Las tarjetas bancarias con chip están diseñadas para que no tenga sentido clonarlas con skimmers o malware cuando paga con una tarjeta con chip en lugar de una banda magnética. Sin embargo, varios ataques recientes a tiendas estadounidenses indican que los ladrones se están aprovechando de las debilidades en la implementación de esta tecnología por parte de algunas de las instituciones financieras. Esto les permite evitar las tarjetas con chip y, de hecho, crear falsificaciones utilizables.
Tradicionalmente, las tarjetas de plástico codifican los datos de la cuenta del propietario en texto plano en una banda magnética. Los skimmers o malware ocultos en las terminales de pago pueden leer datos y escribirlos. Estos datos pueden luego codificarse en cualquier otra tarjeta de banda magnética y usarse para transacciones financieras fraudulentas.
Las tarjetas más modernas utilizan tecnología EMV (Europay + MasterCard + Visa), que cifra los datos de la cuenta almacenados en el chip. Gracias a esta tecnología, cada vez que una tarjeta interactúa con un terminal que admite chips, se genera una clave única de un solo uso, que se denomina token o criptograma.
Casi todas las tarjetas con chip almacenan los mismos datos que están codificados en la banda magnética de la tarjeta. Esto es por compatibilidad con versiones anteriores, ya que muchos proveedores estadounidenses aún tienen que cambiar a terminales con chip. Esta función dual también permite a los titulares de tarjetas utilizar la banda magnética si el chip de la tarjeta o el terminal del comerciante no funcionan correctamente.
Sin embargo, existen varias diferencias entre los datos almacenados en un chip EMV y los datos en una banda magnética. Uno de ellos es un componente de chip denominado Código de verificación de tarjeta de circuito integrado, o iCVV, que a veces también se denomina “CVV dinámico”.
iCVV es diferente del código de confirmación de la tarjeta CVV almacenado en cinta magnética y protege contra la copia de datos del chip y su uso para crear tarjetas de banda magnética falsificadas. Tanto iCVV como CVV no están asociados con el código numérico de tres dígitos que está impreso en el reverso de la tarjeta, que generalmente se usa para pagar en tiendas en línea o confirmar la tarjeta por teléfono.
La ventaja del enfoque EMV es que incluso si un skimmer o un virus intercepta información sobre una transacción con tarjeta, estos datos solo serán válidos para esa transacción y ya no deberían permitir que los ladrones realicen pagos fraudulentos en el futuro.
Sin embargo, para que todo este sistema de seguridad funcione, los sistemas backend desplegados por las instituciones financieras emisoras de tarjetas deben verificar que cuando se inserta una tarjeta en el terminal, solo se emite iCVV junto con los datos, y viceversa, que al pagar con banda magnética, solo CVV. Si esta información no coincide con el tipo de transacción seleccionado, la institución financiera debe rechazar la transacción.
El problema es que no todas las organizaciones han configurado sus sistemas correctamente. No es de extrañar que los ladrones conozcan estos puntos débiles durante años. En 2017, escribí sobre un aumento en el porcentaje de uso de " shimmers ": skimmers de alta tecnología que interceptan datos de transacciones realizadas con un chip.
Shimmer encontrado en un cajero automático canadiense
Recientemente, investigadores de Cyber R&D Labs publicaron los resultados de un estudio en el que probaron 11 tipos de implementación de chips en tarjetas de 10 bancos diferentes en Europa y Estados Unidos. Descubrieron que podían tomar datos de cuatro de ellos, luego crear tarjetas de banda magnética clonadas y usarlas con éxito para pagos.
Hay muchas razones para creer que el método descrito en detalle por Cyber R&D Labs está siendo utilizado por programas maliciosos instalados en terminales de tiendas. Los programas interceptan datos de transacciones del EMV, que luego pueden revenderse y utilizarse para hacer copias de tarjetas con chip, pero utilizando una banda magnética.
En julio de 2020, Visa, la red de pago más grande del mundo, emitió una advertencia.sobre amenazas a la seguridad relacionadas con los terminales de un vendedor recientemente comprometido. En sus terminales, el malware ha sido parcheado para que funcione con tarjetas con chip.
