Algo que teme prácticamente cualquier persona con tarjeta de crédito es sufrir un ataque y terminar como víctimas de una estafa con su plástico. Por lo general clonar una tarjeta requiere que el plástico sea registrado por un lector preparado para duplicar la información. Lo cierto es que un grupo de investigadoras de la Universidad de Newcastle demostró que para clonar una tarjeta de débito o crédito puede llevar entre cuatro y seis segundos.
Algo que hace mucha gente -y la verdad sorprende siempre- es compartir fotos de sus tarjetas de crédito o débito en una suerte de outboxing suicida: si publicás en las redes la foto de tu tarjeta, con número de seguridad y demás información necesaria para operarla… no sé si se el hecho de que alguien la use puede ser calificado como robo o estafa, simplemente porque fuiste vos quien divulgó esos datos. Las usuarias por lo general no tienen idea de los riesgos de subir datos como los 16 dígitos que componen el número y la fecha de vencimiento del plástico. La mayoría de los sitios piden sólo 3 datos: número de tarjeta, fecha de vencimiento y CVV (el código de seguridad). Ahora… si sólo tenemos los primeros dos datos ¿cómo obtenemos el CVV? Las investigadoras de Newcastle han comprobado que puede hacerse por fuerza bruta.
Esta técnica es efectiva debido a la falta de un estándar general entre los sitios de comercio electrónico para proteger las transacciones de las que son plataforma. Las investigadoras tomaron como modelo el top 400 de ventas online que reporta Alexa y con eso determinaron la robustez de cada uno. De un total específico de 389 sitios, sólo 291 requieren el ingreso de los tres campos, mientras que la cifra baja a 25 si buscamos sitios que además requieran dirección y código postal. Lo tremendo es que ninguno de los sitios se encarga de verificar el nombre impreso en el plástico. Según comunicaron las investigadoras, el CVV de la tarjeta puede ser víctima de ataques de fuerza bruta utilizando un ataque distribuido de bots. El CVV está conformado por 3 dígitos, por lo que el número de combinaciones no puede superar las 1000 alternativas. En caso de que tengas el CVV pero no la fecha de vencimiento, la cosa también es muy simple: por decisión de las emisoras de las tarjetas, los plásticos no duran más de 60 meses.
La posibilidad de esparcir un ataque a cientos de sitios en simultáneo reduce el tiempo de espera de este hackeo a sólo 6 segundos. Las investigadoras incluso tomaron un número de tarjeta robado y buscaron crear una cuenta falsa en el exterior de su país a la que transferir los fondos que pudieran extraer. El proceso llevó sólo 27 minutos, menos que lo que demora un banco en bloquear el envío. Para cerrar, te dejo dos datos que te van a interesar: el ataque afecta a las tarjetas Visa, la red MasterCard detectó las operaciones y terminó desactivándolas.
Para cerrar, te dejo otro dato que sirve para entender qué rol ocupás en la cabeza de las dueñas de las tarjetas: las investigadoras contactaron a 36 sitios de los más importantes, notificándoles de los problemas de seguridad. Sólo 8 hicieron ajustes en sus sistemas.
Mirá el informe completo.
¡Happy Hacking!