miércoles, 29 de diciembre de 2010

Cuidado con las tarjetas de Chip

Justo cuando toda la industria bancaria creía que había encontrado una solución para el fraude de tarjetas de crédito falsificadas, perdidas y robadas, vienen los especialistas en seguridad y le empiezan a encontrar fallos... ¡qué fastidio!

Steven Murdoch, un investigador de seguridad de la universidad de Cambridge, ha venido a contar un fallo de seguridad que ha encontrado en la implementación del protocolo EMV, el que utilizan las tarjetas de chip que van a sustituir a las viejas tarjetas magnéticas.

Resulta que las tradicionales tarjetas de crédito magnéticas son muy fáciles de reproducir (ya que basta un lector bastante sencillo para hacerlo -- creo que hasta se puede hacer con un cabezal de cassette reciclado), lo cual hace que la segunda causa de fraude de tarjetas de crédito sea precisamente el de tarjetas duplicadas (el primero se produce en el caso de transacciones sin tarjeta... en los que hay que trabajar de otra manera).

Para ello, un consorcio de los tres medios de pago dominantes en Europa (Europay, Mastercard y Visa) han creado una especificación de cuatro mil páginas que describe unas tarjetas chip con capacidad criptográfica para autenticar transacciones de crédito. Como las tarjetas nunca entregan su clave secreta a nadie, son difíciles de duplicar. Adicionalmente a eso, para dificultar su uso cuando la tarjeta física cambia de manos, es necesario pasarle un número secreto (PIN) a la tarjeta de modo que sin ese número, una tarjeta robada no puede ser usada. Esto disminuye las dos causas siguientes de fraude: tarjetas robadas y tarjetas enviadas pero nunca recibidas.

La verdad es que la introducción había tenido poco éxito en contener el fraude hasta el año 2009, en el que se han aplicado dos medidas: por un lado, ya es obligatorio usar el chip en todas las transacciones con tarjeta chip (antes se podía usar la banda magnética todavía), y por otro, los bancos han empezado a aplicar la política de que el sistema EMV es tan seguro que si hay fraude, el cliente es el culpable porque el sistema no puede fallar... ¿o sí?

El caso es que estos investigadores han encontrado una manera en la que se puede usar una tarjeta con éxito sin conocer el PIN. Para abrir boca, nos han enseñado como se hace con este vídeo (de este artículo de la BBC):



En la charla lo que además han revelado es lo sencillo que es el ataque:

En resumen, la transacción tiene tres fases: la tarjeta presenta su certificado al terminal, el terminal le envía a la tarjeta el PIN del cliente para verificarlo, y por último el terminal le envía la transacción a la tarjeta para que ésta la firme y la valide. Esta última transacción es independiente de modo que se puedan hacer también transacciones sin pedir el PIN. El problema está en que en la segunda transacción, los datos que se le envían a la tarjeta son los mismos en el caso de que no haya que pedir el PIN y en el caso de que haya que pedir el PIN y la tarjeta lo ha dado por bueno.

Así, en la transacción fraudulenta se introduce una tarjeta falsa (la tarjeta roja en el diagrama de arriba) y un pequeño ordenador (la  versión revisada desarrollada por un estudiante de Cambridge tiene el tamaño de un paquete de cigarrillos) entre el terminal y la tarjeta verdadera. Así, cuando el terminal envía el PIN, el ordenador responde que el PIN es correcto, sea el que sea, y por un lado la tarjeta piensa que el terminal no le ha pedido el PIN y el terminal (y el banco) piensan que la tarjeta ha dado el PIN como correcto (y así lo imprimen en el recibo).

El caso es que encima los medios de pago ingleses no han llevado bien el tema, no lo han arreglado y han intentado suprimir la información que estaba creando la universidad al respecto (en concreto, el desarrollo miniaturizado del ordenador y tarjeta intermedios. Siendo la prensa inglesa lo que es, lo que han conseguido es el efecto contrario... y que la tesis que lo describe sea víctima del "efecto Slashdot".

¿Soluciones? Parece que Barclays ya ha encontrado una solución en sus sistemas (hablan directamente con la tarjeta y le preguntan si el PIN ha sido correctamente validado o no), pero el resto de los bancos por ahora son vulnerables. Y por la parte de los usuarios, la recomendación ha sido que en ningún caso se proceda a la destrucción de la propia tarjeta (aparentemente es la recomendación del banco en el caso de que haya sido víctima del fraude al recibir la nueva), ya que contiene un contador de transacciones que puede servir para demostrar que ha habido transacciones con otras tarjetas a la hora de pelearse con el banco por la devolución del dinero sustraído.

No hay comentarios:

Publicar un comentario