Fraude electrónico con tarjetas chip

La tarjeta que ven en la parte superior reemplazará en Colombia dentro de poco la tradicional banda magnética que ha reinado durante aproximadamente 50 años. Forrest Perry, ingeniero de IBM, inventó en 1960 la tarjeta de banda magnética bajo el auspicio del gobierno de los Estados Unidos. El único mecanismo de seguridad que tenía el estándar era una “firma” embebida (MagnaPrint, Magne Print o BluPrint) en la tarjeta que le permitía al dispositivo lector validar la identidad de la tarjeta junto con otro factor de autenticación para validar al usuario el cual es desde luego es una clave personal. La tecnología avanzó y actualmente es muy frecuente el fraude electrónico a través de la técnica llamada comúnmente “Skimmer” o “clonación de tarjetas” la cual consiste básicamente en esconder un dispositivo lector de banda magnética el cual se encarga de copiar toda la información (incluyendo la firma) para posteriormente colocarla en otra tarjeta y realizar transacciones desde prácticamente cualquier parte del mundo. La técnica es bastante conocida y, desde luego, Colombia no es la excepción.

Varios años después, Marc Lauss, uno de los pioneros de las tarjetas inteligentes en Francia visitó en 1988 a Datacard Corp, el gigante de las tarjetas de crédito en Estados Unidos en ese tiempo. La idea era implementar las llamadas “tarjetas con chip” en el sistema bancario y reducir en un alto porcentaje la clonación de tarjetas. La reunión en ese entonces no surtió efecto, sin embargo, en 1995 hubo un giro inesperado y la empresa de Lauss (Gemplus SCA) adquirió las operaciones internacionales de manufactura de Datacard, logrando que gigantes como Visa y Mastercard centraran su atención en esta nueva tecnología la cual tiene un principio realmente simple: incorporar mayor almacenamiento de información en las tarjetas y proporcionar mayor seguridad contra fraudes.

Ya en el 2008, el Banco AV Villas fue la primera entidad financiera en arriesgarse a implementar las nuevas tarjetas inteligentes distribuyendo 3.000 de estas entre sus empleados. El cambio más significativo con esta nueva tecnología consiste en que la tarjeta queda dentro del dispositivo lector MIENTRAS DURE LA TRANSACCIÓN por lo que si se intenta sacar antes de tiempo, se corre el riesgo de dañar el chip. En Colombia, las entidades que le siguen a AV Villas son Bancolombia y Banco de Bogotá las cuales ya están adelantando actualizaciones en cajeros automáticos y datafonos para la nueva tecnología.  Actualmente, en el 2010, se estima que 6.000 millones de tarjetas inteligentes se estarán usando en todo el mundo las cuales “permiten, entre otros aspectos, almacenar firmas digitales, datos encriptados, características biométricas como la huella digital o el iris, entre otras aplicaciones que evitan las posibilidades de fraude”.

Me llama la atención la afirmación del director de Mercadotécnica de Gemalto, Dimas Goméz, al asegurar que “Hasta el día de hoy no habido un caso de clonación con este chip. Disminuye a cero la probabilidad de clonación”. Primero que todo, no es posible asegurar un 0% de posibilidad del mismo modo que no existe un nivel de seguridad del 100%. Por otro lado, ¿Y si no fuera necesario clonar la tarjeta para realizar el fraude? Esto fue lo que descubrieron investigadores de la Universidad de Cambridge al realizar un ataque de hombre en el medio (man-in-the-middle) aprovechándose de una vulnerabilidad contenida en el estándar EMV (Europay Mastercard Visa) de las actuales tarjetas inteligentes. El fallo consiste en que el subprotocolo de negociación de cómo el usuario de la tarjeta debe ser verificado (PIN, firma o ningún método) no es autenticado por lo que es posible engañar a la tarjeta haciéndola pensar que está haciendo una transacción Chip-Firma cuando en realidad está haciendo una transacción del tipo Chip-PIN:

Lo más relevante sobre este ataque es que:

