establecieron un nuevo limite de 50 euros en los pagos sin contacto o contactless que obligan a introducir el código PIN.
"Se establecen unos límites para solicitar estos controles de seguridad adicionales. En España para pagos superiores a 20 € en Reino Unido a 30 libras" asegura Néstor Carriba, experto en ciberseguridad.
Según explican en el informe los investigadores, cualquier persona que se haga con una tarjeta Visa, o incluso si coloca un teléfono con tecnología inalámbrica de corto alcance (NFC) a su lado, podría realizar pagos sin contacto que superen el límite establecido.
Los investigadores también han probado el fallo de seguridad de las tarjetas bancarias en terminales de tiendas reales usando sus propias tarjetas de crédito y débito. Eso sí, dicen en su informe que ningún comercio fue defraudado.
Existen seis protocolos sin contacto EMV y cada uno de ellos corresponde a una de las marcas de tarjetas Mastercard, Visa, American Express, JCB, Discover y UnionPay.
Según explican, el ataque de omisión de pin se aplica al protocolo Visa y (posiblemente) a Discover y UnionPay.