texto:   A-   A+
eliax

martes, febrero 16, 2010
Descubren manera de sacarte dinero desde puntos de ventas (POS), y sin clave
eliax id: 7475 josé elías en feb 16, 2010 a las 08:24 AM (08:24 horas)
Esta noticia de hoy espero que se difunda lo antes posible por todos los medios, pero sin querer alarmar mucho solo diré que se ha descubierto lo que posiblemente sea el problema de seguridad mas grande jamás enfrentado por la industria de los Puntos de Ventas (o "POS", esos sistemas en donde pagas con una tarjeta de débito proveyendo una clave)...

Un equipo de investigadores de Cambridge University en el Reino Unido han descubierto una manera "extremadamente sencilla" en engañar a cualquier Punto de Venta para que debite dinero de una cuenta, incluso sin el estafador saber la clave (o "PIN") del dueño de la tarjeta.

Los investigadores aun no quieren dar detalles del ataque por motivos obvios (aunque se sospecha que la técnica ya se conocen en el mercado negro, dado casos de personas que reportan que dinero mágicamente desaparece de sus cuentas), pero el ataque consiste de primero clonar una tarjeta de cualquier persona (algo que hoy día es totalmente trivial y que lo puede hacer incluso alguien con muy pocos conocimientos técnicos), y después utilizar un software especial conectada a una laptop.

Lo que sucede en el próximo paso es que de la laptop sale conectado por medio de un fino cable la tarjeta clonada, que se inserta en el POS. En este momento, el POS pide el PIN del usuario, y es aquí en donde viene el gran problema: Los investigadores han descubierto una falla fatal en los sistemas de verificación de PIN en los POS que permite que uno no necesite la clave para sacar dinero. En otras palabras, en este punto el POS acepta cualquier clave como valida.

Para demostrar la veracidad y seriedad del caso, reporteros de la BBC de Londres visitaron a los investigadores de Cambridge y sacaron de sus carteras un par de tarjetas de débito, las cuales fueron inmediatamente clonadas, insertadas en un POS cercano, y ciertamente sacaran dinero de las cuentas sin ningún problema. Como dicen, oh oh...

La seriedad del caso es que como dicen los mismos investigadores: "Esta es una falla en un sistema que es utilizado por cientos de millones de personas, por decenas de miles de bancos y millones de vendedores."

Y como agrega el Profesor Ross Anderson, uno de los investigadores principales de este descubrimiento: "Creemos que esta es una de las mas graves fallas que hemos descubierto - que se han descubierto jamás - en sistemas de pagos, y yo he estado en este negocio [de descubrir fallas de seguridad] por 25 años."

En otras palabras, solo esperemos que las instituciones financieras de todo el mundo se percaten de este problema y empiecen a implementar una solución lo antes posible. Mientras tanto, si se les esfuma el dinero de sus cuentas de manera "mágica", ya pueden apuntarle este artículo a sus bancos como evidencia de que algo feo podría estar ocurriendo...

Página oficial que describre el ataque de seguridad

Fuente de la noticia

Un video-reportaje de la BCC (enlace YouTube)...


Actualización: Como muy bien corrigieron algunos lectores en los comentarios, hablamos de Puntos de Venta (POS) y no se Cajeros Automáticos, razón por la cual cambié el título de la noticia (¡es lo que sucede cuando uno escribe artículos a altas horas de la noche!) :)

autor: josé elías
15 comentarios
Tecno-Seguridad , Videos
Previamente en eliax:
Ya pueden saber lo que escribes en tu teclado desde un conector eléctrico (jul 13, 2009)
Seguridad de celulares GSM de 128 bits también violada... (ene 20, 2010)

Posteriormente en eliax:
En EEUU, ladrones de bancos por Internet ganan mas que ladrones tradicionales (mar 10, 2010)
Alarmante: Fotocopiadoras almacenan todo lo que copias a discos duros (abr 22, 2010)
Nuevo troyano roba tarjetas de crédito que dictes por tu celular Android (ene 21, 2011)
Tabla sobre qué tan rápido un hacker puede averiguar tu clave (feb 14, 2011)
Incautan 6 millones de millones de dólares en bonos falsos en Suiza (feb 22, 2012)
El 90% de candados y cerradoras son fáciles de abrir. Como protegerte (mar 5, 2013)
El navegador Google Chrome no protege las claves que recuerda, oh oh... (ago 8, 2013)
ALERTA: El cifrado de datos actual en Internet no servirá dentro de 4 a 5 años (ago 9, 2013)

Comentarios

  • Nos jodimos. Voy a tener que guardar el dinero bajo la cama como hacían mis abuelos....
    #1 - febrero 16, 2010 - 10:29 AM (10:29 horas) (responder)

  • John Connor no habia descubierto como hacer esto hace unos 20 años? xD
    #2 Renato Fontes - febrero 16, 2010 - 10:41 AM (10:41 horas) (responder)

    • verdad que si! :)
      #2.1 - febrero 16, 2010 - 11:02 AM (11:02 horas) (responder)

  • OK, leo en la página que dice " It does not work for ATM transactions, at least in the UK, because a different method of PIN verification is used here."

    Si en el caso de los cajeros dominicanos, la autenticación se valida con el banco y no con la tarjeta solamente, es esto una vulnerabilidad?
    #3 Luis Jimenez (enlace) - febrero 16, 2010 - 11:10 AM (11:10 horas) (responder)

  • mmm, no se hasta que punto esto es peligroso, al menos en España, que de momento esto del chip en las tarjetas no está muy difundido, seguimos con la banda magnética y en todos sitios te piden el Documento Nacional de Identidad para confirmar que eres el dueño de la tarjeta.

