BH

En las conferencias de Black Hat USA de 2016 se han demostrado varias vulnerabilidades en las tarjetas que incluyen chips EMV (conocidas también como Chip & PIN) que le permiten a los atacantes obtener la información de la tarjeta almacenada de forma “segura” en el chip y emplearla en transacciones fraudulentas.

Las primeras vulnerabilidades fueron expuestas en la conferencia “Breaking Payment Points of Interaction (POI)” por los investigadores Nir Valtman y Patrick Watson de NCR Corporation que demostraron cómo capturar los datos de la pista 2 (TRACK 2) y saltar las restricciones del PIN para emplear los datos copiados en trasacciones offline aprovechando las funcionalidades de EMV. A través de una Raspberry Pi 2 y empleando un ataque de Man-in-the-Middle (MiTM) pudieron capturar paquetes de tráfico de una transacción para emplearlos posteriormente de forma fraudulenta. Adicionalmente, lograron comprometer un PIN PAD inyectando un formulario manipulado para lograr que el usuario digitara varias veces su PIN y obtenerlo de forma no autorizada.

Captura

Como mitigación a estos riesgos, los investigadores recomendaron:

  • Emplear P2PE
  • Emplear encriptación de mensajes basada en hardware (SRED)
  • Emplear algoritmos robustos (AES/3DES DUKPT, RSA)
  • Prevenir “downgrades” remotos del firmware de los dispositivos de interacción, garantizando siempre que el firmware se encuentre firmado
  • Permitir únicamente actualizaciones firmadas por el fabricante/proveedor
  • Encriptar los datos de transacciones fuera de línea (offline)

Como consumidor:

  • Nunca re-ingresar el PIN
  • Estar atento a acciones extrañas fuera de los flujos normales de una transacción
  • Preferir sistemas de pago que empleen tokenización o evite la transmisión del PAN

En una segunda conferencia denominada “Hacking Next-Gen ATM: From capture to cashout“, el investigador Weston Hecker de Rapid7 modificó una terminal de punto de venta (TPV) adicionando un “skimmer” entre el chip de la víctima y el receptor en el dispositivo en el que la tarjeta es insertada.  El “skimmer” captura los datos en el chip (incluyendo el PIN ingresado) y lo transmite a los criminales, que posteriormente usan un teléfono inteligente para descargar los datos y copiarlos para efectuar transacciones ilegales.  Los detalles técnicos de esta vulnerabilidad no fueron expuestos para prevenir que sean empleados por delincuentes hasta que la vulnerabilidad sea solucionada.

Estas no son las primeras vulnerabilidades del sistema de chip EMV que entró a remplazar al sistema de banda magnética debido a sus vulnerabilidades. Ya se habían demostrado previamente que esta tecnología era susceptible a ataques de MiTM y otros ataques a su arquitectura para la obtención no autorizada de datos confidenciales, tal como se describe en el artículo “¿Cómo funcionan las tarjetas de pago? Parte V: Smart Card (Chip) y EMV“.

Por su parte, el PCI SSC a través de los estándares PCI DSS, PA DSS, PCI PTS y P2PE establece una serie de requerimientos de seguridad para minimizar el impacto de estas vulnerabilidades. A pesar que no hay seguridad perfecta, su implementación permite el establecimiento de un entorno seguro para transacciones con tarjeta, por lo que su despliegue cada vez más se convierte en indispensable.