Demuestran vulnerabilidades en los terminales de pago durante la conferencia Black Hat

Las vulnerabilidades detectadas en tres populares modelos de terminales de pago pueden derivar en el robo de datos de tarjetas de crédito, según el director de investigación de la firma británica MWR InfoSecurity, un alemán que se identifica como “Nils”, y Rafael Domínguez Vega, investigador en seguridad español y consultor de seguridad de MWR.

Nils y Vega centraron su investigación en tres particulares modelos de terminales de pago, de los que no quisieron dar los nombres exactos para dar tiempo a los fabricantes a resolver los problemas. Durante la presentación que realizaron en Black Hat 2012 se usaron pegatinas para cubrir los logos y el texto impreso en los dispositivos, impidiendo su identificación.

Dos de los terminales son muy populares en Reino Unido y tienen vulnerabilidades en su aplicación de pago, pudiendo proporcionar a los atacantes el control sobre distintos componentes del dispositivo, como la pantalla, la impresora de tickets, el lector de tarjetas o el teclado para introducir el PIN. Estos fallos pueden explotarse utilizando tarjetas EMV (Chip-and-PIN) manipuladas, explicó Nils, con código malicioso en sus chips que se ejecutaría cuando se insertaran en los lectores de tarjetas inteligentes de los terminales. Los investigadores utilizaron este método para instalar un juego de carreras en uno de los tres dispositivos durante la presentación y jugaron utilizando la pantalla y el PIN pad.

Para el segundo terminal, también muy extendido en Reino Unido, los investigadores utilizaron el mismo método para instalar un troyano diseñado para grabar números de tarjetas y PINs. La información capturada se extrajo insertando otra tarjeta falsa en el terminal de pago.

Los ciberdelincuentes también pueden aprovechar estas vulnerabilidades para engañar a los dependientes y llevarles a pensar que las transacciones han sido autorizadas por el banco cuando en realidad no lo han sido, permitiéndoles comprar sin pagar.

Aunque la demostración en directo solo constató que los números de tarjeta y los PINs podían grabarse, también hay forma de robar los datos almacenados en la banda magnética de una tarjeta, añadió el experto de MWR. Los atacantes podrían diseñar un programa malicioso que bloquee las transacciones EMV y solicitar a los clientes que pasen sus tarjetas para completar el pago. De esta manera, los delincuentes se harían con los datos de la banda magnética para clonar una tarjeta de pago y ejecutar transacciones fraudulentas.

El tercer terminal de pago, popular en Estados Unidos, es más sofisticado que los otros dos. Tiene una pantalla táctil y para facilitar los pagos basados en firma, un lector de tarjetas inteligente, una tarjeta SIM para comunicarse con las redes móviles, soporte para pagos sin contacto, puerto USB, puerto Ethernet y una interfaz de administración a la que se puede acceder tanto en local como en remoto.

La comunicación entre estos terminales y el servidor de administración remoto no está encriptada, lo que implica que los atacantes pueden interferir en ella, apuntó Niels. Si los atacantes obtienen acceso a la red local, pueden utilizar técnicas como spoofing de ARP o DNS para forzar a los terminales de pago a comunicarse con servidores bajo su control. 

Durante la demostración, los investigadores fueron capaces de activar un servicio telnet de forma remota y logarse como “raíz”- la cuenta de administrador de los sistemas Linux – que les permitiría hacerse con el control del dispositivo.

Tal y como expresó Nils, hay mucha confianza puesta en este tipo de dispositivos. Los comerciantes confían en los terminales de pago para que les digan cuándo un pago es o no legítimo, mientras que los procesadores de pago confían en ellos para manejar los números de tarjetas de crédito y los PINs de forma segura. La calidad del software encontrado en los dispositivos probados por los investigadores de MWR fue muy diferente, tal y como expuso Nils, sentenciando que podría haber dispositivos con mejor seguridad de software pero que ningún sistema es perfecto.

Todos los fabricantes afectados han sido notificados de las vulnerabilidades y uno de ellos ya ha emitido un parche. Sin embargo, aún se tardará un tiempo en certificar la nueva versión y en su posterior despliegue a todos los clientes. 

También puede interesarle:

Cómo prevenir fraudes con la tarjeta de crédito

Nuevos requisitos para cumplir con el estándar PCI DSS en entornos virtualizados