Cómo se clonan las tarjetas con chip

Un grupo de especialistas de un curso de ciberseguridad he creado un método similar al que emplean los actores de amenazas para crear tarjetas de banda magnética (una tecnología considerada de la generación anterior) empleando algunos detalles propios de las tarjetas de pago más modernas, basadas en tecnología de chip y PIN (EMV), el método de clonación más sofisticado. 

Esta investigación, liderada por la especialista en ciberseguridad Leigh-Anne Galloway, descubrió que cuatro de los 11 bancos analizados todavía emitían tarjetas EMV que podían ser clonadas en una versión de banda magnética con menor seguridad, lo que podría ser aprovechado por actores de amenazas. La investigación, publicada con el título “Solo toma un minuto clonar una tarjeta de crédito, gracias a un problema de 50 años”, fue publicada recientemente.

En circunstancias normales, esto no debería ser posible, pues el principal propósito de las tarjetas EMV es impedir la clonación gracias a la implementación de un chip. No obstante, los investigadores del curso de ciberseguridad descubrieron que es posible tomar los datos de una tarjeta EMV y crear una tarjeta fraudulenta de generación anterior. Los investigadores señalan que esta técnica ha existido al menos desde hace 13 años.

Esta es sólo una de las múltiples formas de clonación de tarjetas de pago empleadas en el mundo cibercriminal.

Como han reportado expertos del curso de ciberseguridad anteriormente, los hackers emplean dispositivos especiales (skimmers) para interceptar los datos de las tarjetas EMV, creando un clon de la banda magnética con el fin de realizar operaciones fraudulentas en múltiples puntos de venta, o bien para retirar dinero de cajeros automáticos en lugares donde los cajeros automáticos aún reconocen tarjetas de banda magnética.   

En el documento, Gallow menciona: “Los puntos en común entre la banda magnética y los estándares EMV para el chip implican que es posible determinar la información válida del titular de la tarjeta de una tecnología y usarla para otra”.

Si bien la banda magnética es una tecnología obsoleta, la clonación de datos de tarjetas con chips sigue siendo un método altamente eficiente. Además, los códigos de seguridad de la tarjeta, una característica de seguridad fundamental, no son verificados en el momento de la transacción por todos emisores de tarjetas.

Galloway dijo que si bien la investigación se enfoca en las tarjetas EMV, también se puede abusar de las tarjetas sin contacto (basadas en NFC) de la misma manera para crear clones de banda magnética y realizar transacciones fraudulentas.