parentesis.com/

Sólo 6 segundos para vulnerar una tarjeta Visa


Es el tiempo que tardaron investigadores de de la Universidad de Newcastle para vulnerar su sistema de pago, a través de Internet.

por: Juan Martin M Juan Martin M

portada de nota

Investigadores de la Universidad de Newcastle, en Reino Unido, afirman que el sistema de pago con tarjetas de crédito Visa puede verse comprometido en “tan sólo seis segundos”. Esta falla de seguridad posiblemente fue el punto de entrada para el ciberataque al Banco Tesco, en el que se perdieron 2.5 millones de libras esterlinas.

 

Sin embargo, no se trata de un hackeo de alto nivel: todo lo que necesita un ladrón para apropiarse de un tesoro lleno de datos de tarjetas de crédito es una laptop con conexión y algunas conjeturas básicas, refieren los científicos.

 

El equipo, liderado por el estudiante de doctorado Mohammed Ali, llama al método Distributed Guessing Attack, y se basa en una estrategia sencilla: se generan elementos numéricos aleatorios para conjeturar combinaciones de números de tarjeta, fechas de expiración y códigos CVV (los tres dígitos que comúnmente se encuentran al reverso de los plásticos).

 

El siguiente paso es probar las combinaciones –un campo a la vez– en múltiples servicios de pago en línea. Puesto que diversos sitios web piden diferentes variaciones de los datos para llenar los respectivos campos de entrada, es más fácil utilizar el procedimiento por eliminación que esperar a encontrar todo el conjunto de una sola vez.  

 

“El sistema actual de pago en línea no detecta múltiples requerimientos de pago inválidos de diferentes sitios web”, menciona Ali. “Esto permite intentos ilimitados para cada campo de una tarjeta".

 

De este modo, se requiere un número sorprendentemente pequeño de intentos para adivinar los datos, una vez que el hackeo se ha puesto en marcha con una tarjeta activa.

 

La mayoría de éstas son válidas por 60 meses, así que adivinar su fecha de expiración toma a lo mucho 60 intentos. 

 

El número CVV es un poco más difícil de encontrar, pero no tanto: el equipo estima cerca de mil intentos a lo sumo. "Echa a andar esto sobre mil sitios web y en un par de segundos uno de ellos habrá sido verificado", dice Ali.

 

Este es un tema de primera importancia que sólo atañe a la seguridad de las tarjetas Visa, pues los investigadores encontraron que las protecciones contra fraude en línea de MasterCard detectaron un ataque después de 10 intentos o menos.

 

El diario The Guardian reportó que un portavoz de Visa desdeñó el riesgo de vulnerabilidad a gran escala y responsabilizó a los vendedores. Dijo que la empresa está “comprometida con mantener los fraudes en niveles bajos, y que trabaja de cerca con los distribuidores y adquirientes de tarjetas para hacer muy difícil la obtención y uso ilegal de datos de los usuarios… También hay pasos que comerciantes y clientes pueden dar para boicotear los ataques”.

 

Utilizar únicamente una tarjeta para hacer compras en línea ayuda a limitar el riesgo, junto con permanecer alerta de las compras sin verificación.

Comenta:

separador de nota