Ataque de adivinación distribuida.

La tarjeta de crédito o de débito son el instrumento de pago más empleado en nuestros días. El mecanismo para su uso es sencillo: el medio de pago posee 16 números y 3 más que corresponden a un número generado criptográficamente como verificador de seguridad.

Existen dos tipos básicos de códigos de verificación de tarjetas de crédito, el CVV tipo 1 y el tipo 2. Ambos son generados por el emisor de la tarjeta en el momento de su emisión.

En el caso del CVV tipo 1, el código va encriptado en la segunda pista de la banda magnética de la tarjeta de crédito y se utiliza para transacciones en las que la tarjeta está físicamente presente. Al introducir la tarjeta en el lector del punto de venta, se obtiene el valor del código, se envía el código al emisor de la tarjeta que devuelve la autorización si este código es válido. El objetivo es asegurarse de que la tarjeta está en posesión del dueño. La desventaja es que si la tarjeta se copia íntegramente y se ha duplicado la banda magnética, el CVV sigue siendo válido.

Para el caso del CVV tipo 2, es sin duda el código más frecuentemente utilizado por los titulares de la tarjeta pues el tipo 1 se lee de forma automática y rara vez el titular es consciente de su uso. Este código es solicitado por los vendedores en transacciones en las que tarjeta no está presente, estas son, transacciones realizadas por internet, teléfono u otra vía telemática. Algunos procesadores de medios de pago requieren que el vendedor entregue este código para que la transacción sea válida mientras que para otros es opcional.

Lo cierto del caso es que no hay que cotejar firmas o mostrar identificaciones accesorias al usar la tarjeta en muchos casos, sobre todo por Internet.

Explicado lo anterior, expertos de la Universidad de Newcastle han dicho que violentar este procedimiento es “tan fácil de hacer que asusta”. Todo lo que se requiere es una computadora y una conexión a Internet.

Los defraudadores le llaman “ataque de adivinación distribuida” y su objetivo es burlar las características de seguridad.

El estudio publicado en el Journal de la IEEE, Security & Privacy; los defraudadores podrían usar computadoras para sistemáticamente poner diferentes variantes de los datos de seguridad en cientos de sitios web de manera simultánea.

Así, mediante un proceso de eliminación en segundos, los criminales podrían verificar el número correcto de la tarjeta, la fecha de expiración de la misma y los 3 dígitos de seguridad que aparecen normalmente en la parte trasera del plástico.

En primer lugar, se centraron en encontrar la fecha de caducidad correspondiente, una operación que no les llevó un segundo (usando un toolkit), sondeando a cada web hasta que finalmente se obtuvo la correcta. Generalmente las tiendas en línea poseen mecanismos débiles de protección de datos. Para obtener el CVV la operación fue similar. Un total de 1.000 peticiones fueron necesarias para encontrar la combinación correcta.

Los investigadores han añadido que solo bastan 6 segundos para encontrar un número de tarjeta de crédito válido, su fecha de caducidad y el CVV asociado.

Una vez encontrados estos tres datos, es el momento de comenzar las transacciones no autorizadas utilizando la tarjeta de crédito o débito.

En la mayoría de los casos este mecanismo de defensa se puede activar de forma gratuita. Los investigadores han notificado a VISA y a algunas tiendas en línea para que se solucione este problema de seguridad antes de que los usuarios se conviertan en víctimas reales.

El estudio se ha realizado utilizando de partida 400 tiendas en línea. Estos servicios se localizaron a través de Alexa, eligiendo aquellas más populares. Por motivos de seguridad, el listado decreció finalmente hasta los 342 sitios web que fueron los que se emplearon.

Mientras MasterCard posee un sistema de detección de ataques de fuerza bruta, los usuarios de tarjetas VISA solo poseen como única opción por el momento activar 3D Secure. Los usuarios de las tarjetas MasterCard deben saber que no son vulnerables, por lo que este ataque solo afecta a VISA. En la mayoría de los casos este mecanismo de defensa se puede activar de forma gratuita.

Vale decir que cada año son estafados más de 70 millones de dólares a través del robo, estafa y falsificación de tarjetas de crédito. Por lo general se utilizan 5 métodos, todos ellos aprovechándose de la confianza de los usuarios en la seguridad del plástico:

El empleado infiel: Son trabajadores mayormente de cafeterías, gasolineras, comercios de paso, que se aprovechan de la confianza del cliente para pasar la tarjeta por otro lector (skimmer), a veces colocado junto al terminal electrónico legal, para registrar los datos de la misma.

El lector falso: Este método consiste en situar un lector “alternativo” a la entrada del cajero automático e incluso una cámara de vídeo, para obtener los números de las tarjetas. Por lo general, lo datos de las tarjetas secuestradas no se usan en los países de origen donde son más difíciles de detectar.

El lazo libanés: Es un método similar al anterior y consiste en situar un trozo de radiografía dentro del lector, donde al insertar la tarjeta queda grabado el número de la misma. También suele usarse para bloquearla dentro del cajero. Hecho esto, un compinche se ofrece a ayudar a recuperarla y sugiere que se introduzca el pin 3 veces, con lo que de reojo se queda con el número.

El “tiquete” de la compra: Muchos usuarios no son conscientes de la información que aportan cuando tiran el tiquete de compra tras haber pagado con su tarjeta. Con esos datos no se puede falsificar una tarjeta, pero sí podrían servir para hacer compras por Internet mediante “ataques de adivinación distribuida”. Al final tenemos un dato base que simplifica el resto: el número de tarjeta.

El ‘hacker’ de Internet: Una vez que se tiene los datos, titular, número y fecha de caducidad, el estafador los introduce y envía la compra a un lugar seguro.

Fuentes alternas: ExtremeTech, PCMagazine