Vulneran seguridad Chip&PIN

Vulneran seguridad Chip&PIN

por

Hacen pún con el PIN

Se viene el San Valentín  y como implica toda fiesta importada un montón de gastos para quedar como rey/reina. Pero dejar a la persona que quieres con una sonrisa de oreja a oreja no tiene precio, y para todo lo demás pagamos con alguna de nuestras tarjetas de crédito o de débito. Total es súper seguro y a ningún delincuente se le va a ocurrir que el PIN usado es la fecha de tu cumpleaños o el resultado del partido donde apaleaste al equipo contrario. Lamentablemente te tengo una mala noticia y es que investigadores de la Universidad de Cambridge han publicado un paper informando que el protocolo Chip&PIN es fácilmente vulnerable (de hecho, ni siquiera se necesita saber el PIN de la victima)

Hacen pun con el PIN

¿Qué es esto del Chip&PIN?, bueno, es el nombre que se le da en Europa a las transacciones que siguen el protocolo EMV (Europay, MasterCard, Visa) ampliamente popular a nivel mundial, con una cifra estimada de más de 730 millones de tarjetas en circulación. La idea es buena, se usa una tarjeta inteligente con un chip que verifica la autenticidad de esta y al usuario se le entrega una clave (PIN). Al momento de insertar la tarjeta en una terminal, esta comprueba que sea una tarjeta con todas las de la ley y además le pide al usuario ingresar su PIN para realizar cualquier transacción.

Lo que no fue tomado en cuenta al momento de difundir este protocolo es el agujero en seguridad que se produce al introducir un agente intermediario en el proceso, me voy a poner un poco técnico pero voy a tratar de explicar el ataque de forma sencilla:

  • El usuario introduce su tarjeta en la terminal.
  • La terminal verifica que la tarjeta sea valida.
  • La terminal le pide al usuario su PIN.
  • Si el usuario ingresa un PIN correcto, la tarjeta envía el código de verificación 0x9000 a la terminal. Es en este paso donde el atacante entra en acción interfiriendo la comunicación entre la terminal y la tarjeta del usuario. Usando una tarjeta falsa, unos cables y un laptop, los investigadores lograron enviar a la terminal el código 0x9000. Cualquier secuencia de números ingresados sirve como PIN, ya que el ataque lo transforma en el código valido para llevar a cabo la transacción.
  • La terminal completa la transacción. La tarjeta real supone que se llevó a cabo de una forma donde no se necesitó el PIN (en Europa, en teoría, se pueden completar transacciones A) con PIN, B) sin PIN y C) firmando) y dependiendo de su configuración puede informar a la terminal de esto PERO este informe se lleva a cabo de manera no estándar, por lo que la terminal no puede leerlo.

Mark Bowerman, vocero la UK Payments Administration, hizo el siguiente comentario:

Estamos tomando este informe de forma muy seria, ya que es vital el mantener un excelente nivel de seguridad en las tarjetas. Sin embargo, rechazamos categóricamente la acusación de que el sistema chip y PIN haya sido vulnerado"

Esperemos que tomen medidas más concretas antes que vendan el kit para reventar chip&PIN en eBay.

Link: Chip and PIN is broken, say researchers (ZDNet UK)

Link: How the Cambridge chip and PIN attack works (ZDNet UK)