Un equipo de especialistas en seguridad lógica ha reportado el hallazgo de una vulnerabilidad que podría ser explotada para esquivar el código PIN en los pagos sin contacto (“contactless”) del sistema Visa. Si un actor de amenazas usa una tarjeta contactless Visa robada, podría pagar cualquier producto por encima del límite de transacciones sin necesidad de ingresar el código PIN de la tarjeta.

En su reporte los expertos mencionan que el ataque es en verdad sigiloso, por lo que los operadores de pagos podrían fácilmente confundir a los cibercriminales con un cliente legítimo, lo que podría generar millones de dólares en pérdidas.   

Los expertos en seguridad lógica mencionan que el éxito del ataque requiere algunos elementos: dos smartphones con sistema operativo Android, una tarjeta contactless Visa y una app móvil especial, desarrollada por el equipo de investigación. Esta app deberá estar instalada en ambos dispositivos, que funcionarán como un emulador de tarjeta y un emulador de punto de venta.

El teléfono encargado de emular la terminal de punto de venta deberá ser colocado cerca de la tarjeta de crédito robada, mientras que el dispositivo que emula la tarjeta será utilizado para hacer las compras fraudulentas.

Durante el ataque, el emulador del POS pide a la tarjeta realizar un pago, modificando los detalles de la transacción y enviado la información alterada a través de una señal WiFi al segundo smartphone, que realizará el pago sin solicitar el PIN de la tarjeta. Los expertos señalan que la aplicación desarrollada para el ataque no requiere privilegios de root o algún ataque adicional, además de asegurar que el ataque ya ha sido probado en algunos dispositivos Huawei y Pixel.

Sobre la factibilidad del ataque, los expertos creen que su despliegue es posible debido a múltiples fallas en el diseño del estándar EMV y en el protocolo contactless de Visa. Los actores de amenazas podrían alterar esta información y completar las transacciones fraudulentas: “A grandes rasgos, el ataque consiste en la modificación de un objeto de datos en la tarjeta”, mencionan los investigadores. 

La investigación fue llevada a cabo por expertos en seguridad lógica del Instituto Federal de Tecnología de Suiza (ETH), con sede en Zurich. El reporte fue enviado a Visa, aunque la compañía no ha mencionada nada al respecto.