VISA, ¿pueden hackear tu tarjeta en solo unos segundos?

Tesco es el tercer detallista mundial y el primer supermercado del mundo. Su posición en las Islas Británicas es tal que, según un estudio llevado a cabo hace una década, una de cada siete libras gastadas en Reino Unido en 2007 se hacía en un establecimiento de la marca. De hecho, su presencia en algunas ciudades es tal que se las conoce en el sector como Tesco Towns, puesto que más de la mitad del gasto en comestibles se hace en sus supermercados.

Pero aunque sea conocido como un gigante de la distribución es una empresa sobradamente diversificada: desde su tienda en línea en ¡1994! hasta la cadena de restaurantes Giraffe, una empresa de telecomunicaciones en joint venture con O2 pasando por la venta de productos culturales y una entidad financiera que proporciona tarjetas, cuentas, créditos, etc.

Su sólida expansión geográfica por Europa (sobre todo central) y Asia, la han convertido en una empresa de referencia para millones de consumidores en todo el planeta que confían en esta firma que se acerca al siglo de vida.

Sin embargo, su tamaño también la convierte en una diana muy deseada para aquellos que quieren hacer dinero fácil a su costa y a la de sus clientes. De hecho, el mes pasado, la ciberdelincuencia le costo 2,5 millones de libras. ¿El motivo? Fallos en el sistema de pagos de las tarjetas VISA que permiten descubrir el número de las tarjetas de crédito y débito, la fecha de caducidad y el código de seguridad en tiempo récord: 6 segundos.

El método empleado, según ha hecho público un grupo de expertos de la Universidad de Newcastle es el Distributed Guessing Attack en el que la plataforma de seguridad de VISA no detectaba que los criminales simplemente hacían multitud de intentos hasta dar con las códigos correctos de identificación y seguridad de cada tarjeta. Cuando combinaban todos los aciertos se abría la puerta para realizar compras a cargo de las cuentas de terceros.

Como se puede comprobar en la imagen que abre el post, los hackers aprovechaban que empleaban webs que pedían datos de autenticación de la tarjeta distintos con lo que podían conseguir más fácilmente cruzar los errores y aciertos para conseguir el acceso a la tarjeta.

Según Mohammed Ali, uno de los responsables de la Universidad de Newcastle encargado de analizar el fraude, la mezcla de «un número ilimitado de intentos y errores» sumado a «la solicitud de diferentes datos» permitían conseguir el acceso con una enorme facilidad ya que cada campo se puede generar consecutivamente tarjeta tras tarjeta y web tras web para conseguir el robo.

El estudio va más allá (y pone en jaque la seguridad que otorga VISA a sus plataformas de pago) y es que, con solo los seis primeros dígitos de una tarjeta de crédito, los que se encargan de reflejar la entidad bancaria y el tipo de tarjeta, un hacker puede conseguir en solo unos segundos los otros tres bloques de información esencial para hacer una compra online.

Según la multinacional americana el estudio no es válido ya que no tiene en cuenta «las múltiples capas de prevención de fraude que existen en los sistemas de pago en línea, cada una de las cuales debe ser validada para hacer una transacción». Por si fuera poco, consideran que tanto los comercios como los emisores deben tomar medidas para evitar ataques por fuerza bruta como estos. ¿Es hora de dar un salto en los sistemas de seguridad de pagos virtuales?

Cifrado en WhatsApp, en qué consiste y qué protege

La era de la conectividad, las redes sociales y los dispositivos móviles es también la era de la privacidad. Cada vez son más las personas que se preguntan si tiene sentido disfrutar de todas estas comodidades (para algunos nos hacen esclavos de la propia sociedad) si a cambio hemos de pagar cediendo una parcela tan importante como nuestra privacidad.

La pelea entre Apple y el FBI por ceder un acceso a su sistema operativo y poder revisar los contenidos del smartphone de un terrorista son solo el penúltimo capítulo de escándalos de espionaje, filtraciones de información y ataques a la privacidad de los individuos. Por eso las plataformas de referencia en comunicación han decidido tomar cartas en el asunto.

Hace pocos días que los mil millones de usuarios comenzaron a recibir un mensaje en sus chats como el que abre el post de hoy. La aplicación de mensajería más popular del planeta propiedad de Facebook decidía cifrar las conversaciones de sus usuarios (llamadas y mensajes) para que nadie que no formara parte de las mismas pudiera acceder a sus contenidos.

El cifrado parece ser la última barrera para que propios (autoridades) y extraños (hackers) puedan acceder libremente a nuestras vidas cuando les plazca. Pero, ¿en qué consiste el cifrado para ser tan eficaz? Básicamente se trata de crear una clave temporal que solo puede descifrar el smartphone del receptor. Cuando escribimos algo el contenido sale de nuestro smartphone hasta los servidores de WhatsApp ya encriptado y allí se rebota hasta el destinatario. De esta forma nadie, ni siquiera WhatsApp, puede acceder al contenido de la mensajería.

