• VISA: un fallo de seguridad permite eludir el PIN

    VISA: un fallo de seguridad permite eludir el PIN

    Si el pago por medios electrónicos, Visa, Paypal, monederos electrónicos, etcétera, no había dejado de crecer durante los últimos años, con la situación provocada por el coronavirus su uso se ha disparado hasta niveles que no eran previsibles, en circunstancias normales, hasta dentro de algunos años. En parte por el auge del comercio electrónico, y también en una parte importante por los temores asociados a emplear dinero en efectivo, y que este pueda actuar como vector de difusión del patógeno.

    Y es que, por norma general, el nivel de seguridad que nos ofrecen los medios de pago electrónicos es muy alto. No digo, claro, que sean 100% seguros (¿hay algo en esta vida que lo sea?), pero es indudable que sus responsables, ya sean bancos, emisores de tarjetas, entidades de pago, etcétera, extreman los cuidados a este respecto. Ir al supermercado y pagar con Visa, Mastercard o cualquier otra tarjeta de débito/crédito es, por norma general, una opción muy segura.

    Esa seguridad depende, no obstante, de sistemas que no son perfectos, y no es sino por la colaboración de expertos e investigadores de seguridad, que son detectados algunos problemas de seguridad. Tal es el caso de un equipo de investigación suizo, que ha encontrado un problema de seguridad en el protocolo EMV, empleado por Visa, y que es vulnerable a un ataque de tipo man-in-the-middle que permite realizar transacciones sin que sea necesario validarlas mediante el PIN asociado a las tarjetas.

    EMV («Europay, MasterCard, Visa) es el protocolo utilizado por todos los principales bancos e instituciones financieras del mundo. Europay, Mastercard y Visa desarrollaron el estándar y existe desde hace más de 20 años. La razón más importante para la adopción generalizada del protocolo EMV tiene que ver con el «cambio de responsabilidad», un procedimiento que garantiza que, siempre que el cliente apruebe la transacción con un PIN o firma, la institución financiera no es responsable.

    Utilizando nuestro modelo, identificamos un fallo crítico en las propiedades de autenticación mediante el protocolo sin contacto de Visa: el método de verificación del titular de la tarjeta utilizado en una transacción, si lo hay, no está autenticado ni protegido criptográficamente contra modificaciones”, dicen los investigadores en su artículo.

    «Desarrollamos una aplicación de Android de prueba de concepto que aprovecha esto para eludir la verificación del PIN mediante el montaje de un ataque de intermediario que indica al terminal que no se requiere la verificación del PIN porque la verificación del titular de la tarjeta se realizó en el dispositivo del consumidor«.

    De esta manera, un delincuente que lograra hacerse con una tarjeta Visa robada, podría realizar compras con ella sin que fuera necesario emplear el PIN para validar la operación. Y, debido al planteamiento asociado a EMV, la responsabilidad del mismo recaería sobre el titular de la tarjeta robada, y no de la entidad, pese a que el problema de seguridad tenga su origen en ésta. Cabe entender, no obstante, que de darse algún ataque in the wild que aproveche esta vulnerabilidad, las entidades financieras actuarán de forma responsable.

    La mala noticia es que todas las tarjetas Visa con chip se ven afectadas por este problema, y la entidad financiera tiene que emitir una actualización del software empleado en datáfonos y TPVs. En su parte positiva, el problema de seguridad no es inherente a EMV, sino a una implementación deficiente de las medidas de seguridad asociadas a la validación de los pagos mediante PIN en operaciones contactless. Eso sí, los investigadores cifran en alrededor de 161 millones los TPVs que hay a lo largo del mundo, por lo que vaticinan que la actualización de todos ellos será un proceso que llevará cierto tiempo.

     

    Seguridad tarjetas Visa

     

    Fuente: Muyseguridad

  • Vox sufre un ciberataque de Anonymous que deja al descubierto los datos de 30.000 simpatizantes

    El ataque se produjo este miércoles tras detectar los piratas informáticos que la formación trataba de modificar sus condiciones de seguridad en la web.

