Un fallo permite sacar dinero de las tarjetas robadas sin conocer el PIN
El grupo de investigación para la seguridad informática de la Universidad de Cambridge hace el siguiente comunicado:
EMV Cuña de vulnerabilidad de verificación de PIN
Resumen Ejecutivo
El protocolo EMV se utiliza en todo el mundo para pagos de crédito y débito de tarjetas, conocido comúnmente en el Reino Unido como ¨Chip y PIN¨. Nuestro análisis de EMV ha descubierto fallos que permiten a los delincuentes utilizar las tarjetas robadas sin conocer el PIN correcto. En los casos en los que se aprovechan estos fallos – en el ataque ¨cuña¨ – el recibo y los datos del banco confirmarían que el PIN se verificó correctamente, por lo que a la víctima de este fraude le podrían denegar su solicitud de reembolso. Hemos confirmado que este ataque funciona en el Reino Unido, incluyendo las transacciones online (a través de Internet; en las que la terminal se pone en contacto con el banco para pedir la autorización antes de completar la compra). No se emplea en el Reino Unido para las transacciones ATM, que utilizan un método diferente de verificación de PIN.
Nuestro documento académico describiendo los puntos débiles en detalle, y la forma de protegerlos, ha circulado privadamente dentro del sector bancario desde principios de diciembre. El documento será publicado en el simposio IEEE de Seguridad y Privacidad, en mayo de 2010; una versión preliminar está disponible.
Información previa
En una transacción normal, el cliente introduce su PIN en el terminal al de pago, y el terminal envía el PIN a la tarjeta para comprobar si es correcto. Entonces, la tarjeta envía el resultado al terminal para proseguir la transacción si el PIN es correcto (ver la parte superior de la figura de arriba).
El ataque utiliza un dispositivo electrónico como un ¨intermediario¨ para evitar que el mensaje de verificación del PIN llegue a la tarjeta, y para responder siempre que el PIN es correcto. De este modo, el terminal piensa que el PIN fue introducido correctamente, y la tarjeta asume que la transacción fue autentificada con una firma (ver la parte inferior de la figura superior).
La idea no es nueva: <em>”Man in the middle”</em>. Tal vez la implementación.
Mucho más vulnerable es el pago vía teléfono móvil, cuyo débil cifrado hace años que se rompió, y volviéndose a romper tras la mejora. Todo porque los Estados quieren cifrado débil o con puerta trasera para controlar las comunicaciones.
Con los nuevos móviles que vienen, dicho sistema de pago se va a popularizar mucho, me temo.
Con las tarjetas el banco se hace cargo de la estafa (y más tras la reciente sentencia del Supremo). No sé si ocurre otro tanto -sería lo lógico- con el telefónico.
Antaño estaba muy al tanto del tema. Ahora le doy un toque a Sergio Hernando, que seguro que está al día.
Buenas,
Relacionado.
http://www.lightbluetouchpaper.org/2010/02/11/chip-and-pin-is-broken/
Me esperaré a ver el paper oficial a ver qué han hecho esta vez
Un saludo chicos !!! Y gracias por el chivatazo, Maty!
Buenas,
Mas que relacionado, es el mismo caso. No había visto el paper enlazado, pero vamos, es el mismo asunto. Mis disculpas
Un saludo,
Me ha contestado por correo:
Leave your response!
Archivos
Categorías
Etiquetas
Blogroll
Most Commented