Yaakov's Group | Ciberseguridad

¿Es segura su tarjeta con chip? Esto depende de su Banco

Comparte este post en tus redes sociales

Las tarjetas de crédito y débito basadas en chips están diseñadas para que no sea factible que los dispositivos de descremado o malware clonen su tarjeta cuando paga algo sumergiendo el chip en lugar de deslizar la banda. Pero una serie reciente de ataques de malware contra comerciantes con sede en los EE. UU. Sugiere que los ladrones están explotando las debilidades en cómo ciertas instituciones financieras han implementado la tecnología para eludir las características clave de seguridad de las tarjetas con chip y crear efectivamente tarjetas falsificadas utilizables.

Las tarjetas de pago tradicionales codifican los datos de la cuenta del titular de la tarjeta en texto sin formato en una banda magnética, que puede leerse y registrarse mediante dispositivos de descremado o software malicioso instalado subrepticiamente en terminales de pago. Esos datos pueden codificarse en cualquier otra cosa con una banda magnética y usarse para realizar transacciones fraudulentas.

Las nuevas tarjetas basadas en chips emplean una tecnología conocida como EMV que encripta los datos de la cuenta almacenados en el chip. La tecnología hace que se genere una clave de cifrado única, denominada token o «criptograma», cada vez que la tarjeta con chip interactúa con un terminal de pago con capacidad de chip.

Prácticamente todas las tarjetas basadas en chips aún tienen gran parte de los mismos datos almacenados en el chip codificado en una banda magnética en la parte posterior de la tarjeta. Esto se debe principalmente a razones de compatibilidad con versiones anteriores, ya que muchos comerciantes, particularmente aquellos en los Estados Unidos, aún no han implementado completamente los lectores de tarjetas con chip. Esta doble funcionalidad también permite a los titulares de tarjetas deslizar la banda si, por algún motivo, el chip de la tarjeta o el terminal habilitado para EMV de un comerciante no funciona correctamente.

Pero existen diferencias importantes entre los datos del titular de la tarjeta almacenados en chips EMV y las bandas magnéticas. Uno de ellos es un componente en el chip conocido como un valor de verificación de tarjeta de circuito integrado o «iCVV» para abreviar, también conocido como «CVV dinámico».

El iCVV difiere del valor de verificación de tarjeta (CVV) almacenado en la banda magnética física, y protege contra la copia de datos de banda magnética del chip y el uso de esos datos para crear tarjetas de banda magnética falsificadas. Tanto los valores de iCVV como de CVV no están relacionados con el código de seguridad de tres dígitos que está impreso visiblemente en el reverso de una tarjeta, que se utiliza principalmente para transacciones de comercio electrónico o para la verificación de la tarjeta por teléfono.

El atractivo del enfoque EMV es que, incluso si un skimmer o malware logra interceptar la información de la transacción cuando se sumerge una tarjeta con chip, los datos solo son válidos para esa transacción y no deberían permitir que los ladrones realicen pagos fraudulentos en el futuro.

Sin embargo, para que las protecciones de seguridad de EMV funcionen, se supone que los sistemas de back-end implementados por las instituciones financieras emisoras de tarjetas deben verificar que cuando una tarjeta chip se sumerge en un lector de chips, solo se presenta el iCVV; y viceversa, que solo se presenta el CVV cuando se desliza la tarjeta. Si de alguna manera no se alinean para un tipo de transacción determinado, se supone que la institución financiera rechazará la transacción.

El problema es que no todas las instituciones financieras han configurado adecuadamente sus sistemas de esta manera. Como era de esperar, los ladrones han sabido de esta debilidad durante años. En 2017, escribí sobre la creciente prevalencia de «shimmers», dispositivos de alta tecnología para descremado de tarjetas diseñados para interceptar datos de transacciones con tarjetas con chip.

Más recientemente, los investigadores de Cyber ​​R&D Labs publicaron un documento que detalla cómo probaron 11 implementaciones de tarjetas con chip de 10 bancos diferentes en Europa y los EE. UU. Los investigadores descubrieron que podían recolectar datos de cuatro de ellos y crear tarjetas de banda magnética clonadas que se utilizaron con éxito para realizar transacciones

Ahora hay fuertes indicios de que el malware detallado en el punto de venta (POS) está utilizando el mismo método detallado por Cyber ​​R&D Labs para capturar datos de transacciones de EMV que luego se pueden revender y utilizar para fabricar copias en banda magnética de tarjetas basadas en chips.

A principios de este mes, la red de tarjetas de pago más grande del mundo, Visa, lanzó una alerta de seguridad con respecto a un reciente compromiso comercial en el que las familias conocidas de malware POS aparentemente fueron modificadas para apuntar a terminales POS habilitados con chips EMV.

