Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
Blog de la Escuela de Educación Secundaria Técnica N 8 de Quilmes
Administrador Prof. Claudio Enrique Alonso Alvite
img
21 de Mayo, 2014    General

Las tarjetas bancarias de chip también pueden clonarse mediante ataques "pre-play"


El sistema CHIP & PIN (EMV) de las tarjetas de pago empleado por la mayoría de bancos Europeos y Asiáticos es definitivamente más seguro que la banda magnética, pero esto no significa que no tenga fallos. 

Como sabéis, es posible comprometer la seguridad de una tarjeta 
en cajeros automáticos o puntos de venta mediante lectores y cámaras ocultas que graban la información y registran los números a medida que son introducidos por el usuario, pero también hay otras maneras de hacerlo...

Recientemente, el equipo de investigadores de la Universidad de Cambridge ha descubierto un fallo en la forma en la que los algoritmos generan un número único para cada transacción que se implementa, que posibilita que un atacante pueda autorizar transacciones ilegales sin tener que clonar las tarjetas de los clientes.

"El numero único (UN) parece consistir en un valor fijo de 17 bits y los primeros 15 bits son simplemente un contador que se incrementa cada pocos milisegundos repitiendo el ciclo cada 3 minutos", descubrieron.

"Nos preguntamos si el "número impredecible" generado por un cajero automático (ATM) es de hecho predecible, lo que puede crear la oportunidad de un ataque en el que un criminal con acceso temporal a una tarjeta (por ejemplo en una tienda bajo control de la mafia) se pueden calcular los códigos de autorización necesarios para sacar dinero del cajero automático en algún momento en un futuro gracias a que el valor del UN se ha predecido".


Su investigación los llevó a concluir que el número en cuestión es predecible y que ese ataque "pre-play", aunque no es tan fácil de ejecutar y posee ciertas limitaciones, es posible y viable en la práctica a través de una serie de implementaciones que incluyen infectar con malware a los cajeros automáticos (ATM), suministrar ataques en cadena, corte del terminal, modificación del UN en red y la cooperación de un comerciante de una tienda.

Ciertos bancos, dispositivos de pago y los principales proveedores de tarjetas de crédito han sido informados de la vulnerabilidad, pero la mayoría se negó a comentar oficialmente nada sobre los resultados.

"Hemos recibido algunas respuestas informales: el alcance y la magnitud del problema fue una sorpresa para algunos, mientras que otros indicaron que ya estaban sospechando de la seguridad de los números impredecibles o incluso dijeron que otros ya habían sido explícitamente conscientes del problema durante años. Si estas afirmaciones son ciertas, son una prueba más de que los bancos suprimen sistemáticamente la información acerca de las vulnerabilidades conocidas, mientras que a las víctimas de fraude se les continúa negando reembolsos", señalan los investigadores en el paper (PDF)de 2012 que detalla el fallo y los ataques.  

"Encontramos fallos que son utilizados ampliamente en cajeros automáticos de los principales fabricantes. Ahora podemos explicar al menos parte del creciente número de fraudes en los que se les negó a las víctimas reembolsos por parte de los bancos que afirman que las tarjetas EMV no se pueden clonar y que un cliente involucrado en un robo puede ser causa de un error o de complicidad".

Fuente: Chip and PIN payment card system vulnerable to "pre-play" attacks
Ver también: Pre-Play Vulnerability Allows Chip-and-PIN Payment Card Cloning

Paper actualizado en 2014, Symposium de IEEE 2014 sobre seguridad y privacidad en San José, California: http://www.cl.cam.ac.uk/~sjm217/papers/oakland14chipandskim.pdf

Fuente de Traducción  http://www.hackplayers.com/2014/05/las-tarjetas-bancarias-de-chip-pueden-clonarse.html
Palabras claves , , , , , , , , ,
publicado por alonsoclaudio a las 20:44 · Sin comentarios  ·  Recomendar
 
Más sobre este tema ·  Participar
Comentarios (0) ·  Enviar comentario
Enviar comentario

Nombre:

E-Mail (no será publicado):

Sitio Web (opcional):

Recordar mis datos.
Escriba el código que visualiza en la imagen Escriba el código [Regenerar]:
Formato de texto permitido: <b>Negrita</b>, <i>Cursiva</i>, <u>Subrayado</u>,
<li>· Lista</li>
CALENDARIO
Ver mes anterior Marzo 2024 Ver mes siguiente
DOLUMAMIJUVISA
12
3456789
10111213141516
17181920212223
24252627282930
31
BUSCADOR
Blog   Web
TÓPICOS
» General (2606)
NUBE DE TAGS  [?]
SECCIONES
» Inicio
ENLACES
MÁS LEÍDOS
» Analizando el LiveBox 2.1 de Orange
» Cómo espiar WhatsApp
» Cómo usar Metashield protector for Client y por qué utilizarlo
» Detectando tráfico de conexiones HTTP inversas de Meterpreter (Snort)
» Ejecución remota de código arbitrario en OpenSSH
» Ganar dinero con 1.200 Millones de identidades robadas
» Hardware y sus 4 Funcionamientos Basicos y Principales en una Computadora
» Redes de la Deep Web: CJDNS y la Red Hyperboria
» Unidad Central de Procesamiento CPU
» Wassap, la aplicación que permite usar WhatsApp desde la PC
SE COMENTA...
» Cómo espiar WhatsApp
595 Comentarios: Scott, Scott, Jarlinson mercy, [...] ...
» Qué hacer ante el robo de un teléfono móvil o una tableta
2 Comentarios: best buy security cameras swann, best buy security cameras swann
» Espiando usuarios gracias a la vulnerabilidad en cámaras TRENDnet
1 Comentario: Coin
» Recopilatorio de aplicaciones y sistemas vulnerables para practicar
2 Comentarios: vera rodrigez ...
» SoftPerfect WiFi Guard permite saber quién esta conectado a mi WiFi
2 Comentarios: firdous ...
SOBRE MÍ
FOTO

Prof. Claudio Enrique Alonso Alvite



» Ver perfil

AL MARGEN
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes
(Técnicos en Informática Personal y Profesional)
FULLServices Network | Blogger | Privacidad