El fallo en las tarjetas Visa que permite hacer pagos sin poner el código PIN
Un grupo de investigadores de la Universida Politécnica de Zurich ha descubierto una vulnerabilidad que posibilita que un ciberdelincuente engañe al dispositivo de pago
La tecnología vuela, y en estos tiempos de pandemia se ha vuelto a revelar como uno de los mejores aliados que tiene la sociedad. Ya sea para trabajar desde casa, para mantenerse en contacto con los más cercanos y para realizar pagos en las tiendas sin necesidad de usar efectivo ni tocar ningún dispositivo. Sin embargo, eso no implica que no existan riesgos potenciales. Según un estudio de la Escuela Politécnica de Zurich, el protocolo de pagos sin contacto de las tarjetas bancarias Visa tiene un fallo que permite a los ciberdelincuentes lleven a cabo pagos mediante este sistema sin utilizar el código PIN para cantidades superiores al límite establecido.
Como explican los autores del estudio, los investigadores David Basin, Ralf Sasse y Jorge Toro, las tarjetas bancarias Visa emplean un protocolo de seguridad para los pagos sin contacto que obligan a introducir el código PIN para importes superiores a un límite máximo, actualmente de 50 euros. Sin embargo, debido a las vulnerabilidades descubiertas, cualquier persona que se haga con una tarjeta Visa, o incluso si coloca un teléfono con NFC al lado del usuario, podría realizar pagos sin contacto superando el límite establecido.
Para llevar a cabo el estudio, los investigadores utilizaron dos «smartphones» Android comunicados entre sí por WiFi y que están equipados con sensores NFC de pagos móviles. Si se sitúan cerca del terminal de pagos y de la tarjeta de crédito, los móviles pueden comunicarse entre ellos a través de una aplicación y modificar los datos de la transacción antes de enviarlos al datáfono.
De esta manera, los datos que se envían pasan a incluir instrucciones adicionales, como que el código PIN no es necesario para el pago -aunque sea superior al límite- y que el propietario de la tarjeta está verificado en el «smartphone» utilizado.
Este fallo de seguridad está presente en el protocolo de pagos sin contacto de Visa y según los investigadores es posible que afecte también a los de Discover y UnionPay . Otra de las vulnerabilidades descubiertas en los estándares de seguridad de las tarjetas Visa y Mastercard permite realizar pagos de manera «offline» engañando al terminal de pagos para que acepte transacciones falsas y que no se cobre al usuario.
Visa no reconoce la vulnerabilidad
Visa, sin embargo, ha asegurado que no tiene constancia de que se haya producido ningún fraude y defendido la seguridad de este método de pago. «En Visa nos tomamos muy en serio todas las posibles amenazas en la seguridad de los pagos. En este sentido, apreciamos los esfuerzos académicos y de la industria en reforzar el ecosistema de pagos», ha expresado la empresa bancaria en una declaración remitida a Europa Press.
La compañía sostiene que sus clientes «pueden seguir haciendo uso de sus tarjetas Visa con total confianza». Asimismo apunta que ha valorado que los escenarios propuestos por los investigadores «pueden ser razonables para realizar simulaciones, pero han demostrado ser poco prácticos a la hora ser usados por estafadores en el mundo real».
«La realidad es que, en todo ese tiempo, no se han reportado estos modelos de fraude en la práctica», ha aseverado Visa, que ha defendido que «las tarjetas 'contactless' son muy seguras». Este tipo de tarjetas usa la misma tecnología segura que el chip EMV -presente en las tarjetas del estándar desarrollado por Europay, Mastercard y la propia Visa- y previenen la falsificación utilizando un código de un solo uso que evita que los datos comprometidos se vuelvan a utilizar para el hurto.
Noticias relacionadas
