Es posible para un mismo cliente, dado un número de tarjeta American Express, predecir el número de la siguiente tarjeta que se le asignaría (tras caducidad o cancelación de la anterior).
 |
| Samy Kamkar |
Samy Kamkar (@SamyKamkar), conocido entre otras cosas por haber desarrollado el gusano «Samy» de MySpace, descubrió este patrón al recibir una tarjeta nueva por perder la antigua. Comparó el número antiguo con el nuevo, y notó que algunos de los dígitos eran similares. Tras recopilar más parejas de números nuevos y antiguos encontró un patrón global que le permite predecir el número de la siguiente tarjeta dado el anterior.
Esto podría ser útil para un atacante con una tarjeta robada de esta institución, que podría predecir el número de la tarjeta siguiente. Con ello se reconstruiría toda la información necesaria para obtener una copia de la nueva tarjeta, si bien no funcionaría en todos los establecimientos por no ser posible predecir el CVV de la nueva tarjeta. En la reconstrucción de la nueva tarjeta se aprovechan ciertas características de las tarjetas, como que la nueva fecha de expiración es precedible según la fecha de la petición de la nueva tarjeta, y que otros campos internos son válidos simplemente copiándolos de la antigua o se derivan fácilmente. Todo esto tiene sus matices y también intervienen otras protecciones adicionales, que pueden dificultar el ataque.
Otra característica preocupante comentada por Kamkar se da por el contexto de Estados Unidos, al no tener generalizado el uso de Chip-and-PIN. Si una tarjeta tiene chip y el terminal lo soporta, al pasar la tarjeta usando la banda magnética el terminal pide que se pase usando el chip, por seguridad. El caso es que es la misma banda magnética la que codifica en texto claro si la tarjeta tiene chip o no, con lo que es posible cambiar esta información haciendo creer que la tarjeta no tiene chip y evadir el sistema de Chip-and-PIN.Finalmente, y en vez de usar un codificador de tarjetas magnéticas, Kamkar ha construido un pequeño dispositivo que permite simular el paso de una tarjeta usando la banda magnética, pero a unos centímetros de distancia. Básicamente, recrea el campo magnético que produciría el paso de la tarjeta, pero con una potencia superior, para salvar la distancia. La construcción de este dispositivo se estima en 10 dólares estadounidenses, y las instrucciones para hacerlo están disponibles en su página web. Este tipo de dispositivos ya existía antes, si bien no se había reunido en el mismo dispositivo el ser pequeño, a distancia y barato. Hasta ahora.
I’ve released MagSpoof, which can wirelessly spoof credit cards/magstripes, disable Chip&PIN, and predict Amex cards https://t.co/MTbzc0Qax8
— Samy Kamkar (@samykamkar) noviembre 24, 2015
En la comunicación de Kamkar con American Express sobre este asunto, un ingeniero de la institución asegura que la predicción de números de tarjeta no es un riesgo serio, por las mitigaciones adicionales incorporadas en el sistema. Mitigaciones que hacen poco práctico el ataque, aunque no imposible. El coste de modificar el sistema de seguridad de un sistema de pago, debido a la cantidad de sistemas que habría que actualizar y la necesidad de respetar sistemas antiguos, es bastante alto. Esto retrasa la llegada de medidas de seguridad a estos sistemas. En Estados Unidos, están en proceso de reemplazar el sistema de banda magnética por el de chip, más seguro, si bien tampoco infalible.
Más información:
Página de Samy Kamkar sobre esta investigación
Noticia de WIRED ampliando información
Estado actual de la implantación de Chip-and-PIN en EEUU y sus vulnerabilidades
Artículo sobre Samy Kamkar
Carlos Ledesma
http://dle.rae.es/?id=TxlYpR2