“La implementación de la tecnología de aceptación segura, como el chip EMV®, redujo significativamente la usabilidad de los datos de la cuenta de pago por parte de los actores de amenazas, ya que los datos disponibles solo incluían el número de cuenta personal (PAN), el valor de verificación de la tarjeta de circuito integrado (iCVV) y la fecha de vencimiento «, Escribió Visa. “Por lo tanto, siempre que iCVV esté validado correctamente, el riesgo de fraude falsificado fue mínimo. Además, muchas de las ubicaciones comerciales empleaban encriptación punto a punto (P2PE) que encriptaba los datos de PAN y reducía aún más el riesgo para las cuentas de pago procesadas como Chip EMV® ”.

Visa no nombró al comerciante en cuestión, pero algo similar parece haber sucedido en Key Food Stores Co-Operative Inc., una cadena de supermercados en el noreste de los Estados Unidos. Key Food reveló inicialmente un incumplimiento de tarjeta en marzo de 2020, pero hace dos semanas actualizó su aviso para aclarar que los datos de transacciones EMV también fueron interceptados.

«Los dispositivos POS en las tiendas involucradas estaban habilitados para EMV», explicó Key Food. «Para las transacciones EMV en estas ubicaciones, creemos que el malware no habría encontrado el número de tarjeta y la fecha de vencimiento (pero no el nombre del titular de la tarjeta o el código de verificación interno).

Si bien la declaración de Key Food puede ser técnicamente precisa, pasa por alto la realidad de que los estafadores aún podrían utilizar los datos robados de EMV para crear versiones de banda magnética de tarjetas EMV presentadas en los registros de tiendas comprometidas en los casos en que el banco emisor de la tarjeta no EMV implementado correctamente.

Hoy temprano, la firma de inteligencia de fraude Gemini Advisory publicó una publicación en el blog con más información sobre compromisos comerciales recientes, incluido Key Food, en el que los datos de transacciones de EMV fueron robados y terminaron a la venta en tiendas la dark web que atienden a ladrones de tarjetas.

«Las tarjetas de pago robadas durante esta violación se ofrecieron a la venta en la dark web «, explicó Gemini. «Poco después de descubrir esta violación, varias instituciones financieras confirmaron que las tarjetas comprometidas en esta violación se procesaron todas como EMV y no confiaron en la banda magnética como alternativa».

Gemini dice que ha verificado que otra violación reciente, en una tienda de licores en Georgia, también resultó en datos de transacciones EMV comprometidas que se muestran a la venta en tiendas dark web  que venden datos de tarjetas robadas. Como han señalado tanto Gemini como Visa, en ambos casos la verificación adecuada de iCVV por parte de los bancos debería hacer que estos datos EMV interceptados sean inútiles para los delincuentes.

Géminis determinó que debido a la gran cantidad de tiendas afectadas, es extremadamente improbable que los ladrones involucrados en estas violaciones interceptaran los datos de EMV utilizando reflectores de tarjetas EMV instalados físicamente.

«Dada la extrema impracticabilidad de esta táctica, probablemente utilizaron una técnica diferente para violar de forma remota los sistemas POS para recopilar suficientes datos EMV para realizar la clonación de derivación EMV», escribió la compañía.

Stas Alforov, director de investigación y desarrollo de Gemini, dijo que las instituciones financieras que no realizan estos controles corren el riesgo de perder la capacidad de darse cuenta cuando esas tarjetas se usan para fraude.

Esto se debe a que muchos bancos que han emitido tarjetas basadas en chips pueden asumir que, siempre y cuando esas tarjetas se usen para transacciones con chips, prácticamente no hay riesgo de que las tarjetas se clonen y se vendan en la dark web. Por lo tanto, cuando estas instituciones buscan patrones en transacciones fraudulentas para determinar qué comerciantes pueden verse comprometidos por el malware POS, pueden descontar por completo los pagos basados ​​en chips y centrarse solo en aquellos comerciantes en los que un cliente ha deslizado su tarjeta.

«Las redes de tarjetas se están dando cuenta del hecho de que hay muchas más infracciones basadas en EMV en este momento», dijo Alforov. «Los emisores de tarjetas más grandes, como Chase o Bank of America, de hecho están verificando [para detectar una falta de coincidencia entre el iCVV y el CVV], y eliminarán las transacciones que no coinciden. Pero claramente ese no es el caso con algunas instituciones más pequeñas ”.

Para bien o para mal, no sabemos qué instituciones financieras no han podido implementar correctamente el estándar EMV. Es por eso que siempre vale la pena vigilar de cerca sus estados de cuenta mensuales e informar de inmediato cualquier transacción no autorizada. Si su institución le permite recibir alertas de transacciones por mensaje de texto, esta puede ser una forma casi en tiempo real de estar atento a dicha actividad.

Fuente: Krebxs on Security

Deja un comentario