Un fallo en las tarjetas VISA permite saltarse el límite de 20 euros sin PIN

Virus

Las tarjetas contactless llevan años permitiéndonos pagar mucho más rápida y cómodamente en todo tipo de establecimientos. Si el importe no supera los 20 euros (30 libras en Reino Unido), no es necesario introducir el PIN de la tarjeta y el pago es mucho más ágil. Sin embargo, un grupo de investigadores ha conseguido hacer pagos de más de 100 euros sin necesitar PIN, lo cual entraña un grave peligro para los usuarios de tarjetas VISA.

Consiguen saltarse el límite de 30 libras en Reino Unido, y funciona en más países

Así lo han demostrado unos investigadores de Reino Unido. Aunque las tarjetas usadas eran británicas, el fallo no está limitado al país, y afecta a usuarios de tarjetas VISA en otros países, aunque no han detallado cuáles. La información ha sido revelada en exclusiva por Forbes, que puso a disposición de los investigadores una tarjeta VISA personal, y de la que realizaron pagos de 31 libras sin verificación, superando el límite de 30 libras del país. En sus propias tarjetas, los investigadores realizaron pagos de 101 libras sin introducir el PIN, aunque pueden hacerse pagos de mayores cantidades.

visa tarjeta pago contactless

Para llevar a cabo el hackeo, los investigadores utilizaron un hardware especializado con el que interceptan las comunicaciones entre la tarjeta y el lector, e insertan mensajes entre ellas. Así, pueden decir por ejemplo a la tarjeta que la transacción no necesitó de ningún método de verificación, como el PIN, a pesar de que la transacción de más de 30 libras lo requiriera. Después, le comunican al datáfono que la verificación ya se ha realizado por otro método.

El fallo es problema de VISA, ya que los investigadores afirman que otras empresas sí llevan a cabo comprobaciones para certificar que se han introducido datos de verificación. Los investigadores pudieron también clonar la tarjeta temporalmente con un móvil, de manera que se enviaba el criptograma de la tarjeta a un primer móvil, que a su vez lo enviaba a un segundo móvil que es que emula la tarjeta.

Para proteger a los clientes, normalmente los bancos bloquean una tarjeta si ven que se realizan varios pagos de 30 libras seguidos sin verificación, ya que podría indicar que un ladrón se ha hecho con la tarjeta. Sin embargo, si pueden hacerse grandes transacciones sin verificación, este bloqueo no sirve de nada, ya que pueden robarnos la cantidad que quieran en un único pago sin necesitar el PIN, la firma o cualquier método de verificación.

VISA dice que no lo van a arreglar… porque no hay nada que arreglar

Los investigadores comunicaron el fallo de seguridad a VISA, que afirma que no van a actualizar sus sistemas para solucionar el fallo, ya que dicen que el número de situaciones donde podría darse un caso es muy limitado, y que el ladrón tendría que tener la tarjeta en su poder. Eso no tranquiliza mucho, ya que si nos roban la tarjeta, podrían robar la cantidad que quisieran. Esa cantidad varía dependiendo del país. En Reino Unido es posible obtener hasta 100 libras sin despertar las alarmas de los bancos, mientras que en Estados Unidos es posible obtener más de 100 dólares sin que se activen los sistemas de seguridad de los bancos.

Sin embargo, los investigadores disienten de esta afirmación, y dicen que tan sólo es necesario que un atacante esté cerca de la tarjeta para que se realice el pago, como puede ser en el metro con un datáfono o un móvil en mano. Los bancos podrían bloquear la cuenta de los ladrones si detectan que está recibiendo varios pagos fraudulentos, pero pueden pasar días hasta que eso ocurra, y también pueden hacerse esos cobros con diferentes cuentas para no levantar sospechas.

Además, el fraude con las tarjetas contactless no para de crecer. Aunque el fraude en tarjetas cayó un 40% entre 2017 y 2018 en Europa según afirma VISA, otros datos apuntan a que las pérdidas por este tipo de fraudes aumentaron a 19,5 millones de libras frente a los 14 millones que supusieron en 2017. Según afirma VISA, todos estos fraudes se dieron con tarjetas que fueron robadas.

De momento no hay ninguna solución rápida, ya que este ataque man-in-the-middle afecta a la tarjeta y a los lectores de las mismas. Lo único que pueden hacer los usuarios es evitar que le roben la tarjeta, y usar una cartera con protección RFID. A su vez, a partir de septiembre, la UE obligará a usar métodos de verificación en las transacciones contactless si se supera un determinado límite.

Escrito por Alberto García

Fuente > Forbes

Continúa leyendo
  • YoshiDeLana

    Normalmente estos hackeos solo los prueban para decir oh mira ves como ocurre? pero a la practica es muy engorroso ponerte a hacer todo eso xd igual que los errores duper criticos explotables si tienes un mkv alterado y especifico.

  • arisma

    Sí y no, siempre se ha dicho que quién va a ir con un datafono en el metro pero es que ahora ya vale un móvil.

    Por otro lado, antes te robaban la tarjeta y tenían que saber el pin, ahora ya se ve que ni eso.

    • un datafono escondido en una mochila en una estacion de metro, a ver como te lo pillaban.

      • ilfyff

        Hay que ser un poco «tecnológicamente no competente» para no saber que un datáfono no funciona «sin nada» ya que el dinero no se guarda en la «nada». Para que el datafono funcione tiene que estar ligado a una cuenta bancaria, y todo banco tiene obviamente los datos del titular, por lo que si otros bancos o las autoridades avisan de que se está usando un datáfono de manera fraudulenta, se sabe de inmediato quién es el titular de la cuenta, y si dicho titular no se puede hacer responsable (bancarrota, desaparecido, etc.) es el propio banco el que se tiene que hacer cargo de los costes, o sea que… en fin… que si fuera tan fácil como llevar un datáfono encima, ya habría hordas de «listos» con uno o varios por el metro, bus, etc.

    • alejandro

      Si la tarjeta esta registrada en apple pay ya sea 200€ o 1€ siempre tendrás que poner la huella para que se efectúe el pago y si es con face ID tendrás que poner la cara y apretar dos veces el botón lateral

  • Álvaro Lázaro Laín

    Nunca fui amigos de esas «comodidades» de no tener que poner el PIN, Yo lo tengo puesto para poner el PIN siempre, además de que enseño mi DNI, para que vean que soy el propietario de ella. Lamentablemente no toda la gente enseña su DNI y en muchos casos, la tienda no te lo impone, de aquí los fraudes y demás.

  • anom7

    Al VISA no quiere arreglarlo no pasa nada, será que no se explota. Si al final si tienes problema por pagos no reconocidos lo denuncias y el banco te lo devuelve. Ing por ejemplo sé que tiene una protección por la cual si pagas 5 veces seguidas (puedes hacerlo en varios días) con contactless y la cantidad de cada pago no supera 20 euros (y por lo tanto no pones PIN) se bloquea el pago por contactless hasta que la metas por chip y pongas el PIN.

    Me parece un buen sistema para cubrirse ellos mismos las espaldas, porque como digo si no tuviera ese sistema y un ladrón me quita 1000 euros por el contactless el banco me lo tiene que pagar. Solo por 100 es mucho más fácil de devolver sin pegas en caso de robo.