El hombre usa el teléfono inteligente y la tarjeta de crédito con compras en línea. Concepto de pago en línea.
Getty Pictures / iStockphoto
Un investigador de seguridad británico ha demostrado esta semana que todavía es posible en 2020 crear tarjetas de banda magnética (banda magnética) de la generación anterior utilizando los detalles que se encuentran en las tarjetas modernas de chip y PIN (EMV) y sin contacto, y luego usar las tarjetas clonadas para transacciones fraudulentas
En un libro blanco llamado «Solo toma un minuto clonar una tarjeta de crédito, gracias a un problema de 50 años, «Leigh-Anne Galloway, Jefa de Investigación de Seguridad Comercial en Cyber R&D Lab, probó tecnologías modernas de tarjetas de 11 bancos de los Estados Unidos, el Reino Unido y la UE.
Galloway descubrió que cuatro de los 11 bancos aún emitían tarjetas EMV que podían ser clonadas en una versión de banda magnética más débil que podría ser objeto de abuso por transacciones fraudulentas.
Imagen: Cyber R&D Lab
En circunstancias normales, esto no debería ser posible. Las tarjetas EMV fueron diseñadas para ser difíciles de clonar, principalmente debido al chip seguro incluido con cada una.
Sin embargo, el documento técnico de Galloway explica en una guía paso a paso cómo tomar datos de una tarjeta EMV y crear un clon de banda magnética de generación anterior.
Esta técnica, de clonar una versión de banda magnética de una tarjeta EMV, no es nueva y se ha documentado desde 2007.
Demostré la clonación de datos de chip a banda magnética, pero los bancos dijeron que las tarjetas emitidas después de 2008 no serían vulnerables y que los datos de chip serían «inútiles para el estafador». Esta nueva investigación muestra que el problema aún no se ha solucionado, 12 años después https://t.co/6VX8n84hDb
– Steven Murdoch (@sjmurdoch) 10 de julio de 2020
Clonar magstripes a partir de datos EMV es, de hecho, la forma en que todavía operan muchas bandas de carding.
Los delincuentes usan dispositivos skimmer o shimmer para recopilar datos en tarjetas EMV, crean un clon de banda magnética y luego usan este clon para realizar transacciones fraudulentas en sistemas de punto de venta (POS) o retirar dinero de cajeros automáticos en países del tercer mundo donde Las tarjetas EMV no se han desplegado y todavía se aceptan tarjetas de banda magnética.
La industria bancaria sigue siendo lenta para adoptar prácticas de seguridad adecuadas
En su libro blanco, Galloway explica por qué esto todavía es posible.
«Primero, los puntos en común entre la banda magnética y los estándares EMV para el chip insertado y sin contacto significan que es posible determinar la información válida del titular de la tarjeta de una tecnología y usarla para otra», dijo Galloway.
«En segundo lugar, la banda magnética sigue siendo una tecnología de pago suitable, probablemente porque la adopción de tarjetas basadas en chips ha sido lenta en algunas regiones geográficas de todo el mundo».
«En tercer lugar, aunque la banda magnética es una tecnología obsoleta en muchos de los países analizados, los datos clonados siguen siendo efectivos porque es posible hacer que el terminal y la tarjeta recurran a una transacción de banda magnética», agregó el investigador.
«Finalmente, todos los emisores de tarjetas no verifican los códigos de seguridad de la tarjeta, un punto crítico de la verificación de la tarjeta».
Este último punto es el tema más significativo. Como Galloway señaló en una conversación en Twitter con este reportero, los códigos de seguridad de la tarjeta (valores CSC, CVV o CVC impresos en una tarjeta) deben ser únicos por tecnología y siempre deben validarse.
El código de seguridad de la tarjeta (cvv, and so on.) debería ser exclusivo del método: chip / nfc / mag stripe. El punto principal es que los emisores no validan correctamente los datos de las transacciones como resultado, los skimmers y el fraude siguen siendo un gran negocio
– Leigh-Anne Galloway (@L_AGalloway) 9 de julio de 2020
Si bien los bancos no tienen regulate overall sobre qué tecnologías de tarjetas / pagos son compatibles en otros países, y aún tendrán que admitir tecnologías más antiguas para fines heredados, tienen el poder de verificar las transacciones correctamente.
Sin embargo, como Steven Murdoch, investigador del University Faculty London, también señaló en Twitter, la realidad es que los bancos aún no hacen cumplir esta sencilla regla, incluso ahora, en 2020.
Las transacciones aún se aprueban con el código de seguridad incorrecto, de otra tecnología de tarjeta, e incluso sin él. Al no verificar adecuadamente los códigos de seguridad, esto deja la puerta abierta para que las bandas de cardinales continúen operando copiando y degradando las nuevas tarjetas EMV en clones de banda magnética para abusar en el extranjero, en países donde todavía se aceptan tarjetas de banda magnética.
En 2007, las tarjetas emitidas en el Reino Unido tenían una copia exacta de la banda magnética en el chip. A partir de 2008, se suponía que las tarjetas tenían un CVV diferente entre la banda magnética y el chip. Sin embargo, esta nueva característica de seguridad no tiene sentido si se aceptan transacciones de banda magnética con el CVV incorrecto.
– Steven Murdoch (@sjmurdoch) 10 de julio de 2020
El código de seguridad de la tarjeta (cvv, etcetera.) debería ser exclusivo del método: chip / nfc / magazine stripe. El punto principal es que los emisores no validan correctamente los datos de las transacciones como resultado, los skimmers y el fraude siguen siendo un gran negocio
– Leigh-Anne Galloway (@L_AGalloway) 9 de julio de 2020
Galloway dijo que si bien el documento técnico se centró en las tarjetas EMV, también se puede abusar de las tarjetas sin contacto (basadas en NFC) de la misma manera para crear clones de banda magnética para las transacciones fraudulentas.