Preocupado como estás por tu seguridad, has elegido un PIN para tu tarjeta de crédito distinto al del teléfono móvil y has evitado la tentación de escoger tu fecha de nacimiento. Sin embargo, estas precauciones pueden servir de poco si un ciberdelincuente se cruza en el camino entre tu tarjeta y el datáfono.
El estándar para la autentificación de pagos mediante tarjetas de crédito y débito EMV consiste en un chip integrado en tu tarjeta y un PIN para validar la compra que vas a realizar. Sin embargo, un grupo de investigadores de la Escuela Normal Superior de París acaban de publicar un estudio explicando cómo un grupo de atacantes burlaron este sistema hace unos años, logrando gastarse 600.000 euros de tarjetas robadas. Eso sí, finalmente fueron arrestados.
Estos delincuentes robaron 40 tarjetas de crédito, que supuestamente no podrían haber utilizado al no disponer de ese número PIN. Sin embargo, para conseguir sus propósitos, modificaban esas tarjetas colocando un segundo chip con delicadeza en su interior. En apariencia, la tarjeta era como cualquier otra.
Cuando la insertaban en el Terminal Punto de Venta (TPV), se aprovechaban de una vulnerabilidad del estándar EMV, efectuando un ataque ‘man-in-the-middle‘ que les permitía interceptar la comunicación entre la tarjeta y el sistema.
En ese momento, entraba en acción el segundo chip que habían instalado previamente, que permitía efectuar la transacción con cualquier PIN. Un discreto método con el que consiguieron efectuar hasta 7.000 transacciones.
Aunque según los investigadores las vulnerabilidades ya se han corregido y se detuvo a los defraudadores, este caso pone de manifiesto la importancia de contactar con nuestra entidad bancaria rápidamente si nos roban la cartera o perdemos la tarjeta.
Sin embargo, la modificación de la tarjeta no es la única forma en la que pueden desplumarte si tu medio de pago acaba en malas manos. Ross Anderson, profesor de Ingeniería de la Seguridad en la Universidad de Cambridge, lleva años investigando cómo los atacantes podrían tomar el control de una tarjeta de crédito y ha resumido recientemente algunas de las vías que pueden utilizar los ciberdelincuentes.
Copiar los datos de la tarjeta desde un TPV para enviarlos a otro, pasar la información de una tarjeta de chip y PIN a tarjetas de banda magnética o incluso manipular un TPV para lograr que intercepte la comunicación de la tarjeta durante la transacción y envíe los datos a un teléfono móvil son algunos de los métodos que pueden utilizar los ciberdelincuentes.
Ahora bien, ¿qué podemos hacer los usuarios teniendo cuenta todas esas vulnerabilidades? En realidad, menos de los que nos gustaría. La mayor parte de fraudes se aprovechan de las vulnerabilidades del estándar EMV, por lo que las fabricantes de las tarjetas y los bancos son los que deben preocuparse para que las transacciones sean lo más seguras posibles.
Eso sí, algunas recomendaciones son pagar con tarjeta únicamente en los establecimientos en los que confiemos, no tener todos nuestros ahorros guardados en la cuenta bancaria asociada con esa tarjeta de crédito y revisar nuestras cuentas periódicamente para comprobar que no se ha realizado ninguna compra por arte de magia de la que no tuviéramos constancia.
Ser conscientes de las vulnerabilidades de las tarjetas de crédito también puede ayudarnos a optar por otras alternativas, como las tarjetas de créditos que leen nuestra huella dactilar, una contraseña que ningún ciberatacante puede robarnos.
MasterCard creó el año pasado la primera tarjeta con lector de huellas para validar la identidad del comprador junto con la ‘startup’ noruega Zwipe. Recientemente, la famosa compañía de tarjetas de crédito y débito ha anunciado que experimentará con el reconocimiento facial para las compras online.
La biometría acabará con las tradicionales contraseñas dentro de unos años y podría ser la solución a las vulnerabilidades de las tarjetas que cuentan con chip y PIN. Mientras tanto, lo mejor es estar informados como usuarios de los riesgos que corremos con nuestras convencionales tarjetas de crédito.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
