El protocolo de pagos sin contacto de las tarjetas bancarias Visa contiene un fallo de seguridad que permite que los delincuentes lleven a cabo pagos mediante este sistema sin utilizar el código PIN para cantidades superiores al límite establecido.
Así lo han descubierto los investigadores David Basin, Ralf Sasse y Jorge Toro, de la Escuela Politécnica Federal de Zúrich (Suiza), que han analizado la seguridad del protocolo de estándares de tarjetas EMV, llamado así por sus fundadores Europay, Mastercard y Visa, y que en diciembre de 2019 se usaba en 9.000 millones de tarjetas en el mundo.
Las tarjetas bancarias Visa emplean un protocolo de seguridad para los pagos sin contacto que obligan a introducir el código PIN para importes superiores a un límite máximo, actualmente de 50 euros.
No obstante, debido a las vulnerabilidades descubiertas, cualquier persona que se haga con una tarjeta Visa, o incluso si coloca un teléfono con NFC a su lado, podría realizar pagos sin contacto superando el límite establecido.
Para llevar a cabo este ataque, los investigadores de la universidad suiza han utilizado dos smartphones Android comunicados entre sí por WiFi y que están equipados con sensores NFC de pagos móviles.
Si se sitúan cerca del terminal de pagos y de la tarjeta de crédito, los móviles pueden comunicarse entre ellos a través de una aplicación y modificar los datos de la transacción antes de enviarlos al datáfono.
De esta manera, los datos que se envían pasan a incluir instrucciones adicionales, como que el código PIN no es necesario para el pago -aunque sea superior al límite- y que el propietario de la tarjeta está verificado en el smartphone utilizado.
Este fallo de seguridad está presente en el protocolo de pagos sin contacto de Visa y según los investigadores es posible que afecte también a los de Discover y UnionPay.
Otra de las vulnerabilidades descubiertas en los estándares de seguridad de las tarjetas Visa y Mastercard permite realizar pagos de manera offline engañando al terminal de pagos para que acepte transacciones falsas y que no se cobre al usuario.
El FBI emitió recientemente una advertencia sobre el mayor uso de aplicaciones de banca móvil por parte de los estadounidenses, que significaría una mayor amenaza de los ciberdelincuentes que atacan estas aplicaciones.
El FBI estima que más del 75% de los estadounidenses usaron la banca móvil en 2019. Otro estudio indicó un aumento del 50% en la banca móvil este año.
Estas vulnerabilidades se presentan como aplicaciones bancarias falsas, páginas de inicio de sesión falsas y troyanos que se superponen a una página de inicio de sesión falsa en un inicio de sesión bancario legítimo.
La página maliciosa envía cualquier información que ingrese directamente a los ciber actores maliciosos. El FBI también advierte que algunos troyanos pueden permanecer inactivos en el dispositivo de la víctima durante largos períodos de tiempo hasta que abra ciertas aplicaciones como una aplicación bancaria.
"En 2018, se detectaron casi 65.000 aplicaciones falsas en las principales tiendas de aplicaciones, lo que lo convierte en uno de los sectores de más rápido crecimiento del fraude basado en teléfonos inteligentes", advierte el FBI.
La advertencia continúa para proporcionar en su mayoría buenos consejos sobre cómo evitar estas vulnerabilidades, como solo descargar una aplicación de la tienda de aplicaciones oficial del teléfono o del sitio web bancario. Además, nunca descargar una aplicación bancaria de un tercero.
Otra buena idea es usar MFA (autenticación multifactor) para todos los inicios de sesión.
El uso de MFA generalmente detendrá la toma de control de una cuenta con una contraseña comprometida.
El informe establece que "habilitar cualquier forma de autenticación de dos factores será una ventaja para el usuario", pero algunos métodos de autenticación funcionan mejor que otros. Si un troyano en su teléfono puede mostrar una página de inicio de sesión, es probable que pueda leer sus mensajes de texto.