La actual vulnerabilidad del popular método de pago con tarjetas de débito y crédito -que poseen un chip y un número pin- ha sido expuesta por investigadores de la Universidad de Cambridge.
Los hallazgos, presentados este martes en una conferencia de criptografía en Leuven, Bélgica, muestran que las tarjetas aún pueden ser clonadas, a pesar de las promesas de los bancos que aseguran que los dispositivos están protegidos de cualquier amenaza.
Según los expertos, la razón es la escasa implementación de métodos de criptografía.
Por ello, acusan a las instituciones bancarias de ocultar información acerca de las debilidades del sistema.
El número imprevisible
El trabajo de investigación asegura que aunque el método del chip y la clave secreta ha sido utilizado por más de una década, "solo recientemente ha comenzado a estar bajo el escrutinio de la industria, los académicos y los medios de comunicación".
Cada vez que un cliente realiza una transacción con su tarjeta de débito, bien sea sacar dinero de un cajero o realizar alguna compra en una tienda, se crea "un número único e imprevisible" para autenticar la operación.
Se supone que ese código (UN, por sus siglas en inglés), generado por un software en los cajeros y otros equipos similares, se escoge al azar.
Sin embargo, los investigadores descubrieron que los equipos menos modernos pueden generar números muy previsibles.
"Si se logra adivinar el UN, será posible grabar todos los datos necesarios para conseguir un acceso momentáneo a la tarjeta y volver a utilizarlos en el futuro", dijo el investigador Mike Bond.
"Es como si se hubiese clonado el chip. Se trata de un ataque planeado".
Fraude
"El tipo de fraude que hemos descubierto se explica fácilmente de esa forma. No hay ningún otro modus operandi en el que podamos pensar", explicó el profesor Ross Anderson a la BBC.
"Por ejemplo, un profesor de física de Estocolmo pagó US$326 por una cena de navidad el año pasado. Hora y media después se realizó un retiro de su cuenta a través de un cajero automático por un monto de US$964, con lo que parecía ser una tarjeta clonada".
Los investigadores aseguran haber contactado a los bancos principales para detallarles los riesgos. Algunos de ellos dijeron estar "explícitamente concientes del problema desde hace años".
En el reporte se lee: "Si estas afirmaciones son ciertas, queda en evidencia que las instituciones suprimen información sistemáticamente sobre de las vulnerabilidades del sistema bancario, para luego negarles el reembolso a las víctimas".
En contraposición, una portavoz del grupo contra el fraude de Reino Unido dijo que nunca se ha afirmado que el chip y el pin sean 100% seguros.
"La industria ha adaptado con éxito diversos métodos para detectar nuevas formas de fraude. No hay evidencia de que este complicado ataque se realice en el mundo real, ya que requiere un esfuerzo considerable y una serie de actividades coordinadas".
"Ambas características lo convierten en un método menos atractivo para los criminales", asegura.
Evolución
El chip y el pin lideran los procesos de identificación en las transacciones de débito y crédito, con más de 1.000 millones de usuarios en todo el mundo.
Debido a la seguridad actual, en comparación con tecnología previas como la clonación de la banda magnética, los bancos se han vuelto más agresivos con los reclamos de compensación, dicen los investigadores.
Sin embargo, el rechazo de los bancos a dar la compensación necesaria ha ayudado a que se realicen más investigaciones y se descubran otras vulnerabilidades.
No hay comentarios:
Publicar un comentario