Expertos en ciberseguridad de ETH Zúrich reportan el hallazgo de una nueva variante de ciberataque que permitiría a los actores de amenazas engañar a las terminales de puntos de venta (POS) y hacer que realicen transacciones con tarjetas Mastercard que serán identificadas como tarjetas Visa. Este ataque estaría basado en una condición de evasión de PIN, que permite a los hackers abusar de tarjetas Visa robadas para realizar compras por altas cantidades sin usar el PIN de la víctima.
Aunque en la descripción del ataque esta situación podría tomarse como una simple confusión de operadores de pago, los expertos aseguran que las consecuencias de un ataque serían desastrosas: “Los cibercriminales podrían usar este ataque en conjunto con otras variantes de ataque de Visa para abusar de las tarjetas Mastercard, que operan con la tecnología ‘contactless'”, señala el reporte.
Los expertos señalan que este ataque involucra la explotación de serias vulnerabilidades en el protocolo contactless de las tarjetas Mastercard: “A grandes rasgos, esto es posible gracias al uso de apps maliciosas de Android para desplegar una condición Man-in-The-Middle (MiTM) sobre un proceso de retransmisión, permitiendo que esta app inicie una comunicación entre la terminal y la tarjeta, además de interceptar las comunicaciones NFC y provocar un desajuste entre ambos sistemas.”
En otras palabras, al realizar un pago usando Visa o Mastercard se requiere una solicitud de autorización, que se entura a la red de pago correspondiente. La terminal POS reconoce la marca de la tarjeta gracias a una clave generada por la combinación del número de tarjeta y un identificador del tipo de tarjeta; eventualmente esta información activa un kernel único para la transacción en cuestión. Cabe señalar que un kernel EMV es un conjunto de funciones que aportan la lógica requerida para el procesamiento de las transacciones sin contacto.
En este ataque, los hackers se aprovechan de que los identificadores empleados en el proceso no cuentan con autenticación en la terminal POS, lo que permite engañar al sistema para activar un kernel defectuoso para aceptar una transacción sin contacto con un identificador diferente al de la tarjeta usada por la víctima: “De este modo se realiza de forma simultánea una transacción Visa en la terminal POS y una transacción de Mastercard con la tarjeta”, agregan los expertos.
Todo esto puede sonar complejo y peligroso, aunque también cabe señalar que un ataque exitoso requiere que se cumplan algunos requisitos previos, lo que sin duda dificulta su explotación activa. Aún así no se puede desestimar el riesgo, ya que tal ataque no requeriría de privilegios root en los sistemas afectados o la explotación en los sistemas Android para la instalación de la app maliciosa.
En respuesta a este reporte, Mastercard implementó algunos mecanismos de seguridad a nivel de red, lo que en teoría debería eliminar por completo la posibilidad de que estos ataques se presenten en escenarios reales.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.