Un nuevo fallo permite a un atacante usar tu tarjeta sin PIN

Estamos acostumbrados a ver vulnerabilidades de seguridad que pueden afectar a nuestros sistemas, dispositivos y cualquier herramienta que usemos. Esto puede poner en riesgo no solo el buen funcionamiento, sino también nuestra propia privacidad. Hoy nos hacemos eco de un nuevo fallo que permite a un atacante utilizar una tarjeta bancaria sin necesidad de PIN. Vamos a explicar en qué consiste.

Un fallo permite usar tarjetas sin PIN

Como decimos, una nueva vulnerabilidad permitiría a un posible intruso utilizar tarjetas bancarias sin necesidad de introducir el PIN. Un problema importante que lógicamente pone en riesgo nuestra seguridad y privacidad. Ya sabemos que el uso de este tipo de tarjetas para pagar por Internet es algo que está muy presente.

Este fallo, según indican los investigadores de seguridad de los que nos hacemos eco, afecta al protocolo EMV. Cada vez que realizamos un pago con tarjetas bancarias (ya sean de crédito o débito), se utiliza el protocolo de comunicación EMV para procesar los pagos. Esto ha sido desarrollado por Europay, Mastercard y Visa, entre otras. Se utiliza para más de 9 mil millones de tarjetas en todo el mundo.

Ahora bien, como puede ocurrir en casi cualquier circunstancia es posible que haya vulnerabilidades. Tres investigadores de seguridad han encontrado que fallos en el protocolo EMV podrían permitir a un atacante realizar un ataque Man-in-The-Middle y de esta forma realizar transacciones fraudulentas.

Dos vulnerabilidades encontradas

Para ello han utilizado un modelo que simula una situación del mundo real que involucraba a la máquina del comerciante, la tarjeta del usuario y el banco. Estos investigadores pudieron encontrar dos vulnerabilidades principales. En primer lugar, desarrollaron una aplicación de Android como prueba de concepto que, cuando se utilizaba para realizar pagos contactless, permitiría al atacante pasar sin usar ningún código PIN. Y ya sabemos que este tipo de pagos se han vuelto muy populares últimamente.

Esto es posible debido a la falta de autenticación y criptografía utilizada en el método de verificación del titular de la tarjeta. Esto hace que sea posible que el atacante modifique la configuración para satisfacer sus necesidades. Como ejemplo, los investigadores también realizaron una transacción de este tipo con éxito por valor de casi 200 euros para realizar pruebas en una tienda real utilizando sus propias tarjetas.

Pero hay una segunda vulnerabilidad que permitiría que un atacante engañe al comerciante haciéndole creer que una transacción contactless fuera de línea se ha realizado correctamente en el acto, pero más tarde se revela que fue rechazada. Esto sería posible con una tarjeta Visa o MasterCard antigua. Eso sí, en este caso no lo llegaron a probar en la realidad.

En definitiva, estos dos fallos de seguridad podrían poner en riesgo el uso de las tarjetas bancarias. La solución sería tan sencilla como actualizar los sistemas de terminales a nivel global. Una vez más se demuestra la importancia de mantener siempre todo actualizado para corregir posibles vulnerabilidades.