Hackers pueden averiguar el número y CVC de nuestra tarjeta de crédito en sólo seis segundos
Investigadores han descubierto que los hackers pueden averiguar los números de una tarjeta de crédito en sólo seis segundos gracias a dos fallos.
5 diciembre, 2016 18:37Noticias relacionadas
- El nuevo doodle de Google celebra el aniversario del Apolo 11 y la llegada a la Luna
- La muerte de los "likes": Instagram empieza a ocultarlos
- DAZN, el Netflix de los deportes, emitirá los Juegos Olímpicos, Roland Garros, la Fórmula E y más, pero sube el precio
- Los datos de casi todos los ciudadanos de Bulgaria han sido robados
Una reciente investigación de la Universidad de Newcastle ha revelado que averiguar los números de una tarjeta de crédito es más fácil que nunca.
Si una web está bien diseñada y programada, impondrá un límite a la cantidad de intentos que tenemos para iniciar sesión; esto se hace principalmente para evitar que un atacante averigüe nuestro nombre de usuario y contraseña a base de “fuerza bruta”, de probar una y otra vez todas las combinaciones posibles.
Cuando sacas dinero de un cajero ocurre algo similar, tienes una cantidad limitada de intentos, y si no lo consigues tu tarjeta o tu cuenta se bloquea por seguridad. Sin embargo, es posible que los expertos de estas compañías no hayan tenido en cuenta un método para averiguar los datos de una tarjeta a base de fuerza bruta.
Cómo es posible averiguar los números de una tarjeta de crédito
El método, que ha sido probado con tarjetas Visa, consiste en comprobar los números en varias webs diferentes; es decir, que el atacante tiene que intentar un pago en varias tiendas web diferentes, una detrás de la otra. Así hasta que de con la combinación de número y CVC que le acepta el pago.
Esto sería muy fácil de hacer con un programa que automatizase el proceso; los investigadores han creado un programa capaz de conectarse a multitud de tiendas web para probar combinaciones de número de tarjeta y CVC (el número de seguridad en la parte posterior de la tarjeta).
Como demuestran en el vídeo, si un atacante usa este programa podría obtener una tarjeta válida en apenas seis segundos.
Si sólo dependiese de una tienda, sería casi imposible averiguar el número de la tarjeta; normalmente los intentos están limitados a 10 o 20 dependiendo de la tienda. Pero al dividir el trabajo en múltiples tiendas, las probabilidades de acertar son mucho más altas.
Dos pequeños fallos que unidos pueden ser fatales
Según los investigadores, este ataque se aprovecha de dos debilidades del sistema, que por separado no son tan graves.
- El sistema de pagos online actual de Visa no detecta múltiples peticiones de pago inválidas provenientes de varias tiendas.
- Las tiendas online piden diferentes variaciones de los datos necesarios para realizar una compra; es como un puzle, si juntas piezas de una tienda y de otra tendrás una imagen más clara del número y CVC que buscas.
Aunque empieces sólo con los seis primeros dígitos de la tarjeta (que representan al banco y el tipo de tarjeta); es posible rellenar el resto de dígitos a base de probar una y otra vez en diversas páginas.
Los investigadores han avisado a Visa de la posibilidad de este tipo de ataques; sin embargo, Visa ha respondido menospreciando el estudio. Según la compañía, el estudio no tiene en cuenta otros métodos contra el fraude implementados en el sistema de pagos.