“La implementación de tecnologías de pago seguro como el chip EMV ha reducido significativamente los beneficios de los datos de pago de la cuenta para terceros, ya que estos datos incluyen solo el número de cuenta PAN personal, el código de verificación de la tarjeta iCVV y la fecha de vencimiento de los datos”, escribió Visa. “Por lo tanto, con la confirmación correcta de iCVV, el riesgo de falsificación era mínimo. Además, muchos comerciantes han utilizado terminales cifrados P2PE que cifran PAN, lo que reduce aún más el riesgo de realizar pagos ".
No se mencionó el nombre del vendedor, pero algo similar parece haber sucedido en Key Food Stores Co-Operative Inc., una cadena de supermercados en el noreste de Estados Unidos. Key Food reveló inicialmente los detalles del pirateo de la tarjeta en marzo de 2020, pero actualizó la declaración en julio de 2020 para aclarar que los datos de transacciones de EMV también habían sido interceptados.
“Las terminales de las tiendas estaban habilitadas para EMV”, explica Key Food. "En nuestra opinión, durante las transacciones en estos puntos, el malware solo podía interceptar el número de la tarjeta y la fecha de vencimiento (no el nombre del propietario ni el código de confirmación interno)".
Si bien la afirmación de Key Food es técnicamente correcta, embellece la realidad: los datos EMV robados aún se pueden usar para crear variantes de tarjetas de banda magnética que luego se pueden usar en cajas registradoras donde se instalan terminales con malware cuando el banco emisor no vendió. La protección EMV es correcta.
En julio, la empresa antifraude Gemini Advisory publicó una publicación de blog en la que detallaba los ataques recientes a comerciantes, incluido Key Food, que habían robado datos de transacciones de EMV, que luego se pusieron a la venta en forma ilegal. tiendas para cardadores.
"Las tarjetas de pago robadas durante este incidente se ofrecieron a la venta en la web oscura", explica Gemini. "Poco después de que se descubriera el incidente, varias instituciones financieras confirmaron que todas las tarjetas participantes se procesaron a través de EMV, sin depender de la banda magnética como método alternativo".
Gemini dice que ha confirmado que otro incidente de seguridad en una licorería de Georgia también comprometió los datos de transacciones de EMV, lo que hizo que aparecieran más tarde en la web oscura de sitios que venden tarjetas robadas. Como señalaron Gemini y Visa, en ambos casos, la confirmación correcta de los datos de iCVV por parte de los bancos debería haber hecho que los datos fueran inútiles para los estafadores.
Gemini determinó que la gran cantidad de tiendas afectadas sugería que era muy poco probable que los ladrones interceptaran los datos de EMV utilizando shimmers de EMV instalados manualmente.
"Dada la impracticabilidad de esta táctica, podemos concluir que utilizaron una técnica diferente para entrar en terminales de pago y recopilar suficientes datos EMV para realizar la clonación EMV-Bypass", escribió la empresa.
Stas Alferov, director de investigación y desarrollo de Gemini, dijo que las instituciones financieras que no realizan tales controles pierden la capacidad de rastrear los casos de uso indebido de tales tarjetas.
El hecho es que muchos bancos que han emitido tarjetas con chip creen que mientras se utilicen para transacciones con un chip, prácticamente no hay riesgo de clonarlas y venderlas en mercados clandestinos. Por lo tanto, cuando estas organizaciones buscan patrones en transacciones fraudulentas para determinar qué equipos de proveedores se han visto comprometidos por malware, pueden pasar por alto por completo los pagos basados en chips y centrarse solo en los mostradores de pago donde los clientes pasaron sus tarjetas en franjas.
“Las redes de tarjetas están empezando a darse cuenta de que ahora hay muchas más transacciones EMV pirateadas”, dijo Alferov. “Los emisores de tarjetas más grandes como Chase o Bank of America ya están comprobando las inconsistencias de iCVV y CVV y rechazando transacciones sospechosas. Sin embargo, las organizaciones más pequeñas claramente no lo hacen ".
Para bien o para mal, no sabemos qué instituciones financieras han implementado incorrectamente el estándar EMV. Por lo tanto, siempre debe monitorear cuidadosamente los gastos de su tarjeta e informar de inmediato cualquier transacción no autorizada. Si su banco le permite recibir mensajes de texto sobre transacciones, esto lo ayudará a rastrear dicha actividad casi en tiempo real.