Es posible hackear tarjetas VISA en pocos segundos por fuerza bruta

Los especialistas de la Universidad de Newcastle (Reino Unido) han destapado una nueva vulnerabilidad en tarjetas de crédito VISA, que permitirían a un atacante realizar compras si no hemos tomado alguna medida de seguridad con la tarjeta.

Una investigación sobre más de 400 tiendas online (que evidentemente procesan pagos con tarjeta de forma principal) ha demostrado que existen casos de «ataque predictivo distribuído» que sirven para extraer nuestro número de tarjeta, fecha de caducidad y código de seguridad (CVV) en cualquier tarjeta VISA del mercado.

Ciberataques permiten hackear tarjetas VISA en segundos

Este tipo de ataque sobrepasa la capacidad de los mecanismos de validación comunes y con un software los atacantes pueden generar todos los campos requeridos para realizar transacciones con la tarjeta en nuestro nombre.

Se cree que este esquema de ataque fué usado en el caso de fraude masivo de Tesco Bank, donde se perdió el equivalente a 3 millones de Euros este pasado mes de Noviembre, según The Guardian.

Realizar un ataque como este resultaría extremadamente sencillo para alguien con un simple PC y conexión a internet. Uno de los puntos débiles de los sistemas de validación es que cada pasarela de pago diseña y emplea sus propios sistemas de validación, así que la herramienta en cuestión lo aprovecha al máximo.

Detalles sobre estos ataques de fuerza bruta

Cada campo puede ser utilizado en orden para generar los datos del siguiente, utilizando una web de otro proveedor diferente (otro vendedor que pueda estar usando una pasarela distinta). El record mínimo de hackeo para tarjetas VISA es de 6 segundos. Sólo es un titular, pero demuestra que estamos ante un problema agudo.

Las herramientas como las que encontraréis a continuación son capaces de generar diferentes variaciones de los datos de seguridad y entonces realizar test de combinaciones entre miles de web a lo ancho del mundo, hasta encontrar una coincidencia válida.

Lo peor del asunto es que ya no se trata sólo de compras, sino de que mediante servicios financieros podrían desvalijar nuestra cuenta en pocos minutos utilizando este sistema y nuestra VISA.

Hackear tarjetas VISA – Demostración en vídeo

https://youtu.be/uwvjZGKwKvY

El estudio, realizado utilizando tarjetas del proveedor VISA y MasterCard, ha demostrado que las de la primera marca son vulnerables dado que no centralizan las verificaciones entre transacciones de diferentes sitios web.

Sin embargo, MasterCard consigue detectar el intento de fraude tras 10 intentos, sin importar si se cotejan datos entre diferentes pasarelas. Como excepción en las VISA, están exentas aquellas situadas en webs que tienen el distintivo Verified by VISA.

Algunas webs dedicadas al comercio electrónico han cambiado sus formas de pago o aplicado restricciones tras enterarse de los resultados del estudio (antes de ser público). El problema viene de aquellos que ni siquiera lo saben, ni lo sabrán.

Resultados del estudio

De las 400 tiendas online o servicios online analizados, sólo 389 ofrecieron suficiente información para válida, y de esta cantidad, 47 webs implementaban algún sistema de seguridad que mantuvo a salvo las transacciones. Pero nos siguen quedan 342 páginas vulnerables, un porcentaje altísimo.

VISA, por su parte, afirma que no se han tenido en cuenta todos los mecanismos de seguridad disponibles -lo cual es cierto, este es el peor escenario posible- y los pasos que los propios comerciantes pueden tomar para evitar estos ataques de fuerza bruta contra tarjetas de crédito.

Estamos comprometidos a mantener niveles de fraude mínimos, y trabajamos estrechamente con los emisores de tarjetas y adquisidores para hacer muy difícil obtener y utilizar datos sobre sus dueños.

En los casos donde los datos de un cliente se han utilizado fraudulentamente, VISA protege al dueño de la tarjeta a nivel legal y, en aquellos comercios donde no se emplea el logotipo Verificado por VISA, es esta quien asume el riesgo por fraude y la compensación.

Conclusiones

¿Cómo te afecta a tí? Depende, de momento el ataque no pasa de ser algo anecdótico y empleado con fines educativos, pero estate atento. Además, no olvides habilitar la tecnología 3D Secure en tu tarjeta VISA.