Los investigadores de de SR Labs han conseguido hacerse un nombre después de haber descubierto desde un malware casi invisible para USBs hasta una vulnerabilidad importante en las redes GSM. Ahora, este grupo especialista en ciberseguridad capitaneado por Karsten Nohl ha vuelto a saltar a los titulares al encontrar un nuevo fallo de seguridad, esta vez en tarjetas de crédito y débito.
Se trata de una vulnerabilidad en el protocolo ZVT, el cual es muy utilizado en los datáfonos alemanes. Con ella se puede clonar la tarjeta u obtener su PIN en cuestión de segundos, y para ello ni siquiera hace falta estar cerca: será suficiente con que nuestro ordenador utilice la misma red WiFi que los datáfonos.
Fallos básicos en la seguridad del protocolo
Tal y como explican los investigadores, el protocolo ZVT es uno de los más utilizados en Alemania, y utiliza una firma criptográfica (MAC) para proteger las claves PIN de las tarjetas. Sin embargo, esta firma se verifica mediante otra clave que queda almacenada en el módulo de seguridad (HSM), la cual suele ser la misma en muchos terminales. Por eso, teniendo en cuenta que los HSM de algunos terminales son vulnerables a ciertos ataques sencillos, todo el sistema queda expuesto.
Otro protocolo muy utilizado tanto en Alemania como en países como Francia o Luxemburgo es el Poseidón, y también comete el error de repetir las claves de acceso en diferentes terminales. Se trata de un error que vulnera los principios básicos de la seguridad, lo que según SR Labs puede llevar a permitir robar el dinero de cuentas mercantiles de una manera similar.
En un reportaje de RT en el que se explica el descubrimiento de Nohl y los suyos, vemos que un reportero realizó un pago mediante un datáfono conectado a un ordenador que simula ser una caja registradora. Con otro ordenador que podría estar en cualquier parte desde la que se pueda acceder al datáfono vía WiFi, los investigadores no sólo consiguen saber el código PIN en cuestión de segundos, sino que también son capaces de crear una réplica de la tarjeta en un tiempo récord.
Los bancos no parecen interesados en solucionarlo
Hasta ahora, los ataques a tarjetas que se han ido descubriendo se realizaban utilizando unos bugs en los softwares que podían ser fácilmente parcheados mediante una simple actualización. Pero el descubierto por SR Labs utiliza directamente al protocolo ZVT, por lo que para solucionarlo habría que rediseñar el sistema completo.
Como el ZVT no se usa en demasiados países además de Alemania estamos más ante un peligro local que uno que pueda afectarnos de de forma internacional. Aun así, los investigadores no han tardado en comunicarle la vulnerabilidad a los responsables de bancos y sistemas de pago, obteniendo respuestas totalmente diferentes.
Por una parte, la Asociación Federal de Procesadores de Dinero Electrónico (BECN) se lo ha tomado muy en serio, instando a los fabricantes de terminales de pago a que actualicen cuanto antes su software. Pero por otra, la Asociación Alemana de Cajas de Ahorro le quita hierro al asunto, y en un comunicado a Reuters dicen que el escenario propuesto por Nohl es sólo teórico... y eso que lo ha conseguido reproducir y demostrar en el vídeo de RT.
Vía | Geek.com
Imagen | GotCredit
En Xataka | El código de barras de las tarjetas de embarque revela más información de la que crees
Ver 4 comentarios
4 comentarios
Usuario desactivado
Y quieren imponernos los pagos por móvil, y un sin fin de temas de seguridad unidos al móvil, que menuda M de seguridad tienen estos sistemas, pretenden también quitar el dinero en metálico, para controlarnos aun más en todo lo que hacemos, por poner un ejemplo ya no puedo hacer transferencias desde mi banco porque como no tengo móvil, ya no puedo poner el supuesto código de seguridad que te mandan al móvil, que me da la risa, seguridad y tecnología inalámbrica, es tan incompatible como el aceite y el agua.
Y cuando resuelvan el problema ese, otros encontrarán otra vulnerabilidad y sino es ahora será en un tiempo, pero siguen emperrados con la tecnología inalámbrica para todo, y no hay manera.
Seguiremos resistiéndonos a lo que podamos.
josemicoronil
Para mí es absolutamente vergonzoso que dichas empresas dedicadas a los datáfonos, que en principio tienen que ser pioneros en seguridad, hayan tenido uno de los fallos más graves de la forma más absurda posible.
Fuera aparte de que los protocolos de por sí sean más o menos seguros (que eso debería mejorarse de forma masiva e ipsofacta), poner dos contraseñas iguales, que a demás son 'visibles' en red roza el chiste.
Saludos !
davidpombar
Estos protocolos tienen unos añitos ya. De echo, desde enero de este año todos los nuevos dispositivos que se certifican deben incluir PCI-PTS, que impide este tipo de ataques.
El problema es la velocidad a la que los bancos "renuevan" su parque de datáfonos. Sigue habiendo cacharros de más de 10 años, conectados a la línea telefónica y mucho más inseguros que los del artículo.
Además, el caso de España es aun peor que el alemán. Los bancos no tienen control de la seguridad porque en su momento decidieron "delegar" en Redsys toda el desarrollo técnico y ahora se lo están comiendo con patatas.
cumbre_87
Si me roban que al menos se lo hayan currado, no como ahora.