Con este cifrado las conversaciones se vuelven más parecidas a las que mantenemos en persona: nadie excepto los interlocutores cara a cara pueden saber el contenido de una charla. Esto también hace más seguras a las llamadas que se hagan a través de la aplicación ya que garantizan que «ni las autoridades ni hackers ni organizaciones criminales podrán pinchar» las mismas.

La idea de la empresa ahora propiedad de Mark Zuckerberg es restablecer la confianza con los usuarios que después de algunos escándalos de filtraciones quedó muy dañada. El sistema, que ya lo emplean otras plataformas de mensajería puede ser el espaldarazo definitivo para colocar a la famosa plataforma de mensajería como la referencia de un mercado en el que cada vez quedan menos alternativas importantes y las seguras son muchas veces nichos minoritarios.

¿Qué no protege WhatsApp?

Sin embargo, como en todo contrato hay letra pequeña. La web Livemint advertía que la plataforma «puede retener la fecha y el sello de tiempo de la información asociada a los mensajes entregados con éxito y los números de teléfono que intervienen en los mensajes así como cualquier otra información que WhatsApp esté legalmente obligado a recoger».

De esta forma, aunque el contenido sea privado, los números de teléfono y las horas y fechas de los mensajes sí se almacenarán en los servidores de la empresa para que las autoridades puedan obtenerlos cuando los necesiten.

Además, son varios los medios que han acudido a expertos para saber si, realmente, nuestra mensajería está protegida de los temidos hackers. Y la respuesta es la esperada: por mucho que lo garantice la empresa, los mensajes pueden caer en manos de terceros siempre que estos infecten nuestro smartphone con un troyano. WhatsApp no puede hacer nada contra esto. «Solo» puede protegernos del pirateo directo mediante WiFi y redes 3G y 4G.

Automóviles inteligentes, ¿se pueden hackear?

La duda surgió (oficialmente) en boca del Senador de Massachussetts, Edward Markey, quien preguntó a los fabricantes si los vehículos inteligentes de última generación que incorporan conectividad inalámbrica (WiFi, Bluetooth o sistemas para unirse a nuestro smartphone) tienen suficiente protección frente posibles hackeos.

Uno de los programas más prestigiosos de Estados Unidos, «60 minutos«, se puso manos a la obra y dejó a un hacker hacer de las suyas con un modelo de última generación. Con sólo unos pocos minutos el informático se hizo con el control del claxon y de los frenos a distancia. La pregunta que se formularon inmediatamente era si podían entrar en nuestro coche mientras lo dejamos aparcado o, peor aún, mientras lo estamos conduciendo.

Expertos de empresas como Yahoo! explicaron en el programa que un automóvil es a día de hoy un complejo sistema informático: un conjunto de sensores y un ordenador que al estar conectados con el exterior vía WiFi, por ejemplo, dejan abierta la posibilidad a una entrada no permitida en su sistema y, por ende, al control del vehículo.

Sin embargo, también explicaron que acceder a un equipo de este tipo de forma remota, hacerse con el control del mismo y manipularlo es lo suficientemente complicado para que sólo un grupo muy reducido de expertos sea capaz de hacerlo.

Cualquier automóvil que cuente con un sistema de llamada de emergencia, por ejemplo, es susceptible de ser controlado desde el exterior -toda vía de comunicación tiene dos sentidos- como ya se demostró en un estudio de la Universidad de California en 2010. Aún así, es mucho más complejo que en los entornos controlados de una facultad universitaria o de un programa de televisión. De hecho, no hay constancia de que se haya controlado un coche de forma remota sin permiso del conductor.

La razón es sencilla. Más allá de instalar un software que permita el control remoto, el acceso a un automóvil requiere de conocimientos acerca del programa que controla la centralita. Sólo analistas informáticos, programadores o académicos de alto nivel han conseguido tras varios meses de trabajo entrar en coches. Además, todos esos casos han sido notificados para que los fabricantes puedan implementar más medidas de seguridad para proteger sus productos.

Además, el usuario medio puede estar tranquilo. La inversión en tiempo y recursos que requiere un hackeo de un automóvil no queda compensado por su valor ni siquiera para robarlo ya que la mayoría de los coches necesitan que la llave este al menos cerca de su radio de acción para poder activar el motor.

Podremos seguir confiando en los sistemas informáticos y de comunicaciones de nuestros vehículos, al menos por el momento. En cualquier caso, os dejamos el enlace al programa para que podáis disfrutar de lo espectacular de la prueba.

Touch ID, objeto de deseo

 

 

Si hay dos retos para cualquier hacker son romper la seguridad que rodea la seguridad de todo producto Apple y los algoritmos de Google. Y como casi siempre que se presenta un nuevo producto de la manzana, cualquier novedad relacionada con él es objeto de deseo. Así, la empresa de Chicago IO Capital ha donado 10.000 dólares (a los que se sumarán bitcoins y regalos por valor de otros 3.000 dólares) a la primera persona que sea capaz de hackear el Touch ID del nuevo iPhone 5S.