    Otra es que puedas extraer dinero de un cajero. No se si lo sabrán, pero aquí había una "banda" que robaba el cajero directamente, es decir, lo sacaba de la pared y tranquilamente después lo abrían.

    Saludos.
    #4 Jose Luis Colmena (enlace) - febrero 16, 2010 - 11:24 AM (11:24 horas) (responder)

  • No creo que los que hicieron esto se hayan inspirado en la pelicula terminator 2, Jhon connor adolecente utiliza el mismo metodo para sacar dinero de un cajero automatico utilizando una laptop.
    #5 freddie - febrero 16, 2010 - 11:28 AM (11:28 horas) (responder)

  • No es un problema trivial clonar una tarjeta, pero existen dispositivos para hacerlo:

    http://www.krebsonsecurity.com/2010/01/would-you-have-spotted-the-fraud/
    http://www.krebsonsecurity.com/2010/02/atm-skimmers-part-ii/

    Igualmente hoy por hoy el principal riesgo pasa por el homebanking. En algunos paises una gran proporcion de PCs estan infectadas por software que recolecta passwords, captura usuarios y contraseñas, etc etc. Hay que tener mucho cuidado con eso...
    #6 David - febrero 16, 2010 - 01:48 PM (13:48 horas) (responder)

  • ahh, por lo menos aca si colocas tu clave en el cajero erroneo mas de tres veces te bloquean la tarjeta, sera con cierto tipo de cajero, lo que es aca solo hay redbanc
    #7 cesar - febrero 16, 2010 - 02:50 PM (14:50 horas) (responder)

  • El hijo de Sarah Connor les pasó el trick
    #8 Anónimo - febrero 16, 2010 - 04:57 PM (16:57 horas) (responder)

  • Hola a tod@s

    Lei con cautela el articulo y el mismo no hace referencia a las transacciones de cajeros automaticos (ATM), sino a las de tarjetas de credito con chip sobre puntos de venta. Utiliza una tecnica conocida como "Hombre en el medio", dispositivo que finge ser la autoridad validadora del PIN, osea el banco emisor de la TDC.

    Por favor Eliax y resto de lectores, validen bien la noticia para no trasgiversar la misma, que ya de por si es de suma importancia.

    Salu2...
    German
    @gasnccs
    #9 German - febrero 17, 2010 - 09:46 AM (09:46 horas) (responder)

    • Tambien vi el video y en ningun momento hacen mencion de un cajero que te proporcione dinero o de red, sino de las t.p.v. que claramente se ve, ellos desarman para poder hacer la modificacion; creo que si un usuario que se de cuenta al momento de pagar, ve que hay mas de un cable de linea telefonica y de corriente en esa tpv o si se trata de una terminal inalambrica, con cables pues si dudaria porque puede ser una modificacion (aclaro, no todos se dan cuenta, pero si estas acostumbrado a pagar en estas terminales, se notara la diferencia).

      Saludos... :-)
      #9.1 Joel B.A. - febrero 17, 2010 - 10:55 AM (10:55 horas) (responder)

  • Hola ... a todos, lo importante de este hecho es la labor que realizan estos investigadores academicos que buscan a toda costa la ineficacia de todo sistema que argumente alta seguridad. Pero no solo es eso sino tambien lo documentan basados en una metodologia lo cual permite analisarlo para su estudio y busqueda de posibles soluciones.

    Saludos ...... ;-)
    #10 Anonimo - febrero 17, 2010 - 02:14 PM (14:14 horas) (responder)

    • Hola...

      100% de acuerdo contigo, lo que estoy diciendo en mi post fue que hay un error en cuanto al titulo y no al contenido. Las transacciones via ATM son otras y por eso la noticia lo dice, que no saben si para cajeros automaticos funcione, pero para POS (point of sale) si funciona, segun video.

      Salu2...
      #10.1 German - febrero 17, 2010 - 03:39 PM (15:39 horas) (responder)

  • CORRECCIÓN: Como muy bien corrigieron algunos lectores en los comentarios, hablamos de Puntos de Venta (POS) y no se Cajeros Automáticos, razón por la cual cambié el título de la noticia (¡es lo que sucede cuando uno escribe artículos a altas horas de la noche!) :)
    #11 José Elías - febrero 28, 2010 - 07:15 AM (07:15 horas) (responder)

    • Los mejores investigadores para detectar fallos de seguridad son los amigos de lo ajeno, por mucho que los otros sean académicos... y el resto, siempre iremos a remolque de las circunstancias.

      Saludos...
      #11.1 Mustelus (enlace) - febrero 19, 2010 - 10:55 AM (10:55 horas) (responder)

Añadir Comentario
tu nombre
tu email
(opcional)
web personal
(opcional)
en respuesta a...
comentario de caracteres máximo
8 + 1 = requerido (control anti-SPAM)
¿De qué color es el cielo?: requerido (control anti-SPAM)
 

"Tienes razón... ahora me siento tan pequeño, pero tan expandido. !!!Necesito más!!!"

por "Marco Hernández" en jun 11, 2014

en camino a la singularidad...

©2005-2022 josé c. elías
todos los derechos reservados
como compartir los artículos de eliax