Tarjetas de crédito: solo 6 segundos separan al cibercriminal de sus datos

Luis V. Sintes Martinez Analista de Seguridad - Vintegris

Luis V. Sintes Martinez Analista de Seguridad – Vintegris

Un cibercriminal puede adivinar los datos secretos de su tarjeta de crédito Visa en tan sólo 6 segundos, según los investigadores de la Universidad de Newcastle en el Reino Unido.

Los actores maliciosos pueden utilizar robots de navegación para distribuir sugerencias a través de cientos de portales en línea legítimos.

El ataque –según comentan los investigadores- comienza con el número de 16 dígitos de una tarjeta, que se puede obtener de varias maneras.

Los atacantes pueden comprar números en sitios web del mercado negro, a menudo por menos de $1 cada uno, o usar un teléfono inteligente equipado con un lector de comunicaciones de campo cercano para navegar por ellos.

Los números también se pueden inferir combinando sus seis primeros dígitos -que se basan en la marca de la tarjeta, el banco emisor y el tipo de tarjeta- con una fórmula de verificación conocida como Algoritmo de Luhn.

Una vez que un atacante tiene un número válido de 16 dígitos, cuatro segundos son todo lo que necesitan para conocer la fecha de vencimiento y el valor de verificación de 3 dígitos de la tarjeta que la mayoría de los sitios usan para verificar la validez de una tarjeta de crédito.

Incluso cuando los sitios van un paso más allá al agregar la dirección de facturación del titular de la tarjeta de crédito al proceso de compra, la técnica puede adivinar correctamente la información en solo 6 segundos.

La técnica se basa en bots de la web que distribuyen suposiciones aleatorias en casi 400 sitios de comercio electrónico que aceptan pagos con tarjeta de crédito.

De ellos, 26 sitios usan solo dos campos para verificar tarjetas, mientras que otros 291 sitios usan tres campos.

Debido a que los diferentes sitios dependen de diferentes campos, los robots son capaces de introducir adivinanzas inteligentes en el campo de usuario de múltiples sitios hasta que los robots aciertan el dato correcto.

Una vez que se obtiene la fecha de caducidad correcta para una tarjeta dada -normalmente los bancos emiten tarjetas válidas por hasta 60 meses- los bots usan un proceso similar para obtener el número verificador.

En otros casos, cuando los sitios permiten a los bots obtener el número verificador de la tarjeta primero, es un proceso que nunca puede requerir más de 1.000 conjeturas, por lo cual los robots trabajan para obtener la fecha de vencimiento y, si fuera necesario, hasta la dirección de facturación.

Este trabajo realizado por los investigadores de la Universidad de Newcastle demuestra que el mundo transaccional se torna cada vez más inviable. Si el sistema financiero no se vuelca masivamente hacia un sistema que cumpla con sus estándares de seguridad para resolver las transacciones con una experiencia de autenticación de segundo factor, vamos camino al desastre.

 

 

Luis V. Sintes Martinez Analista de Seguridad – Vintegris