Incluso las más modernas innovaciones en seguridad pueden ponerse en riesgo y los ciberdelincuentes están dispuestos a enfrentar cualquier reto para eludir las medidas de seguridad.
En 2010, un grupo de investigadores de seguridad de la Universidad de Cambridge, publicó un informe que detallaba un ataque teórico contra tarjetas de crédito y débito equipadas con tecnología de Chip y PIN. El ataque fue lo que llamamos unataque de "Hombre Intermediario", donde un atacante intercepta un mensaje entre dos partes y lo reemplaza con uno suyo.
Lo que hicieron los investigadores fue complicado. Según WIRED, el grupo tomó una tarjeta de crédito con Chip y PIN, modificándola con un chip personalizable, y la vinculó a un gran tablero que posteriormente conectó a una laptop que ejecutó software de ataque.Una vez que la tarjeta falsa fue conectada a la terminal, dio comienzo al ataque. Desde allí, el grupo proporcionó cualquier número PIN que deseó y la transacción fue aprobada.
Aunque el proceso resultó ser bastante complejo, los investigadores de Cambridge advirtieron que el sistema podría ser miniaturizado. Un año más tarde, un grupo de cinco ciberdelincuentes franceses fueron arrestados, y con ellos se confiscaron 40 tarjetas con Chips y PINs modificados.
Así que, ¿qué sucedió?
Bueno, el grupo de cinco ciberdelincuentes descubrió una ingeniosa manera de miniaturizar el ataque de la Universidad de Cambridge en una sola tarjeta.Los delincuentes simplemente soldaron un chip FUNcard, un mini chip programable para aficionados, a una tarjeta robada con Chip y PIN. Cuando se emplea, el chip FUNcardintercepta una consulta de autenticación, donde la terminal solicita a la tarjeta verificar un número de PIN alimentado, y hace que la tarjeta no tenga más opción que decir "sí", independientemente de si realmente se alimentó el PIN. La transacción puede entonces proceder de forma habitual.
Lo que se generó causó mucha conmoción. Los bancos, los emisores de tarjetas de crédito y los productores de terminales han aprendido de este ataque, y crearon contramedidas para los sistemas de tarjetas en Europa. Las actualizaciones para los sistemas de tarjetas en los Estados Unidos no se quedaronatrás.
De cualquier manera, este caso representa un gran recordatorio de que incluso las más modernas innovaciones en seguridad pueden ponerse en riesgo, y de los retos que los ciberdelincuentes están dispuestos a enfrentar para eludir las medidas de seguridad.
Así que probablemente se está preguntando, ¿cómo me puedo proteger contra esto? Si alguna vez pierde su tarjeta de crédito o es robada, hay algunas cosas que usted puede hacer:
- Cancele su tarjeta. El primer paso para proteger su cuenta bancaria en caso de extravío de una tarjetaes cancelar esa tarjeta. Aunque los sistemas con Chip y PIN son en gran parte seguros, tienen debilidades. Cancele su tarjeta para anular cualquier intento de fraude. Evite poner en riesgo sus cuentas.
- Revise sus estados de cuenta a detalle. Revise muy bien sus estados de cuenta ya que pueden revelar señales de actividad inusual. Por ejemplo, los cobros pequeños pueden ser indicio de delincuentes que intentan obtener acceso a su cuenta bancaria. Si nota algún cobro sospechoso, llame a su banco e investigue.
- Verifique su historial crediticio. No todo el fraude se observa en los estados de cuenta. Verifique de forma recurrente su historial crediticio para asegurarse de que no haya sido víctima de los ciberdelincuentes y le hayan robado su identidad. Como ciudadano mexicano, tiene derecho a un informe de crédito gratuito al año. Si usted sospecha que alguien más está usando su identidad, o si simplemente desea obtener más control sobre su crédito, aplique un congelamiento de crédito.