En 2010, un grupo de investigadores de seguridad de la Universidad de Cambridge, publicó un informe que detallaba un ataque teórico contra tarjetas de crédito y débito equipadas con tecnología de Chip y PIN. El ataque fue lo que llamamos un ataque de «Hombre Intermediario«, donde un atacante intercepta un mensaje entre dos partes y lo reemplaza con uno suyo.
Lo que hicieron los investigadores fue complicado. Según WIRED, el grupo tomó una tarjeta de crédito con Chip y PIN, modificándola con un chip personalizable, y la vinculó a un gran tablero que posteriormente conectó a una laptop que ejecutó un software de ataque. Una vez que la tarjeta falsa fue conectada al terminal, dio comienzo al ataque. Desde allí, el grupo proporcionó cualquier número PIN que deseó y la transacción fue aprobada.
Aunque el proceso resultó ser bastante complejo, los investigadores de Cambridge advirtieron que el sistema podría ser replicado. Un año más tarde, un grupo de cinco ciberdelincuentes franceses fueron arrestados, y con ellos se confiscaron 40 tarjetas con Chips y PINs modificados.
¿Qué sucedió?
Bueno, el grupo de cinco ciberdelincuentes descubrió una ingeniosa manera de replicar el ataque de la Universidad de Cambridge en una sola tarjeta. Los delincuentes simplemente soldaron un chip FUNcard, un mini chip programable para aficionados, a una tarjeta robada con Chip y PIN. Cuando se emplea, el chip FUNcard intercepta una consulta de autenticación, donde la terminal solicita a la tarjeta verificar un número de PIN alimentado, y hace que la tarjeta no tenga más opción que decir «sí», independientemente de si realmente se alimentó el PIN. La transacción puede entonces proceder de forma habitual.
Lo que se generó causó mucha conmoción. Los bancos, los emisores de tarjetas de crédito y los productores de terminales han aprendido de este ataque, y crearon contramedidas para los sistemas de tarjetas en Europa. Las actualizaciones para los sistemas de tarjetas en los Estados Unidos no se quedaron atrás.
De cualquier manera, este caso representa un gran recordatorio de que incluso las más modernas innovaciones en seguridad pueden ponerse en riesgo, y de los retos que los ciberdelincuentes están dispuestos a enfrentar para eludir las medidas de seguridad.
Así que probablemente se está preguntando, ¿cómo me puedo proteger contra esto? Si alguna vez pierde su tarjeta de crédito o es robada, hay algunas cosas que usted puede hacer:
- Cancele su tarjeta. El primer paso para proteger su cuenta bancaria en caso de extravío de una tarjeta es cancelar esa tarjeta. Aunque los sistemas con Chip y PIN son en gran parte seguros, tienen debilidades. Cancele su tarjeta para anular cualquier intento de fraude. Evite poner en riesgo sus cuentas.
- Revise sus estados de cuenta a detalle. Revise muy bien sus estados de cuenta ya que pueden revelar señales de actividad inusual. Por ejemplo, los cobros pequeños pueden ser indicio de delincuentes que intentan obtener acceso a su cuenta bancaria. Si nota algún cobro sospechoso, llame a su banco e investigue.
- Verifique su historial crediticio. No todo el fraude se observa en los estados de cuenta. Verifique de forma recurrente su historial crediticio para asegurarse de que no haya sido víctima de los ciberdelincuentes y le hayan robado su identidad. En algunos países, se tiene derecho de uno a tres informes de crédito gratuitos al año. Si usted sospecha que alguien más está usando su identidad, o si simplemente desea obtener más control sobre su crédito, aplique un congelamiento de crédito.
Y desde luego, manténgase a la delantera de las últimas amenazas para la seguridad móvil y de consumidores siguiéndonos y consultado nuestras redes, en Twitter: @IntelSecurityLA y en Facebook.
También lo invitamos a conocer nuestras herramientas de seguridad gratuitas, que le ayudarán a mantener su vida digital segura, ingrese a: http://home.mcafee.com/store/free-services
Acerca de Intel Security
McAfee ahora forma parte de Intel Security. Con su estrategia de Security Connected, abordaje innovador hacia la seguridad del hardware mejorada, y su Global Threat Intelligence único, Intel Security se enfoca intensamente en desarrollar soluciones y servicios de seguridad proactivos y comprobados que protegen sistemas, redes, y dispositivos móviles de uso de negocios y personal en todo el mundo. Intel Security combina la experiencia y pericias de McAfee con la innovación y desempeño comprobado de Intel para hacer de la seguridad un ingrediente esencial en cada arquitectura y en cada plataforma de cómputo. La misión de Intel Security es la de brindar a todos la confianza a vivir y trabajar con seguridad en el mundo digital. www.intelsecurity.com
Ningún sistema de equipo puede ser absolutamente seguro.
Nota: Intel, el logotipo de Intel, McAfee y el logotipo de McAfee son marcas registradas de Intel Corporation en los Estados Unidos y en otros países. Otros nombres y marcas pueden ser reclamados como propiedad de otros.
© 2015 Intel Corporation