El banco Tesco perdió 2,5 millones de libras en un ataque que tumbó toda la seguridad de la pasarela de pago de tarjetas Visa en uno de los robos cibernéticos más importantes de los últimos años. Ahora, una firma de seguridad ha emitido un estudio donde explican cómo los hackers pudieron robar el dinero de las tarjetas Visa del banco Tesco, un estudio que demuestra que en tan sólo seis segundos un atacante se puede hacer con el dinero de nuestra tarjeta de crédito o de débito.
Expertos de seguridad de la Universidad de Newcastle han demostrado en su último informe que los robos al banco Tesco se deben a fallos de seguridad en los sistemas de pagos Visa que permitían descubrir el número de tarjeta, su fecha de caducidad y hasta el número de seguridad en sólo seis segundos. Al método utilizado por los atacantes se le ha bautizado como ‘Distributed Guessing Attack’ y, en términos informáticos, era un procedimiento muy sencillo de realizar sólo mediante fuerza bruta.
De esta manera cada campo generado por la tarjeta se podía usar para el siguiente campo, y así de forma ilimitada sin que hubiera bloqueo por los continuos intentos de acceso. Este estudio también ha demostrado que con sólo tener los seis primeros números de la tarjeta se pueden realizar ataques, pudiendo conseguir el resto de campos requeridos como fecha de caducidad y número secreto.
Expertos de seguridad de la Universidad de Newcastle han demostrado en su último informe que los robos al banco Tesco se deben a fallos de seguridad en los sistemas de pagos Visa que permitían descubrir el número de tarjeta, su fecha de caducidad y hasta el número de seguridad en sólo seis segundos. Al método utilizado por los atacantes se le ha bautizado como ‘Distributed Guessing Attack’ y, en términos informáticos, era un procedimiento muy sencillo de realizar sólo mediante fuerza bruta.
El problema de seguridad en la pasarela de pago Visa es que el sistema no detectaba que se hacían múltiples intentos de conseguir la información de la tarjeta, con lo que era posible conseguir información válida con el simple método de acierto y error. Lo anterior era combinado por los atacantes con datos de otros sistemas de pago para validar todos los campos de la tarjeta, reordenándolo para el ataque final.
De esta manera cada campo generado por la tarjeta se podía usar para el siguiente campo, y así de forma ilimitada sin que hubiera bloqueo por los continuos intentos de acceso. Este estudio también ha demostrado que con sólo tener los seis primeros números de la tarjeta se pueden realizar ataques, pudiendo conseguir el resto de campos requeridos como fecha de caducidad y número secreto.
Visa se protege y no da validez al estudio señalando que “la investigación no ha tenido en cuenta las múltiples capas de seguridad presentes en los sistemas de pago”.Fuente: TheGuardian
