Un grupo de investigadores de la universidad de Cambridge han descubierto una vulnerabilidad en el sistema de seguridad que llevan las tarjetas con chip. Según este método, se podría llegar a clonar una tarjeta de crédito y efectuar una transacción fraudulenta.
EMV es un estándar de interoperabilidad desarrollado por Europay, MasterCard y Visa en los años 90 para la autenticación de pagos mediante tarjetas de crédito y de débito. Este nuevo sistema se planteó para sustituir a las inseguras tarjetas con banda magnética, cuyo sistema de seguridad no era suficiente para impedir su clonación.
Desde hace varios años, las tarjetas están abandonando la insegura banda magnética en favor del chip incrustado que contiene información cifrada. El acceso a la información requiere un código PIN secreto para que la operación se lleve a cabo correctamente. A grandes rasgos, el proceso a la hora de efectuar una transacción es el siguiente:
-
Cuando un terminal o ATM (Automatic Teller Machine) quiere iniciar una transacción, este envía toda la información (cantidad, moneda, fecha, etc…) a la tarjeta que se encuentra insertada, junto con un código llamado UN (Unpredictable Number) que el cajero o terminal genera al vuelo en el momento de la transacción.
-
La tarjeta usa una clave de cifrado secreta, que se encuentra guardada en el chip, para generar un código que autoriza la petición (ARQC) a partir de los datos de la transacción y el UN facilitado por el terminal. El ARQC es enviado de vuelta al terminal.
-
El ATM envía el código ARQC junto con el PIN cifrado y el UN en texto plano al banco de la tarjeta en cuestión.
- Por último, el banco descifra el ARQC y valida la información que contiene. También valida el UN que contiene el ARQC que el terminal ha enviado en texto plano. Si ambos coinciden, la transacción es válida y autorizada.
 |
| fuente: http://www.cl.cam.ac.uk/~rja14/Papers/unattack.pdf
|
En particular, el caso que inició esta investigación fue el ocurrido a un cliente del banco HSBC por el que varias transacciones fraudulentas fueron realizadas a través de un terminal de Palma de Mallorca, el 29 de junio de 2011. Una vez conseguidos estos registros, fueron revisados y se pudo comprobar que unos de los campos que identifica la transacción, el UN, tenía poco de «unpredictable«:
 |
| fuente: http://www.cl.cam.ac.uk/~rja14/Papers/unattack.pdf
|
En la mayoría de los casos analizados se comprobó que este valor era generado usando un algoritmo «aleatorio» bastante pobre (a veces, incluso contadores, dependiendo del terminal) permitiendo la posibilidad a un ataque de tipo «pre-play«.
Un ejemplo de este tipo de ataques propuesto por estos investigadores es el siguiente:
-
Un negocio «tapadera» controlado por los atacantes, podrían usar un terminal modificado para guardar la información de la tarjeta y el PIN que el cliente ha introducido para realizar un pago legal. A la vez que se realice esa transacción, se puede obligar a la tarjeta a generar otro código ARQC para una transacción con fecha futura y UN específico. El UN será un número que los atacantes saben que será generado por un modelo específico de terminal en el futuro.Después de recibir el segundo código ARQC de la tarjeta, el atacante podrá crear una tarjeta clonada con la información de la tarjeta legítima y programarla con el código ARQC que contiene la información de la transacción futura. Por último, el atacante tendrá la posibilidad de efectuar una única transacción con esa tarjeta para la fecha que se fijó.
En resumen, se tendría un efecto similar al de clonación que existe hoy con las bandas magnéticas, pero con tarjetas protegidas con chip.
Los investigadores avisaron a los responsables de la pobre aleatoriedad de creación de los UN por parte de algunos terminales. Al parecer, no han recibido demasiada atención.
Terminan con una dura crítica hacia las entidades bancarias a las que acusan de conocer los riesgos que entraña este sistema de pago y aún así ocultarlos. Por su parte, la Financial Fraud Action (organización que se encarga de controlar el fraude financiero en Gran Bretaña) ha insistido en que en nunca dijeron que la eficacia de estas nuevas tarjetas fuese absoluta además de que, si bien es cierto que los atacantes puedan realizar operaciones fraudulentas, sería muy arriesgado.
Más información:
Chip and Skim: cloning EMV cards with the pre-play attack
Chip and pin ‘weakness’ exposed by Cambridge researchers
Daniel Vaca
Buen artículo! 😀
'tenía poco de «unpredictable»'.. chapó caballero.
Hombre, y tanto como «clonar» no es.
Sí se puede hacer alguna transacción fraudulenta, y eso ya es un problema muy grave, pero se queda lejos de ser similar a clonar la tarjeta. Un poco alarmistas o exagerados si soys…
Copio del mismo artículo… «el atacante tendrá la posibilidad de efectuar una única transacción con esa tarjeta para la fecha que se fijó».-
Es la primera vez en más de 10 años de leer vuestros articulos en que me encuentro con que el titular no refleja apropiadamente la noticia compartida.
Lo veo bastante improbable, pero hay que evaluar que este tipo de fraudes existe desde hace mucho tiempo, me alarmaría mucho más por los datos bancarios que vamos dejando por la red o en el teléfono como Whatsapp…
Hola, que tal?
Mi pregunta: ¿tiene que conincidir solo la fecha o también la hora exacta?
Pues eso.
Bye!!
Pero esto estaba claro. Yo lo sabía muuucho antes de saliera este estudio. Desde que empezaron a expedirse este tipo de tarjetas. Y no soy cientifico ni ingeniero ni nada por el estilo. Simplemente se perfectamente que siempre hay alguna forma de evadir todos los sistemas de seguridad que se implante. Siempre hay alguien por detrás que revienta lo que otro ha desarrollado. Ingenieria inversa, descompilar un programa, etc, etc.
No se trata de «saber que se puede», sino de «saber como se puede».
me interesa trabajar seriament5e sobre este asunto, estoy dispuesto a escuchar sugerencias
Hola pues fíjense que no se si se deba a esto pero me clonaron la tajeta de nomina con Banamex en Merida yucatan, y es con chip y el retiro según el estado de cuento lo hicieron de un cajero red en Naucalpan en otro estado como ven?
Este comentario ha sido eliminado por el autor.
eso con chip o con banda magnetica para los ladrones espertos no hay nada imposible.
eso no es imposible por que hasta los mismos cajeros del banco se encargan de pasar informacion a los ladrones,si no como hacen para saber cuando una persona lleva dinero y en mitad de camino los interseptan y les quitan lo que llevan,no sera por obra y gracia del espiritu santo que se enteran de que personas llevan el dinero y una muy buena cantidad,lo peor de todo es que lo que por agua llega por agua se va y Dios no se queda con nada ajeno.
Si pero una cosa es robo em persona q robo magnetica
Hacer una tarjeta falsa colocando la infomacion numeral sin informacion magnetica … una ves el cajero viendo q su maquina no leee el La colocara manual mente q eso es como compra online asi q con chip o no se puede
Copia toda la numeracion frente y 3cvv as una igual solo no pongas infomacion magnetica puedes imprimir tu nombre eso no sale y cuando la pasen no leera la informacion y la colocaran al estilo viejo osea manual y La transaction se realisara como si fuera una pago por tlf para q entiendas y sera aprobada
Y por q a mi me paso en mi tienda asi q El que tiene punto manual nada