Por Gary Davis
En 2010, un grupo de investigadores de seguridad de la Universidad de Cambridge, publicó un informe que detallaba un ataque teórico contra tarjetas de crédito y débito equipadas con tecnología de Chip y PIN. El ataque fue lo que llamamos un ataque de «Hombre Intermediario«, donde un atacante intercepta un mensaje entre dos partes y lo reemplaza con uno suyo.
Lo que hicieron los investigadores fue complicado. Según WIRED, el grupo tomó una tarjeta de crédito con Chip y PIN, modificándola con un chip personalizable, y la vinculó a un gran tablero que posteriormente conectó a una laptop que ejecutó un software de ataque. Una vez que la tarjeta falsa fue conectada al terminal, dio comienzo al ataque. Desde allí, el grupo proporcionó cualquier número PIN que deseó y la transacción fue aprobada.
Aunque el proceso resultó ser bastante complejo, los investigadores de Cambridge advirtieron que el sistema podría ser replicado. Un año más tarde, un grupo de cinco ciberdelincuentes franceses fueron arrestados, y con ellos se confiscaron 40 tarjetas con Chips y PINs modificados.
¿Qué sucedió?
Bueno, el grupo de cinco ciberdelincuentes descubrió una ingeniosa manera de replicar el ataque de la Universidad de Cambridge en una sola tarjeta. Los delincuentes simplemente soldaron un chip FUNcard, un mini chip programable para aficionados, a una tarjeta robada con Chip y PIN. Cuando se emplea, el chip FUNcard intercepta una consulta de autenticación, donde la terminal solicita a la tarjeta verificar un número de PIN alimentado, y hace que la tarjeta no tenga más opción que decir «sí», independientemente de si realmente se alimentó el PIN. La transacción puede entonces proceder de forma habitual.
Lo que se generó causó mucha conmoción. Los bancos, los emisores de tarjetas de crédito y los productores de terminales han aprendido de este ataque, y crearon contramedidas para los sistemas de tarjetas en Europa. Las actualizaciones para los sistemas de tarjetas en los Estados Unidos no se quedaron atrás.
De cualquier manera, este caso representa un gran recordatorio de que incluso las más modernas innovaciones en seguridad pueden ponerse en riesgo, y de los retos que los ciberdelincuentes están dispuestos a enfrentar para eludir las medidas de seguridad.
Así que probablemente se está preguntando, ¿cómo me puedo proteger contra esto? Si alguna vez pierde su tarjeta de crédito o es robada, hay algunas cosas que usted puede hacer:
- Cancele su tarjeta. El primer paso para proteger su cuenta bancaria en caso de extravío de una tarjeta es cancelar esa tarjeta. Aunque los sistemas con Chip y PIN son en gran parte seguros, tienen debilidades. Cancele su tarjeta para anular cualquier intento de fraude. Evite poner en riesgo sus cuentas.
- Revise sus estados de cuenta a detalle. Revise muy bien sus estados de cuenta ya que pueden revelar señales de actividad inusual. Por ejemplo, los cobros pequeños pueden ser indicio de delincuentes que intentan obtener acceso a su cuenta bancaria. Si nota algún cobro sospechoso, llame a su banco e investigue.
- Verifique su historial crediticio. No todo el fraude se observa en los estados de cuenta. Verifique de forma recurrente su historial crediticio para asegurarse de que no haya sido víctima de los ciberdelincuentes y le hayan robado su identidad. En algunos países, se tiene derecho de uno a tres informes de crédito gratuitos al año. Si usted sospecha que alguien más está usando su identidad, o si simplemente desea obtener más control sobre su crédito, aplique un congelamiento de crédito.