En la pasada Black Hat USA 2012, un reconocido evento de seguridad informática que se realiza en Las Vegas, los investigadores Nils y Rafael Domínguez Vega de la empresa MWR InfoSecurity, dieron a conocer una vulnerabilidad en las terminales o procesadoras de pago que permitiría ejecutar código arbitrario en sus memorias para capturar la información de las tarjetas de crédito.
Durante la conferencia demostraron que podían obtener el control de los dispositivos por el simple hecho de insertar una tarjeta con chip especialmente manipulada. Para que todos pudieran verlo, cargaron un juego de carreras en la terminal tal como se puede ver en el siguiente video:
El humor nunca falta en esta clase de eventos y el juego ya cuenta con su propia tarjeta, como se puede ver en esta fotografía que publicaron en su cuenta de Twitter.
El sistema del chip para almacenar la información en las tarjetas se conoce como EMV y en muchos países, principalmente de Europa, es utilizado por ser más seguro que el de las bandas magnéticas.
Si bien esto puede parecer divertido, no lo es si un atacante aprovecha la vulnerabilidad para ejecutar un programa que guarde la información de las tarjetas y el correspondiente PIN, los datos copiados luego podrían ser levantados de la memoria al insertar otra tarjeta falsa.
La información de las bandas magnéticas también podría ser clonada desde el lector e incluso se podría engañar a los vendedores para que crean que una transacción ha sido realizada con éxito, cuando en realidad lo que aparece en la pantalla del dispositivo y el ticket que se imprime son falsos.
Las pruebas fueron realizadas en dos terminales diferentes, pero también hubo un tercero en el cual se demostraron vulnerabilidades que permitirían realizar ataques man-in-the-middle para controlarlo.
Para evitar problemas, los investigadores no revelaron marcas ni modelos, sin embargo ya se sabe cuales son como se comenta en esta nota de Wired. El fabricante, por su parte, asegura que ya se está trabajando en una solución :)
Otros tipos de ataques (skimming):
Aunque la situación pueda parecer preocupante, hay otros ataques menos sofisticados a los cuales podríamos estar expuestos en cualquier lugar, como la copia directa del número, nombre, fecha y código de seguridad de la tarjeta, datos que son suficientes para realizar compras online.
Un poco más complejos son el uso de skimmers en los cajeros automáticos y los llamados «skimmers de bolsillo». También podríamos ser víctimas de la ingeniería social, phishing o robo de información por el uso de una computadora infectada.