VISA, ¿pueden hackear tu tarjeta en solo unos segundos?

Tesco es el tercer detallista mundial y el primer supermercado del mundo. Su posición en las Islas Británicas es tal que, según un estudio llevado a cabo hace una década, una de cada siete libras gastadas en Reino Unido en 2007 se hacía en un establecimiento de la marca. De hecho, su presencia en algunas ciudades es tal que se las conoce en el sector como Tesco Towns, puesto que más de la mitad del gasto en comestibles se hace en sus supermercados.

Pero aunque sea conocido como un gigante de la distribución es una empresa sobradamente diversificada: desde su tienda en línea en ¡1994! hasta la cadena de restaurantes Giraffe, una empresa de telecomunicaciones en joint venture con O2 pasando por la venta de productos culturales y una entidad financiera que proporciona tarjetas, cuentas, créditos, etc.

Su sólida expansión geográfica por Europa (sobre todo central) y Asia, la han convertido en una empresa de referencia para millones de consumidores en todo el planeta que confían en esta firma que se acerca al siglo de vida.

Sin embargo, su tamaño también la convierte en una diana muy deseada para aquellos que quieren hacer dinero fácil a su costa y a la de sus clientes. De hecho, el mes pasado, la ciberdelincuencia le costo 2,5 millones de libras. ¿El motivo? Fallos en el sistema de pagos de las tarjetas VISA que permiten descubrir el número de las tarjetas de crédito y débito, la fecha de caducidad y el código de seguridad en tiempo récord: 6 segundos.

El método empleado, según ha hecho público un grupo de expertos de la Universidad de Newcastle es el Distributed Guessing Attack en el que la plataforma de seguridad de VISA no detectaba que los criminales simplemente hacían multitud de intentos hasta dar con las códigos correctos de identificación y seguridad de cada tarjeta. Cuando combinaban todos los aciertos se abría la puerta para realizar compras a cargo de las cuentas de terceros.

Como se puede comprobar en la imagen que abre el post, los hackers aprovechaban que empleaban webs que pedían datos de autenticación de la tarjeta distintos con lo que podían conseguir más fácilmente cruzar los errores y aciertos para conseguir el acceso a la tarjeta.

Según Mohammed Ali, uno de los responsables de la Universidad de Newcastle encargado de analizar el fraude, la mezcla de «un número ilimitado de intentos y errores» sumado a «la solicitud de diferentes datos» permitían conseguir el acceso con una enorme facilidad ya que cada campo se puede generar consecutivamente tarjeta tras tarjeta y web tras web para conseguir el robo.

El estudio va más allá (y pone en jaque la seguridad que otorga VISA a sus plataformas de pago) y es que, con solo los seis primeros dígitos de una tarjeta de crédito, los que se encargan de reflejar la entidad bancaria y el tipo de tarjeta, un hacker puede conseguir en solo unos segundos los otros tres bloques de información esencial para hacer una compra online.

Según la multinacional americana el estudio no es válido ya que no tiene en cuenta «las múltiples capas de prevención de fraude que existen en los sistemas de pago en línea, cada una de las cuales debe ser validada para hacer una transacción». Por si fuera poco, consideran que tanto los comercios como los emisores deben tomar medidas para evitar ataques por fuerza bruta como estos. ¿Es hora de dar un salto en los sistemas de seguridad de pagos virtuales?

Pagos móviles, más cerca que nunca

Hace casi dos años que empezamos a hablar de los pagos inteligentes realizados con los smartphones. Desde entonces, muchos fabricantes han intentado -en solitario- instaurar sus propias tecnologías en el mercado y, todas sin excepción, se han traducido en grandes fracasos. Así, del mismo modo que ocurrió con el BluRay, por fin todas las empresas se han puesto de acuerdo en que el mejor estándar es la tecnología NFC y han apostado por su desarrollo e implantación, lo que permitirá que en sólo un par de trimestres se puedan realizar con comodidad los pagos contactless.

 

Pero, para que todo esto se lleve a la práctica, es necesario que se den tres pasos previos. El primero es que las operadoras cuenten con aplicaciones cartera (wallets), que los terminales equipen la tecnología NFC y que los datáfonos de los establecimientos se preparen para ser compatibles con este sistema de pago. De momento sólo el 2% de los terminales y de los establecimientos la tienen activada, sin embargo, Visa y otras entidades bancarias están trabajando contrarreloj en un plan de implementación del NFC en sus establecimientos y Movistar, Orange y Vodafone se han comprometido a lanzar sus aplicaciones antes del verano.

 

El responsable de m-commerce de Vodafone explicó en el MWC que para que la tecnología salga adelante necesitarán una masa crítica del 30% de los usuarios -tanto clientes como establecimientos- adscritos para poder amortizar la inversión. Las operadoras cobrarán a los bancos una tasa fija anual, mientras que los clientes sólo tendrán que introducir el código PIN en las transacciones superiores a 20€. En otros países se ha probado con estrategias como la introducción de publicidad en el sistema que se traduzca en descuentos para los «pagadores» que han tenido una gran acogida.

 

De momento, tanto Vodafone como Visa recordaron que en MWC de 2011 ya pusieron en marcha un proyecto para permitir los pagos móviles en cinco grandes mercados, entre ellos el estatal, sin embargo, la estrategia no ha pasado de pequeños proyectos piloto. Ahora dicen que gracias al apoyo de los fabricantes y al compromiso de los demás sujetos del mercado, en pocas semanas los pagos móviles serán una realidad cotidiana.

 

Por su parte, Telefónica y La Caixa han sumado una nuevo socio a su proyecto: Sony ya ha habilitado pagos con sus terminales Xperia en 16.000 comercios en Barcelona y parece que las tres se aprovecharán de la experiencia de la filial inglesa de Telefónica, O2, que lleva meses ofreciendo un sistema de pago NFC en el Reino Unido.

 

En cuanto a la tercera operadora en nuestro mercado, Orange anunció estos días en Barcelona un acuerdo con Mastercard para arrancar un proyecto que ya funciona con éxito en Francia, Polonia y Reino Unido. Sin embargo, los resultados de los anteriores proyectos han resultado un fiasco respecto a las expectativas que levantaron. Hay que recordar que para que la tecnología NFC se convierta en un estándar de transacción de datos (no sólo para pagos, sino también entre móviles) de aquí a 2016 será necesario que se vendan 1.500 millones de equipos con el chip NFC. De darse esto, la facturación de los pagos sin contacto podría superar los 50.000 millones de dólares en estos tres años.

 

Los fabricantes no quiere quedarse atrás y Samsung ya anunciado que sus próximos Galaxy incorporarán la tecnología de pago de Visa que se caracteriza porque el terminal incorpora un chip de seguridad donde se precargan los datos de las tarjetas de crédito (de Visa) del usuario para que los pagos sean más cómodos. Además, la multinacional coreana presentó su Samsung Wallet, una aplicación -muy parecida al Passbook de Apple- donde el usuario podrá almacenar y gestionar sus entradas de cine, eventos, tarjetas de embarque y cupones de descuento.

 

Por su parte, las entidades financieras presentaron los datos del último Estudio Mundial de Adopción Mobile Money donde se demostró que la industria del dinero móvil (que incluye pagos y transferencias a través del saldo de los teléfonos prepago) crece a un gran ritmo. Sobre todo en los países en desarrollo, explicaron, debido a la escasa bancarización de esos estados. Parece que el dinero dentro de poco ya no será ni de plástico.