Saltar al contenido
Noticias de tecnologia

Los piratas informáticos omiten el PIN en las tarjetas sin contacto

Los piratas informáticos omiten el PIN en las tarjetas sin contacto

Las tarjetas sin contacto tienen una vulnerabilidad grave, identificada por ETH Zúrich, lo que permite que cualquier actor malintencionado omita sus códigos PIN. Los investigadores de ETH Zurich encontraron que el exploit usa el principio de hombre en el medio, donde los piratas informáticos aprovechan los datos intercambiados entre la tarjeta y el terminal de la tarjeta.

Según CyberSecurityNews, los piratas informáticos necesitan una aplicación de Android personalizada, dos teléfonos inteligentes Android y una tarjeta robada para aprovechar esta vulnerabilidad con éxito.

Se utiliza un teléfono inteligente para emular un terminal de punto de venta y se coloca cerca de la tarjeta robada. El segundo teléfono inteligente se comporta como un emulador de tarjeta que permite la transferencia de información de transacción modificada a un dispositivo de punto de venta real.

La aplicación le indica al terminal de la tarjeta que no se necesita un PIN para permitir la transacción y que el titular de la tarjeta ha sido verificado. ETH Zurich publicó un exploit similar contra tarjetas Visa en septiembre de 2020. Dado que Visa utiliza un estándar de transmisión de datos diferente al de sus competidores, no estaba claro que otros proveedores de tarjetas fueran vulnerables a un ataque de este tipo hasta ahora.

El equipo de ETH Zurich pudo replicar el proceso en tarjetas Maestro y tarjetas de crédito Mastercard, con transacciones de hasta 400 francos suizos (USD $ 436,14).

Expertos en ETH Zurich confirmado que el ataque fue aislado pero que puede explotarse a medida que se revelen más ambigüedades en los sistemas de pago sin contacto.