Esta falla de seguridad en las tarjetas Visa podría dejarte sin dinero

Te decimos en qué consiste la falla de seguridad en el sistema contactless de Visa
Imagen: Unsplash

El protocolo de pagos sin contacto (o contactless) de las tarjetas Visa tiene una falla de seguridad que permite a terceros hacer pagos usando este sistema sin siquiera utilizar el código PIN,  y en cantidades superiores al límite establecido.

David Basin, Ralf Sasse y Jorge Toro de la Escuela Politécnica Federal de Zúrich (Suiza) llevaron a cabo esta investigación sobre el llamado código EMV, nombrado así por Europay, MasterCard y Visa. La investigación fue presentada en la 42º edición del simposio de seguridad y privacidad del Instituto de Ingeniería Eléctrica y Electrónica (IEEE por sus siglas en inglés). Señalan:

 “A pesar de la seguridad anunciada del estándar, se han planteado varios problemas descubierto anteriormente, derivado de fallas lógicas que son difíciles de detectar en la extensa y compleja especificación de EMV”.

Los investigadores además advierten:

 “Una de las fallas encontradas, presente en el protocolo sin contacto de Visa, permite un ataque de omisión de PIN para transacciones que presuntamente están protegidas por la verificación del titular de la tarjeta, generalmente aquellas cuyo monto está por encima de un límite superior local sin PIN. Esto significa que el PIN no evitará que los delincuentes utilicen su tarjeta Visa contactless para pagar una transacción, incluso si el monto supera el límite mencionado. Para llevar a cabo el ataque, los delincuentes deben tener acceso a su tarjeta, ya sea robándola o encontrándola si se pierde, o sosteniendo un teléfono habilitado para NFC cerca”.

Imagen: Especial

En esto consiste el fallo

Supongamos que tenemos dos dispositivos móviles equipados con sensores NFC de pagos móviles y comunicados entre sí a través de WiFi. Si ambos están cerca de una terminal de pagos, pueden comunicarse entre sí a través de una aplicación para modificar los datos de la transacción antes de enviarlos a la terminal.

Con esta maniobra, se puede ordenar a la terminal que no exija un código PIN, incluso si el pago excede el límite. Además, puede engañarse a la terminal para que crea que el propietario de la tarjeta fue autorizado por el smartphone utilizado.

Este fallo hace vulnerables los pagos contactless de Visa, así como posiblemente a Discover y UnionPay.

De igual forma podría engañarse a las terminales para que realicen pagos sin conexión, para que de este modo acepten transacciones falsas. Con ello, el usuario podría irse sin pagar la cuenta.