El protocolo de pagos sin contacto de las tarjetas bancarias Visa contiene un fallo de seguridad que permite que los delincuentes lleven a cabo pagos mediante este sistema sin utilizar el código PIN para cantidades superiores al límite establecido.

Así lo informaron David Basin, Ralf Sasse y Jorge Toro de la Escuela Politécnica Federal de Zúrich (Suiza).

El protocolo EMV, que lleva el nombre de sus fundadores Europay, Mastercard y Visa, es el protocolo estándar internacional para el pago con tarjeta inteligente. Se utiliza en más de 9 mil millones de tarjetas de débito y crédito en todo el mundo.

"A pesar de la seguridad anunciada del estándar, se han planteado varios problemas descubierto anteriormente, derivado de fallas lógicas que son difíciles de detectar en la extensa y compleja especificación de EMV", anunciaron los investigadores.

"Una de las fallas encontradas, presente en el protocolo sin contacto de Visa, permite un ataque de omisión de PIN para transacciones que presuntamente están protegidas por la verificación del titular de la tarjeta, generalmente aquellas cuyo monto está por encima de un límite superior local sin PIN. Esto significa que el PIN no evitará que los delincuentes utilicen su tarjeta Visa contactless para pagar una transacción, incluso si el monto supera el límite mencionado. Para llevar a cabo el ataque, los delincuentes deben tener acceso a su tarjeta, ya sea robándola o encontrándola si se pierde, o sosteniendo un teléfono habilitado para NFC cerca", dice el informe presentado en la 42° edición del simposio de seguridad y privacidad de la organización IEEE (Instituto de Ingeniería Eléctrica y Electrónica, por sus siglas en inglés).

Los investigadores descubrieron una maniobra de fraude que permite vaciar cuentas sin que el cliente se percate

¿Cuál es el fallo?

Para llevar a cabo este ataque, los investigadores de la universidad suiza han utilizado dos smartphones Android comunicados entre sí por WiFi y que están equipados con sensores NFC de pagos móviles.

Si se sitúan cerca del terminal de pagos y de la tarjeta de crédito, los móviles pueden comunicarse entre ellos a través de una aplicación y modificar los datos de la transacción antes de enviarlos al datáfono.

De esta manera, los datos que se envían pasan a incluir instrucciones adicionales, como que el código PIN no es necesario para el pago -aunque sea superior al límite- y que el propietario de la tarjeta está verificado en el smartphone utilizado. Este fallo de seguridad está presente en el protocolo de pagos sin contacto de Visa y según los investigadores es posible que afecte también a los de Discover y UnionPay.

Otra de las vulnerabilidades descubiertas en los estándares de seguridad de las tarjetas Visa y Mastercard permite realizar pagos de manera offline engañando al terminal de pagos para que acepte transacciones falsas y que no se cobre al usuario.

Los investigadores incluso afirman haber realizado pruebas en vivo en diferentes comercios y la vulnerabilidad pudo ser replicada y aprovechada con éxito.