jueves, 26 mayo 2022
Visitas totales a la web: 87577253

El portal de los profesionales de seguridad y emergencias

Nº 1 del mundo en español en seguridad global

Soluciones de seguridad global

Las tarjetas Visa tienen un fallo de seguridad que permite realizar pagos sin PIN superando el límite

Un atacante sólo necesitaría colocar un teléfono con NFC junto al terminal y otro junto a la tarjeta para realizar un pago sin PIN.

El protocolo de pagos sin contacto de las tarjetas bancarias Visa contiene un fallo de seguridad que permite que los delincuentes lleven a cabo pago

Así lo han descubierto los investigadores David Basin, Ralf Sasse y Jorge Toro, de la Escuela Politécnica Federal de Zúrich (Suiza), que han analizado la seguridad del protocolo de estándares de tarjetas EMV, llamado así por sus fundadores Europay, Mastercard y Visa, y que en diciembre de 2019 se usaba en 9.000 millones de tarjetas en el mundo.

Las tarjetas bancarias Visa emplean un protocolo de seguridad para los pagos sin contacto que obligan a introducir el código PIN para importes superiores a un límite máximo, actualmente de 50 euros. No obstante, debido a las vulnerabilidades descubiertas, cualquier persona que se haga con una tarjeta Visa, o incluso si coloca un teléfono con NFC a su lado, podría realizar pagos sin contacto que superen el límite establecido.

Para llevar a cabo este ataque, los investigadores de la universidad suiza han utilizado dos ‘smartphones’ Android comunicados entre sí por WiFi y que están equipados con sensores NFC de pagos móviles.

La tecnología NFC (siglas de Near-field communication) permite a los dispositivos comunicarse entre sí y enviarse información y órdenes (se usa, por ejemplo, para emparejar teléfonos con auriculares Bluetooth). Sin embargo, ambos terminales deben estar en contacto para que funcione, por lo que cualquier atacante debería colocar su móvil prácticamente pegado a la tarjeta.

En cualquier caso, si se sitúan cerca del terminal de pagos y de la tarjeta de crédito, los móviles pueden comunicarse entre ellos a través de una aplicación (en este caso utilizan Wifi) y modificar los datos de la transacción antes de enviarlos al datáfono.

Así, la tarjeta y el terminal, que creían estar comunicándose entre ellos, en realidad ‘hablan’ cada uno con uno de los teléfonos, que se envían una orden modificada que a su vez llega a los dispositivos atacados.

De esta manera, los datos que se envían pasan a incluir instrucciones adicionales, como que el código PIN no es necesario para el pago -aunque sea superior al límite- y que el propietario de la tarjeta está verificado en el ‘smartphone’ utilizado.

Según explican los investigadores, para su estudio reprodujeron el ataque en terminales reales de tiendas del mundo real, aunque para ello utilizaron sus propias tarjetas.

Este fallo de seguridad está presente en el protocolo de pagos sin contacto de Visa y según los investigadores es posible que afecte también a los de Discover y UnionPay.

Por otro lado, el estudio también recoge otro tipo de fraude en el que es posible que un atacante utilice su propia tarjeta para hacer una transacción offline de poco valor que en realidad nunca se cobrará. El terminal no es capaz de detectar la modificación, pero el banco sí podría hacerlo (aunque no en tiempo real).

Fecha de publicaciónseptiembre 01, 2021

BELT.ES no se hace responsable de las opiniones de los artículos reproducidos en nuestra Revista de Prensa, ni hace necesariamente suyas las opiniones y criterios expresados. La difusión de la información reproducida se realiza sin fines comerciales. 

Listado de Expertos

Recomendado

Profesión militar: Obediencia debida frente a la obligación de disentir

Con ocasión de la realización de estudios en el Instituto Universitario Gutiérrez Mellado tuve la ocasión de leer y analizar una serie de documentos de opinión que trataban en profundidad las diferentes facetas presentes en el campo de las relaciones cívico-militares; temas que , habitualmente, no han estado presentes en los diferentes cursos y actividades formativas en la enseñanza militar, ni, por supuesto, en la civil.

El amor de Macarena Olona por la Guardia Civil empieza por su pareja, un joven oficial condecorado

El padre de su hijo llegó a la Benemérita como militar de carrera y, los que le...

La artillería ‘made in USA’ comprada por Marruecos que deja fuera de juego a España

El país magrebí sigue reforzando sus fuerzas armadas a golpe de talonario, y no lo hace de...

Últimas noticias

El último duelo: una historia real de crimen, escándalo y juicio por combate en la Francia Medieval

Ofrecemos aquí un adelanto editorial del libro de Eric Jager en que se basa la película de...

Miedo en Shanghái: la verdadera cara del régimen chino debería preocuparnos

La rutina, el desgaste y la desilusión provoca que algunos tesoros de los que disponemos se vuelvan invisibles. Eso hace más sencillo...

Este enfermero fundó un servicio sanitario que salva la vida a 1.000 madrileños al año

Javier Quiroga y José Luis Gilarranz pusieron en marcha el Samur en los años noventa. Ahora el servicio celebra su 30 aniversario....

Vuelve la estafa por email que suplanta a cuerpos y fuerzas de seguridad

Desde principios de año estamos viendo que los delincuentes están utilizando varias plantillas que suplantan la identidad de fuerzas y cuerpos de...

Ha llegado la hora de proteger España

España abandonó el 1993 la aplicación de la Ley de Dotaciones para las Fuerzas Armadas que garantizaban un incremento de las inversiones militares así...