Cuando alguien saca dinero del cajero
automático, se genera "un número
imprevisible" para darle autenticidad
a la operación.
Nuevo
estudio expone la vulnerabilidad de las tarjetas de débito y crédito.
La actual
vulnerabilidad del popular método de pago con tarjetas de débito y crédito -que
poseen un chip y un número pin- ha sido expuesta por investigadores de la
Universidad de Cambridge.
Los hallazgos,
presentados este martes en una conferencia de criptografía en Leuven, Bélgica,
muestran que las tarjetas aún pueden ser clonadas, a pesar de las promesas de
los bancos que aseguran que los dispositivos están protegidos de cualquier
amenaza.
Según los expertos, la
razón es la escasa implementación de métodos de criptografía.
Por ello, acusan a las
instituciones bancarias de ocultar información acerca de las debilidades del
sistema.
El número imprevisible
El trabajo de
investigación asegura que aunque el método del chip y la clave secreta ha sido utilizado
por más de una década, "solo recientemente ha comenzado a estar bajo el
escrutinio de la industria, los académicos y los medios de comunicación".
Cada vez que un
cliente realiza una transacción con su tarjeta de débito, bien sea sacar dinero
de un cajero o realizar alguna compra en una tienda, se crea "un número
único e imprevisible" para autenticar la operación.
Se supone que ese
código (UN, por sus siglas en inglés), generado por un software en los cajeros
y otros equipos similares, se escoge al azar.
Sin embargo, los
investigadores descubrieron que los equipos menos modernos pueden generar
números muy previsibles.
"Si se logra
adivinar el UN, será posible grabar todos los datos necesarios para conseguir
un acceso momentáneo a la tarjeta y volver a utilizarlos en el futuro",
dijo el investigador Mike Bond.
"Es como si se
hubiese clonado el chip. Se trata de un ataque planeado".
Fraude
"El tipo de
fraude que hemos descubierto se explica fácilmente de esa forma. No hay ningún
otro modus operandi en el que podamos pensar", explicó el profesor Ross
Anderson a la BBC.
"Por ejemplo, un
profesor de física de Estocolmo pagó US$326 por una cena de navidad el año
pasado. Hora y media después se realizó un retiro de su cuenta a través de un
cajero automático por un monto de US$964, con lo que parecía ser una tarjeta
clonada".
Los investigadores
aseguran haber contactado a los bancos principales para detallarles los
riesgos. Algunos de ellos dijeron estar "explícitamente consientes del
problema desde hace años".
En el reporte se lee:
"Si estas afirmaciones son ciertas, queda en evidencia que las
instituciones suprimen información sistemáticamente sobre de las
vulnerabilidades del sistema bancario, para luego negarles el reembolso a las
víctimas".
En contraposición, una
portavoz del grupo contra el fraude de Reino Unido dijo que nunca se ha
afirmado que el chip y el pin sean 100% seguros.
"La industria ha
adaptado con éxito diversos métodos para detectar nuevas formas de fraude. No
hay evidencia de que este complicado ataque se realice en el mundo real, ya que
requiere un esfuerzo considerable y una serie de actividades coordinadas".
"Ambas
características lo convierten en un método menos atractivo para los
criminales", asegura.
Evolución
El chip y el pin
lideran los procesos de identificación en las transacciones de débito y
crédito, con más de 1.000 millones de usuarios en todo el mundo.
Debido a la seguridad
actual, en comparación con tecnología previa como la clonación de la banda
magnética, los bancos se han vuelto más agresivos con los reclamos de
compensación, dicen los investigadores.
Sin embargo, el
rechazo de los bancos a dar la compensación necesaria ha ayudado a que se
realicen más investigaciones y se descubran otras vulnerabilidades.
No hay comentarios:
Publicar un comentario