28 may 2014

Chip y Skim: clonación de tarjetas de crédito EMV

EMV, también conocido como "Chip & PIN", es el sistema líder para pagos con tarjeta en todo el mundo. Es un estándar de interoperabilidad de tarjetas IC ("Tarjetas con microprocesador") y TPV con soporte IC, para la autentificación de pagos mediante tarjetas de crédito y débito.

Se utiliza en toda Europa y gran parte de Asia y está empezando a ser también introducido en América. Las tarjetas de pago contienen un chip para que pueden ejecutar un protocolo de autenticación. Este protocolo requiere que el punto de venta (POS) o el cajero automático genere un valor nonce, llamado "número impredecible", para cada transacción y para asegurar que la misma no pueda ser duplicada.

Este Paper "Chip and Skim: cloning EMV cards with the pre-play attack" [PDF] fue desarrollado por Mike Bond, Omar Choudary, Steven J. Murdoch, Sergei Skorobogatov, Ross Anderson Computer Laboratory, University of Cambridge, UK y detalla fallas de seguridad en el esquema de estas tarjetas con CHIP.

Los investigadores descubrieron dos graves problemas: una falla de aplicación generalizada y una más profunda, más difícil de corregir porque el defecto está en el mismo protocolo de EMV. El

El primer defecto es que simplemente se han utilizado algunos contadores, timestamps o algoritmos caseros para suministrar el nonce. Esto expone a un ataque de "pre-play" que hace indistinguible, desde el punto de vista de los registros bancarios, si la transacción fue originada por el emisor de tarjeta. Si bien este ataque es grave, por ahora es imposible clonar una tarjeta físicamente.

En el paper se describe cómo se detectó la vulnerabilidad y una prueba de concepto del ataque sobre cajeros automáticos ampliamente utilizado y de los fabricantes más grandes.

El segundo problema fue el resultado de realizar el trabajo anterior. Independiente de la calidad del número al azar, hay una falla de protocolo: el número aleatorio actual generado por la terminal puede simplemente ser sustituido por el atacante y utilizando un número anterior que haya sido capturado en una autenticación previa de la tarjeta. Esta variante del ataque anterior puede ser llevada a cabo por un malware instalado en un cajero automático o en un terminal POS terminal.

Finalmente, se discuten las contramedidas. Más de un año después de que la investigación fuera hecha pública de forma responsable, por ahora sólo se ha trabajado para mitigar el primero de los errores.

Cristian de la Redacción de Segu-Info

Suscríbete a nuestro Boletín

2 comentarios:

  1. ¿Y cuanto s fraudes se han cometido explotando esta vulnerabilidades?, ¿Porque nunca dan estos datos? Sabían que es más facil falsificar u terminal POS o un ATM y caputurar las pistas 1 y 2 y la clave que ponerse a tratar de predecir el UN.

    ResponderBorrar
  2. ¿Por que los ATM de hoy usan Windows y no un SO doseñado para brindar seguridad? En el artículo deben explotar la debilidad del SO de ATM o de una Caja Registradora - que curiosamente tambien usa una versión de Windows.

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!