La empresa de seguridad Positive Technologies ha realizado una investigación en la que han descubierto un fallo de seguridad que puede permitir a los atacantes saltarse el límite de paso de las tarjetas contactless de Visa.
Un descubrimiento significativo, porque los límites de pago de las tarjetas sin contacto sirven precisamente para salvaguardar las cuentas corrientes de los usuarios de posibles pérdidas y fraudes.
Los investigadores han probado el ataque con cinco de los mayores bancos de Reino Unido, logrando saltarse el límite de 30 libras en todas las tarjetas Visa que probaron, independientemente del terminal bancario que se usara.
Después descubrieron que el ataque también es posible fuera de las fronteras de UK.
Según explican en su comunicado, el ataque funciona mediante la manipulación de dos campos de datos que se comunican entre la tarjeta y el terminal durante el pago contactless.
Cuando los pagos superan cierta cantidad, para realizarse la compra se necesita una verificación adicional por parte del usuario. Un código PIN que el usuario tiene que introducir en el terminal, que en Reino Unido está establecido a partir de las 30 libras y en España es a partir de los 20 €.
El ataque intercepta la comunicación
Cuando se supera esta cantidad de cobro, es la tarjeta la que envía un mensaje negativo al terminal diciéndole que no puede llevar a cabo el pago sin ese código. Por otro lado, el terminal usa configuraciones específicas de cada país, por lo que demanda verificación adicional del dueño de la tarjeta en función de las características de su tarjeta y país.
La investigación ha encontrado que estas dos verificaciones (la del mensaje negativo y la solicitud de un código adicional) pueden saltarse usando un dispositivo que intercepte las comunicaciones entre la tarjeta y el terminal de pago.
Este dispositivo actúa como un proxy, y se conoce este tipo de ataques como MiTM: Man in the Middle. Literalmente: «Hombre en el medio».
Lo primero que hace el dispositivo es decirle a la tarjeta de crédito que no es necesaria ninguna verificación, aunque el pago supere ese límite establecido. Y a continuación, le engaña haciéndole ver que ya se ha realizado esa verificación por otros medios.
No habrá parche por parte de Visa
Según han explicado portavoces de la compañía a Forbes, Visa no planea realizar ninguna actualización o parchear el problema, ya que no lo ven como tal.
Aseguran que para realizar esta técnica con éxito el atacante tendría que estar en poder de la tarjeta de crédito, haberla sustraído al usuario, y que éste aún no hubiese notificado dicho robo a la compañía.
Por tanto, no consideran que sea un problema que se pueda dar a gran escala.
Pero lo que es una realidad es que cualquier vulnerabilidad o fallo, por «pequeño» que sea, mientras esté ahí puede ser investigado y explotado por quien realmente quiera hacerlo.