TLP: Amber
NIVEL DE RIESGO – [Alto]
Acción Requerida: Evitar realizar pagos con tarjetas contactless en TPVs.
Vector de ataque: Teléfonos inteligentes.
Impacto: Robo financiero.

Descripción

Un equipo académico de Suiza descubrió un error de seguridad en el pago de tarjetas VISA “contactless” o sin contacto (modo de pago donde se usan tecnologías inalámbricas de corto alcance). La falla permite realizar compras que sobrepasan el limite del monto permitido sin que se requiera ingresar el código PIN de la tarjeta.

El error permite modificar algunos datos de la tarjeta robada para realizar un ataque y evadir el número PIN de tarjetas como Visa Credit, Visa Electron y Vpay con dispositivos inteligentes Pixel y Huawei. Es decir, si los atacantes alguna vez están en posesión de una tarjeta Visa contactless robada pueden utilizar la información para realizar pagos fraudulentos. De acuerdo con las investigaciones, el error de seguridad se debe a fallas en el estándar EMV (Europay MasterCard VISA) y en el protocolo contactless de las tarjetas Visa.

Según los académicos, este ataque solo requiere de cuatro componentes para ser aprovechado: dos teléfonos celulares con sistema operativo Android, una aplicación modificada e instalada en ambos celulares y una tarjeta Visa contactless. La aplicación permitirá a un dispositivo funcionar como emulador de tarjeta, y al otro como un POS (Punto de Venta), el teléfono que emula el POS se coloca cerca o sobre la tarjeta robada, mientras que el dispositivo que emula la tarjeta se usa para comprar, de esta forma se podría hacer creer que el cliente pagará con una billetera Móvil pero realmente son datos recibidos de una tarjeta Visa robada.

Cabe mencionar que los investigadores aseguran que probaron este ataque en tiendas reales y no enfrentaron ningún problema para aprovechar el error y el ataque fue exitoso.

Además, los investigadores identificaron otra falla, ocasionada porque algunas terminales no autentican de manera correcta el ApplicationCryptogram (AC), permitiendo que un atacante engañe a la terminal para que acepte una transacción con una clave criptográfica inválida. Si bien, el banco emisor identificará el error, el atacante ya habrá realizado los pagos fraudulentos.

A diferencia de la primera falla, los investigadores aseguran que por razones éticas no probaron este segundo ataque en el mundo real.

Nivel de riesgo

  • [Alto]

Sistemas/tecnologías afectadas:

  • Tarjetas Visa con tecnología contactless.

Medidas de Contención

  • De no ser indispensable, evitar los pagos contactless con tarjeta Visa, hasta que la organización libere la actualización para corregir este error.
  • Verificar las transacciones en las tarjetas con el objetivo de reconocer actividad inusual.
  • Habilitar el sistema de alertas que ofrecen las instituciones bancarias para identificar transacciones no reconocidas.

Referencias