Seguridad comprometida en millones de tarjetas en EU

Criminales mejoran PoC de ataque de chip y PIN
Criminales mejoran PoC de ataque de chip y PIN

En los últimos 12 meses, se comprometieron 60 millones de tarjetas de los Estados Unidos

La tecnología de chip y PIN se ha convertido en el estándar establecido para las transacciones con tarjetas de pago en Estados Unidos. Sin embargo, la falta de cumplimiento con medidas de seguridad de muchos comerciantes implica que millones de tarjetas de pago sigan siendo vulnerables, consideran especialistas en forense digital del Instituto Internacional de Seguridad Cibernética.

Las tarjetas con chip, que contienen un microprocesador que encripta sus datos, son una alternativa más segura a las tarjetas de banda magnética, al menos en teoría. También implementan el estándar global Europay, MasterCard y Visa (EMV) para la compatibilidad de las tarjetas con las terminales en los puntos de venta. Estas tarjetas fueron utilizadas masivamente desde que Visa, MasterCard, American Express y Discover, los cuatro principales emisores de tarjetas de crédito de EU, decidieron transferir la responsabilidad de los posibles fraudes con tarjetas de pago a los comerciantes en 2015, si estos no contaban con un sistema EMV.

El asunto es que la realidad difiere a las estimaciones respecto a la seguridad de estos sistemas. Acorde a un estudio de expertos en forense digital basado en datos recopilados de varias fuentes en dark web, unas 60 millones de tarjetas en EU se vieron comprometidas durante los últimos 12 meses. De estas, el 93% estaban habilitadas para chips EMV.

Además, los datos del 75%  de estas tarjetas (casi 46 millones), fueron robados de transacciones en las que la víctima estaba presente. Es probable que estas tarjetas se vieran comprometidas debido a programas maliciosos y violaciones de puntos de venta en establecimientos como hoteles o restaurantes. Los casos de Chili’s o Cheddar’s Scratch Kitchen, por ejemplo, son muestra de esto.

El estudio también afirma que EU es el país donde más tarjetas han sido comprometidas, con 37.3 millones de registros robados.

En los últimos 12 meses, aproximadamente 15.9 millones de tarjetas de pago comprometidas de otros países fueron puestas a la venta en el mercado negro, divididas entre 11.3 millones de registros de transacciones en línea, y 4.6 millones de registros de transacciones presenciales. Acorde a expertos en forense digital,  esto significa que el nivel de robo de datos de tarjetas en EU es 868% más alto que en todo el resto del mundo.

Se cree que el principal motivo es el escaso compromiso por parte de los comerciantes de EU para cumplir con los estándares mínimos de seguridad, pues muchos de ellos aún utilizan la banda magnética en el cobro de sus transacciones.

“Múltiples puntos de venta aún usan la banda magnética en lugar de los sistemas de chip, por lo que descuidan por completo las características de seguridad de EMV”, consideran especialistas en forense digital. “En algunos casos, los minoristas se rehúsan a migrar a la tecnología EMV debido al alto costo que esto implica, pues es necesario invertir miles de dólares, algo que pocas empresas minoristas pueden costear”.

Además del problema de adaptación que presentan los pequeños negocios, los grupos de hackers maliciosos, como el llamado FIN7, tienden a comprometer las redes de los pequeños comerciantes, encontrando su camino hacia las terminales de pago y desplegando malware para extraer los datos de las tarjetas, situación que hace aún más compleja la labor de modernizar los sistemas de pago y volverlos lo más seguro posible.

Los expertos también consideran que los datos de tarjetas también se recopilan a través de un método menos automatizado, utilizando hardware conocido como “shimmers”, que se encarga de registrar y eliminar datos de cajeros automáticos y terminales de pago. Los shimmers se colocan entre el chip en la tarjeta y el lector de chips en un cajero o en una terminal, registrando los datos del chip mientras la máquina lee la tarjeta.