    Vox ha sufrido un ataque informático en su página web que ha dejado al descubierto un total de 30.000 registros de sus usuarios y lo ha denunciado ante la Guardia Civil, tal y como ha publicado la formación en su cuenta oficial de la red social Twitter.

    Vox ataque cibernetico

     

    El ataque, reivindicado por la cuenta de Twitter La Nueve -vinculada al colectivo Anonymous-, se produjo este miércoles tras detectar los piratas informáticos que la formación trataba de modificar sus condiciones de seguridad en la web.

    Lleváis unos días haciendo modificaciones y vaciando/cifrando tablas porque alguien os alertó, pero ya era un poco tarde. Estábamos en vuestras alcantarillas hace tiempo“, escribieron los activistas informáticos en una serie de mensajes en la mencionada red social.

    Los responsables del ataque informático dejaron al descubierto un total de 30.000 registros de los usuarios de la web de Vox, entre los que se incluían pagos y donaciones al partido liderado por Santiago Abascal. “¿Eres tú, Santiago?“, ironizaban desde el perfil de la cuenta en un tuit con una captura de pantalla de un registro a nombre del presidente de Vox.

    Los activistas justificaron el asalto a la web de Vox en la “lucha contra el franquismo”, y le dieron “un tiempo prudencial” a la formación para “curar y tapar” las “heridas” y recuperar el control de su web. “Hasta a la gentuza más despreciable le damos un tiempo prudencial para que cure sus heridas y las tape”, agregaron.

    “Esta incursión ha contado con la inestimable colaboración de gente anónima que se ha arriesgado a trabajar con unas ‘terroristas'”, reivindicó Anonymous desde este perfil de Twitter.

    Por su parte, Vox, que finalmente consiguió retomar el control de su página web, denunció el ataque ante las fuerzas y cuerpos de seguridad del Estado para “que no queden impunes los ataques”. “La España viva no tiene miedo a ningún ataque, incluidos los informáticos“, advirtieron.

    El líder del partido también se pronunció en la red social Twitter y escribió: “El ‘cordón sanitario’ de uno, la ‘alerta’ violenta de los unos, la etiqueta ‘inconstitucional’ de los otros, teles y prensa marcando familias, criminalizando y buscando a nuestros votantes casa a casa…. y ahora, los criminales robando datos. Unos apuntan y otros disparan”.

    Robles: “Todos los partidos tienen esos ataques”

    La ministra de Defensa, Margarita Robles, ha alabado los sistemas con los que cuenta España para detectar, prevenir y hacer frente a ‘ciberataques’ dirigidos a partidos políticos, instituciones o infraestructuras básicas, como el sufrido por Vox en su página web.

    Robles ha tenido oportunidad este jueves de conocer uno de los centros desde los que se vigila el ‘ciberespacio’ en España, el Mando Conjunto de Ciberdefensa, liderado por el general de división Rafael García Hernández. Según ha subrayado, la sociedad hoy en día no debe solamente hacer frente a las amenazas convencionales, como el terrorismo, sino también a otras que provienen del ‘ciberespacio’ y para las que es “muy importante estar preparados”.

    Para este objetivo, Robles ha comprobado cómo el Mando Conjunto tiene “unos equipos y un personal absolutamente preparado para prevenir cualquier tipo de amenaza contra sistemas de defensa y ataques en las redes”. Por ello, ha transmitido una idea de “tranquilidad”, ya que es cierto que el mundo cuenta con “muchas amenazas” pero las inversiones para prevenirlas “sirven” y permiten proteger la intimidad y privacidad de los ciudadanos.

    Esto es lo que le ha sucedido a Vox, cuya página web sufrió un ataque informático. “Todos los partidos políticos igual que muchas instituciones financieras y políticas tienen esos ataques“, ha reconocido Robles.

    Pese a ello, ha insistido en transmitir a la ciudadanía una idea de “seguridad” porque tanto Defensa como Interior “tienen capacidad suficiente para detectarlos y poner los medios para que no vuelvan repetirse”. “Y si hay responsables, llevarlos a los tribunales“, ha garantizado.

     

    twitt la nueve 1

     

    Fuente:  republica