Es
posible para un mismo cliente, dado un
número de tarjeta American Express, predecir
el número de la siguiente tarjeta que se le asignaría (tras caducidad o
cancelación de la anterior).
Esto podría ser útil para un atacante con una tarjeta robada de esta institución,
que podría predecir el número de la
tarjeta siguiente. Con ello se reconstruiría toda la información necesaria
para obtener una copia de la nueva tarjeta, si bien no funcionaría en todos los
establecimientos por no ser posible predecir el CVV de la nueva tarjeta. En la
reconstrucción de la nueva tarjeta se aprovechan ciertas características de las
tarjetas, como que la nueva fecha de expiración es precedible según la fecha de
la petición de la nueva tarjeta, y que otros campos internos son válidos
simplemente copiándolos de la antigua o se derivan fácilmente. Todo esto tiene
sus matices y también intervienen otras protecciones adicionales, que pueden
dificultar el ataque.
Otra característica preocupante
comentada por Kamkar se da por el contexto
de Estados Unidos, al no tener generalizado el uso de Chip-and-PIN. Si una
tarjeta tiene chip y el terminal lo soporta, al pasar la tarjeta usando la
banda magnética el terminal pide que se pase usando el chip, por seguridad. El
caso es que es la misma banda magnética la que codifica en texto claro si la
tarjeta tiene chip o no, con lo que es posible cambiar esta información
haciendo creer que la tarjeta no tiene chip y evadir el sistema de
Chip-and-PIN.
Finalmente, y en vez de usar un
codificador de tarjetas magnéticas, Kamkar ha construido un pequeño dispositivo
que permite simular el paso de una tarjeta usando la banda magnética, pero a
unos centímetros de distancia. Básicamente, recrea el campo magnético que
produciría el paso de la tarjeta, pero con una potencia superior, para salvar
la distancia. La construcción de este dispositivo se estima en 10 dólares estadounidenses,
y las instrucciones para hacerlo están disponibles en su página web. Este tipo
de dispositivos ya existía
antes,
si bien no se había reunido en el mismo dispositivo el ser pequeño, a distancia
y barato. Hasta ahora.
I've released MagSpoof, which can wirelessly spoof credit cards/magstripes, disable Chip&PIN, and predict Amex cards https://t.co/MTbzc0Qax8
— Samy Kamkar (@samykamkar) noviembre 24, 2015
En la comunicación de Kamkar con
American Express sobre este asunto, un ingeniero de la institución asegura que la predicción de números de tarjeta no es
un riesgo serio, por las mitigaciones adicionales incorporadas en el
sistema. Mitigaciones que hacen poco práctico el ataque, aunque no imposible.
El coste de modificar el sistema de seguridad de un sistema de pago, debido a
la cantidad de sistemas que habría que actualizar y la necesidad de respetar
sistemas antiguos, es bastante alto. Esto retrasa la llegada de medidas de
seguridad a estos sistemas. En Estados
Unidos, están en proceso de reemplazar el sistema de banda magnética por el de
chip, más seguro, si bien tampoco infalible.
Más información:
Página de Samy Kamkar sobre esta
investigación
Noticia de WIRED ampliando
información
Estado actual de la implantación
de Chip-and-PIN en EEUU y sus vulnerabilidades
Artículo sobre Samy Kamkar
Carlos Ledesma
http://dle.rae.es/?id=TxlYpR2
ResponderEliminar