tarjetas con chip y PIN no son tan seguras

Al parecer las tarjetas con chip y pin no son tan seguras.

El sistema que fue introducido para hacer mas seguras las transacciones con las tarjetas, pero ya ha presentado sus primeras falencias, dejando en claro que las tarjetas con chip y pin no son tan seguras como se había dicho en un comienzo.

Al utilizar tu tarjeta bancaria con chip, todo tu dinero puede desaparecer en tan solo 60 segundos.

A diferencia de las tarjetas magnéticas tradicionales, que utilizan la información estática para realizar una transacción, estas piezas de plástico crean una nueva clave con cada compra, basada en un estándar establecido por Europay, MasterCard y Visa. Eso debería hacer que las compras o retiros de dinero fuesen más seguros, ya que la información sólo es válida durante 60 segundos. Pues resulta que, según la firma de seguridad Rapid7, su investigador Weston Hecker, señala que pueden pasar muchas cosas en ese minuto.

Durante una conferencia de seguridad llevada a cabo durante la semana pasada, Hecker demostró cómo un cajero automático o punto de venta (POS) puede ser utilizado para interceptar dicha clave, además de otros datos sobre la tarjeta bancaria. Los datos se transmiten a continuación a otro dispositivo (en este caso otra máquina de efectivo, cajero automático o ATM) desde la cual, se realiza una segunda operación, que es un retiro de dinero desde su cuenta bancaria.

shimmers atm hacker 3Es una prueba de concepto ingenioso. Pero requiere de la utilización de al menos dos dispositivos. En primer lugar el objetivo, un POS o ATM, el cual necesita una pieza de hardware instalado que lea el chip de la tarjeta. Este proceso se llama “shimmers”. (Haciendo el mismo truco con una tarjeta magnética se llama “skimming”.) Una vez que los datos han sido capturados, estos se transmiten a un cajero automático legítimo, pero que ha sido adulterado para tales efectos por los delincuentes.

Esta máquina de efectivo puede ser equipada con un sistema al cual Hecker llama “shimmer”. Este engaña al ATM ( cajero automático), haciéndole creer que la tarjeta real se está insertando en la ranura, después de lo cual se ingresa el PIN capturado. Luego se procede a retirar la cantidad máxima de dinero que permite la tarjeta bancaria, y por un lapso de algunos minutos, la víctima ni siquiera echara de menos el dinero.

Cómo funciona el hackeo

El hackeo requiere de dos procesos que se deben realizar.

En primer lugar, los delincuentes tienen que añadir un pequeño dispositivo conocido como un “shimmer” una máquina dispensadora de dinero (en este caso, el lector de tarjetas del cajero automático) con el fin de lograr un ataque del tipo “man-in-the-middle” (MITM) contra un cajero automático.

shimmers atm hacker 1El shimmer se encuentra entre el chip de la tarjeta de la víctima y el lector de tarjetas ubicado en el cajero automático o bien en el punto de pago y puede grabar los datos del chip, incluyendo el PIN, al igual que lo lee un cajero automático o un punto de pago. A continuación, transmite estos datos a los delincuentes.

Los delincuentes a continuación, utilizan un teléfono inteligente para descargar estos datos robados y volver a crear la tarjeta de la víctima, para ser usada en un cajero automático, dándole instrucciones para expulsar efectivo en forma constante.

Tod Beardsley, un gerente de investigación de seguridad de Rapid7, señalo, que un shimmer es básicamente un diminuto dispositivo alimentado por un RaspBerry Pi, que podría ser instalado rápidamente en un cajero automático sin necesidad de acceder a las partes internas de la máquina dispensadora de efectivo. (cajero automático, punto de pago o ATM).

tarjetas con chip y PIN no son tan seguras
Este es un shimmer.

El gran golpe sería lograr que varias maquinas con “shimmers” instalados, transmitieran todas las operaciones hacia un solo cajero automático “secuestrado”, y este recogería todo el efectivo. Si el ATM se ve comprometido, ponen el “shimmer” en otra máquina ubicada en otro lugar y comienzan a recoger los datos (y el efectivo) de nuevo.

shimmers atm hacker 2
El mismo shimmer de la foto anterior, pero esta vez instalado en el interior de un cajero.

Hecker pasó un año analizando los cajeros automáticos y los sistemas bancarios para llegar a este ataque. Mientras que los ladrones (también llamados “tarjeteros”) siguen utilizando actualmente skimmers para llenar sus bolsillos, es poco probable que se alejen de una vida delictual, aun cuando descubran que las tarjetas con chip y PIN serán la única manera de llegar al dinero en efectivo.

La presentación estaba destinada a ser una llamada de atención para los sistemas automáticos y por sobre todo a la banca. Hay una ventana de tiempo hasta que todos los cajeros automáticos y puntos de pago con tarjetas con chip se masifiquen y por ende los ladrones informáticos los vean como un objetivo potencial y real. Durante esa ventana de tiempo, se espera que los cajeros automáticos de propiedad privada se actualicen mediante la instalación de un dispositivo de detección de estos dispositivos de captura de datos y que el tiempo que tardan en completar una transacción sea inferior a los 60 segundos actuales.

Este tipo de ataque probablemente no sucederá en los próximos meses. Hecker dijo que no espera ver este tipo de sistemas en uso (por lo menos no de manera masiva) hasta aproximadamente el mes de octubre del 2018. Sin embargo, a menos que la brecha de los 60 segundos se cierre o el sistema se haga más seguro, en el futuro esto será un problema que nos afectará a todos.