hackeo-tarjetas-panda

Los últimos compases del año suponen un incremento casi inevitable en las compras ‘online’. Tras el Black Friday y el Cyber Monday de finales de noviembre, se produce una verdadera carrera consumista cuya línea de meta se encuentra en los regalos navideños de diciembre y enero. En pleno 2016, el comercio electrónico estará más que presente en muchos obsequios de Papá Noel y los Reyes Magos.

Sin embargo, la comodidad de pagar con tarjeta de crédito a través de una página web puede llevar aparejada un verdadero riesgo para nuestro bolsillo. Un reciente estudio llevado a cabo por investigadores de la británica Universidad de Newcastle ha desvelado que la existencia de multitud de sistemas de pago online, con sus correspondientes medidas de seguridad, no sirve para garantizar la protección de los consumidores. Más bien todo lo contrario: muchas veces, por culpa de la variedad, se monta un auténtico galimatías que genera importantes vulnerabilidades.

Tras analizar distintos métodos de pago, los investigadores han descubierto un nuevo tipo de ataque que permitiría a un ciberdelincuente ‘hackear’ una tarjeta de crédito en tan solo seis segundos.

Este tipo de ataque, que aprovecha un par de vulnerabilidades de las tarjetas de crédito de Visa, ya se está utilizando. De hecho, se cree que es el sistema con el que los asaltantes lograron robar hace unas semanas dinero de 20.000 cuentas de clientes de Tesco, el banco de una popular cadena británica de supermercados.

Por desgracia, el ataque no es muy complejo, pues se basa en la fuerza bruta. Se debe a dos fallos de la plataforma de pagos ‘online’ que, por una parte, no detectan múltiples solicitudes de pago erróneas cuando proceden de diferentes sitios web y, por otra, permiten hasta 20 intentos erróneos para cada tarjeta de crédito en cada página. Por si fuera poco, el sistema de pago no se actualiza para solicitarle al comprador información distinta después de cada intento fallido.

De esta forma, el ciberatacante solo necesita conseguir un número de tarjeta de crédito para comenzar a utilizar la fuerza bruta e ir probando suerte con distintas combinaciones hasta dar con el código de seguridad (CVV) y la fecha de caducidad correctos. Los investigadores han puesto a prueba este tipo de ataque en las 400 páginas de comercio electrónico más populares para demostrar que, si confiamos solo en la seguridad que proporciona la tarjeta de crédito, un robo digital es más que probable.

De hecho, aquellas plataformas que utilizan el sistema Verified by Visa o incluso los pagos con tarjetas de Mastercard escapan a estas vulnerabilidades, lo que demuestra que, por sí sola, la seguridad de una tarjeta de crédito en las tiendas virtuales puede entrañar, paradójicamente, un importante riesgo.