Investigadores de la Universidad de Cambridge en el Reino Unido emitieron un informe en el que plantean haber identificado vulnerabilidades en el esquema de pago EMV. Entretanto, organizaciones industriales están defendiendo la tecnologÃa argumentando que en una situación real serÃa difÃcil acceder ilegalmente a la información.
El ataque utiliza una tarjeta con chip falso conectada con hilos a un dispositivo electrónico personalizado, a una computadora con un software de diseño especial, y a una tarjeta EMV de chip & PIN robada. La tarjeta falsa y el equipo se sitúan entre la tarjeta robada y la terminal del punto de venta; el ataque engaña a la terminal creyendo que el PIN correcto ha sido presentado y hace que la tarjeta robada crea que no se requirió PIN.
Smart Card Alliance ha analizado esta forma de hack junto con otras organizaciones industriales y ha llegado a la conclusión de que es improbable una implementación amplia de este ataque y que no existe evidencia que el ataque descrito haya ocurrido en en una situación real.
Estas conclusiones se apoyan en los siguientes puntos:
- El ataque requiere el empleo de una tarjeta EMV robada que no haya sido reportada como robada; esto limita el escalamiento en este tipo de fraude, ya que debe hacerse con una tarjeta por una vez y en un perÃodo de tiempo potencialmente breve.
- La combinación de tarjeta falsa y tarjeta de chip & PIN robada no puede utilizarse en una ATM para retiro de efectivo, ya que las ATM se basan en verificación online del PIN.
- El fraude requiere el empleo de una tarjeta de chip falsa con hilos de salida que pasen por dentro de la manga del estafador y se conecten a una tarjeta de circuitos escondida, a una computadora y a la tarjeta EMV robada, resultando muy probable su detección en un punto de venta con vigilancia.
- El ataque es difÃcil desde el punto de vista técnico, requiere un software muy sofisticado y un hardware personalizado, que solo podrÃa ser creado por individuos con amplios conocimientos de protocolos EMV.
- Las contramedidas ya están disponibles, sea en EMV, en los productos y redes de sistemas de pago o en los sistemas emisores principales.
- Las auditorÃas electrónicas de datos provenientes de transacciones sospechosas protegerÃan a los usuarios de tarjetas y a los comerciantes de cualquier responsabilidad por cargos fraudulentos hechos a su tarjeta mediante este tipo de ataque, si los informan oportunamente.
Adicionalmente, un ataque como ese no comprometerÃa la tarjeta inteligente, ya que el PIN permanecerÃa seguro dentro de la tarjeta. ![[end]](/resources/bullet/idnoticias-4.gif)
