Desvelan seis métodos con los que podrían hackear tu tarjeta de crédito

Una nueva investigación de expertos en seguridad de la Universidad de Newcastle ha dejado en entredicho la seguridad de nuestras tarjetas de crédito o de débito. Averiguar los datos que contiene -el número completo, la fecha de caducidad o el código de seguridad para hacer una compra- puede ser cuestión de seis segundos.

El estudio, publicado en la revista 'IEEE Security and Privacy', afirma que los ladrones están utilizando 'bots' para adivinar detalles de las tarjetas Visa gracias a un fallo en el sistema de pago de la compañía.

Conocer los 16 dígitos correctos es lo más complicado a priori, pero lo pueden hacer comprándolos en la internet profunda, con datos filtrados de páginas webs con pagos no seguros, o usando un algoritmo para generar números válidos. Después de esto, el 'bot' lo tiene sencillo para conseguir la fecha y el código CVC (número de 3 dígitos de la parte trasera) mediante combinaciones cruzadas de distintas webs de compras.

Esto podría sonar a una proceso largo y costoso, pero los 'bots' pueden resolver el problema en unos seis segundos. Estas máquinas son capaces de lo peor, como hacer spam a lo bestia en redes sociales como Twitter, pero también son usadas para la atención al cliente (sin necesidad de intermediación humana).

Según narran los autores del estudio, de la Universidad de Newcastle, el fallo es posible por la falta de control de este tipo de búsquedas, tanto en muchas tiendas que permiten combinaciones ilimitadas, como por parte de Visa, cuya pasarela de pago no analiza este tipo de actividades sospechosas. Mastercard, por su parte, antes del décimo intento comprobaría que algo va mal.

En cuestión de segundos, mediante la generación y comprobación de diferentes variantes de datos de las tarjetas, los 'hackers' pueden verificar todos los datos de seguridad. Los especialistas creen que ésta ha sido la forma en la que se ha defraudado más de dos millones de euros en un ataque cibernético a una conocida cadena de supermercados británica.

Tres capas de seguridad vulneradas

El problema es que con un ordenador y un 'bot' capaz de combinar combinaciones los atacantes burlan tres capas de seguridad.

En primer lugar, la de muchas tiendas que no ponen un tope al introducir los datos de pago, por lo que no detectan las múltiples solicitudes válidas de pago desde diferentes webs. Además, las webs solicitan diferentes variaciones de los distintos campos de la tarjeta para validar una compra, por lo que es fácil atar cabos y unir los resultados de distintas tiendas online.

En segundo y tercer lugar, del método de pago y, finalmente, los bancos. Visa tiene que ponerse las pilas para atajar este error, pero las webs deberían reducir el número de oportunidades a la hora de introducir los datos de pago para evitar que los 'bots' los adivinen juntando piezas como en un rompecabezas.

Esta Navidad estate más atento que nunca a los movimientos de tu tarjeta y sigue nuestros consejos para comprar online de forma segura.