Home Sociedad Fallas en las tarjetas Visa sin contacto, permiten eludir los controles antifraude

Fallas en las tarjetas Visa sin contacto, permiten eludir los controles antifraude

Investigadores descubrieron una técnica para explotar las tarjetas sin contacto Visa que podría permitir a los atacantes eludir un par de “cheques de pago” antifraude que normalmente requieren la verificación del comprador.

Los expertos de Positive Technologies Leigh-Anne Galloway y Tim Yunusov, probaron con éxito la hazaña en cinco de los principales bancos del Reino Unido, según un artículo publicado esta semana en el blog de la empresa. El ataque funciona independientemente del terminal utilizado, y también es efectivo fuera de los EE. UU., señalan los investigadores.

En el Reino Unido, las transacciones con tarjetas sin contacto que superen las 30 libras esterlinas darán lugar a un mensaje de “No puedo hacerlo”, debido a las limitaciones que se establecieron para evitar los costosos fraudes. Para completar las transacciones marcadas, los terminales de pago requieren verificación, como un código PIN o autenticación de huellas dactilares.

Sin embargo, Positive Technologies encontró que estas dos verificaciones pueden ser evitadas por un dispositivo capaz de realizar ataques de hombre en el medio, interceptando comunicaciones entre tarjetas de pago y terminales y modificando los campos de datos clave.

“En primer lugar, el dispositivo le dice a la tarjeta que no es necesaria la verificación, aunque el importe sea superior a 30 libras esterlinas. El dispositivo entonces le dice al terminal que la verificación ya se ha hecho por otro medio”, explica el artículo del blog de la compañía. “Este ataque es posible porque Visa no requiere que los emisores y adquirentes tengan cheques que bloqueen los pagos sin presentar la verificación mínima”.

Positive Technologies advierte que el exploit también funciona en billeteras móviles como GPay, cuando se añade un número de tarjeta Visa a la billetera. “Aquí, incluso es posible cobrar fraudulentamente hasta 30 libras esterlinas sin desbloquear el teléfono”, afirma el informe.