Nueva amenaza para las tarjetas de crédito

Aunque las tarjetas de crédito y los sistemas financieros online en general presumen de contar con los más elevados estándares de seguridad, estos sistemas no son obstáculo para los hackers decididos. Un grupo de investigadores ha descubierto un método para encontrar información de tarjetas de crédito -incluyendo fechas de caducidad y números CVV- consultando sitios de comercio electrónico.

La herramienta funciona básicamente como un ataque de fuerza bruta muy inteligente. El proceso implica probar cientos de permutaciones de fechas de vencimiento y números CVV en cientos de sitios de ecommerce. Como resultado, se puede crackear el número de una tarjeta de crédito en 6 segundos.

Una particularidad es que esta nueva amenaza sólo afecta a las tarjetas Visa. Las MasterCard no son susceptibles de sufrir este ataque porque su sistema cancela las tarjetas de crédito después de 100 intentos fallidos de acceso, según TechCrunch.

Los investigadores que descubrieron la amenaza -Mohammed Aamir Ali, Budi Arief, Martin Emms y Aad van Moorsel- creen que su herramienta también se puede utilizar para adivinar códigos postales y direcciones. Asimismo, los hackers podrían simplemente correlacionar datos de ubicación con los bancos emisores o usar skimmers para averiguar dónde se utilizan tarjetas diferentes. Los investigadores creen que ya están ocurriendo ataques mediante este método.

Para prevenirlos, proponen implantar la estandarización o la centralización, ya establecidas en algunas redes de pago mediante tarjeta. La estandarización implica que todos los comerciantes deben ofrecer la misma interfaz de pago, es decir, el mismo número de campos. La centralización, en cambio, puede lograrse mediante pasarelas de pago o redes de pago con tarjeta que posean una vista completa de todos los intentos de pago asociados a su red.

El problema está en que ni la estandarización ni la centralización se ajustan a la flexibilidad y la libertad de elección que se asocian con las compras a través de Internet. La seguridad entraría, por tanto, en conflicto con el éxito de la actividad comercial.