 

La idea no es, ni mucho menos, provocar problemas a los de Cupertino -ya sabemos cómo se las gasta su departamento jurídico- sino reunir a lo más granado del mundo del pirateo de software para ayudar a los de Tim Cook ha encontrar posibles brechas en la seguridad del sistema y eliminarlas. «La idea es solucionar un problema antes de que sea un problema», en palabras de Arturas Rosenbacher, uno de los socios fundadores de IO Capital.

 

Lo mejor, es que ya hay una buena lista de personas que han donado objetos o dinero (unos 50 dólares cada uno) para hacer el premio más apetitoso. Todo ello mientras, según Forbes.com, ya aparecen las primeras brechas de seguridad en iOS7. En este caso ha sido el canario José Rodríguez, de 36 años, que en un vídeo explica que es posible saltarse la pantalla de bloqueo y acceder sin oposición a todos los datos del terminal: desde aplicaciones a correos o fotografías.

 

Trudy Muller, representante de la empresa, ha afirmado que Apple presentará en pocas horas la primera actualización para minimizar el problema y hacer de iOS7 la versión más segura del sistema operativo hasta la fecha.

 

Aunque parezca sólo un sistema más cómodo -y futurista- de bloqueo, el Touch ID también es el encargado de comprobar la veracidad de las compras en iTunes, la joya de la corona de Apple y su principal fuente de ingresos. Además, este sensor biométrico ha sido aplaudido por toda la crítica ya que introduce un tipo de tecnología en los terminales que hasta ahora estaba reservado a dispositivos mucho más caros o de uso mucho más restringido para el gran público.

 

Expertos como el ingeniero Charlie Miller ya predijeron que los hackers tardarían menos de dos semanas en romper esta barrera de seguridad. Miller, conocido por dar a conocer errores de los iPhone y por vulnerar sistemáticamente la seguridad de la AppStore es, junto con David Kennedy -ex analista del departamento de ciberseguridad del Ejército de Estados Unidos y actual CEO de la consultora TrustedSec LLC- uno de los grandes favoritos para apuntar se el hito.

Facebook, otra vez asaltado

Khalil Shreateh es un hacker de guante blanco. Un pirata informático autodidacta que sólo rompe los sistemas de seguridad de las webs para demostrar a sus gestores que no son seguras. Sin absolutamente ninguna intención más que enseñar las debilidades para solventarlas.

 

Una vez se dio cuenta de la enésima brecha de Facebook, que permitía entrar en perfiles de desconocidos, siguió los cauces habituales: primero un formulario. Después un email… y como no había respuesta por parte de la empresa de Mark Zuckerberg, decidió llamar la atención del mismísimo CEO de la red social.

 

Busco a Zuckerberg en Facebook, entró en su lista de amigos, escribió en el muro de una de sus compañeras de universidad (Sarah Goodin) y, una vez hecho esto, capturo la imagen de la pantalla y la colgó en el muro del presidente. En pocos minutos un ingeniero de la red social se puso en contacto con Shreateh para que les diera detalles de cómo había hecho eso. El siguiente paso, como agradecimiento, fue ¡desactivar su cuenta!

 

 

Mala reacción de Facebook

 

Pero cerrarle la cuenta, en vez de ganar un aliado, no ha sido el único error de la red social. Primero no reconoció la brecha -algo ya habitual-, después dijeron que el aviso del hacker no incluía suficiente información técnica. Después han argumentado que un hacker de guante blanco no busca impacto cuando revela los errores (les ha puesto en evidencia) y, por último, no van a premiarle (como hacen con quienes avisan de fallos de seguridad) con los 500 dólares por solución.

 

Sin embargo, la otrora blindada Facebook (muy al estilo Apple, no hay fisuras en la comunicación con terceros) ha tenido otra brecha. Mientras que algunos responsables dicen que nunca debió acabar colgando el enlace en el muro de Goodin y mucho menos demostrando como lo hizo en el de Zuckerberg, otros Joe Sullivan, máximo responsable de seguridad, ha admitido que «fallamos a la hora de comunicarnos con él cuando nos intentó avisar de forma responsable. Entiendo que esté frustrado».

 

Sullivan, mucho más flexible, ha anunciado que todo esto redundará en cambios en el departamento de seguridad lo que incluirá un nuevo sistema de alertas, un manual de cómo avisar de los fallos por email, y un nuevo formulario más sencillo y eficaz. Lo que parece no cambiará será su trato a terceros. Cualquiera que demuestre saber más que ellos. Porque a pesar del agradecimiento tardío, Shreateh no recibirá ni un dólar por su «demostración de fuerza».