  1. El ataque aplica tanto a tarjetas usadas en línea (con conexión a la entidad bancaria) como con tarjetas que se utilicen en datafonos sin red
  2. El ataque funciona para cualquier monto de dinero que se desee (no tiene límite)
  3. El ataque no funciona una vez el banco cancela la tarjeta
  4. El ataque no funciona en cajeros automáticos
  5. La falla aplica para esquemas de tarjetas de crédito basados en el estándar EMV (Europay – Mastercard – Visa) el cual es el caso de Colombia

En conclusión: El protocolo EMV tiene una falla en el método de autenticación del código PIN (o clave secreta como la llamamos en mi país) por lo que es posible realizar transacciones débito en un datafono sin la necesidad de proporcionar la clave correcta.  La solución al problema se encuentra en la misma definición del protocolo EMV por lo que se requiere de bastante esfuerzo para migrar los sistemas que soportan las aproximadamente 730 millones de tarjetas en el mundo que utilizan el estándar.

Por otro lado, actualmente se requieren varios dispositivos de hardware para realizar el fraude por lo que es necesario contar con una tarjeta robada lo cual le da tiempo al cliente de evitar el ataque cancelando la tarjeta en la entidad bancaria. Adicionalmente pienso que, a pesar de los hallazgos encontrados, el nivel de sofisticación de un ataque a una tarjeta inteligente es mucho mayor que el que se puede llevar a cabo en una tarjeta de tecnología antigua con banda magnética por lo que lo recomendable es seguir las recomendaciones de seguridad que proporcionan las entidades bancarias debido a que, si bien no existe un 100% de protección contra el fraude, si se puede tomar medidas y controles para minimizar ésta posibilidad.

Finalmente una pregunta abierta: ¿Deberíamos empezar a pensar en autenticación mediante métodos biométricos para realizar transacciones financieras? (Huella dactilar, Iris, Facciones etc…)

PD: Si desean profundizar en el tema en este link pueden encontrar el paper técnico en donde se explica en detalle el tema.

PD2: Un video de la BBC en donde muestran y explican el ataque:

Categories: Fraude electrónico

22 comments

  • Juan Felipe

    Hola Carlos, he encontrado algunos elementos discutibles en su análisis del estudio de la Universidad de Cambridge y la implementación del estándar EMV en nuestro país. Si bien es cierto que el estudio expone un “gap” de seguridad en la autenticación de algunas tarjetas y transacciones EMV, este no puede generalizarse en todas las implementaciones de EMV que se están dando en los diferentes mercados del mundo, porque los mecanismos de autenticación pueden variar de un país a otro, pueden variar según el banco e incluso variar según el tipo de tarjeta EMV a utilizar.Particularmente en nuestro país por las implementaciones que he podido revisar, este “gap” no aplica tal como lo exponen los investigadores de Cambridge.

  • Carlos Castillo

    Felipe: Enfocándonos en Colombia y a nivel muy técnico me gustaría que especificara lo siguiente: ¿Para cúal implementación específicamente este gap no aplica? ¿Cuáles son los elementos técnicos que se deben tener en cuenta para que este fallo no impacte las tarjetas crédito y débito que se están implementando en Colombia? Lo pregunto porque en la Circular 052 de 2007 expedida por la Superintendencia Financiera de Colombia, en el numeral 4.5.2 se exige cumplir con el estándar EMV (Europay, MasterCard y Visa). Si este estándar tiene alguna falla y usted conoce técnicamente la forma de implementar el mecanismo de autenticación para que no se pueda realizar este ataque man-in-the-middle, me parece importante compartirlo con las demás entidades financieras con el fin de proteger a sus clientes y al sistema financiero en general.

  • Sandra Barron

    Estimado Carlos:

    Como puedo tener acceso al documento original publicado por la Universidad de Cambridge o donde puedo solicitar esta inofrmación?

    Este estudio puede ser viable para los Bancos en la ciudad de México en la actualidad?

    Mucho le agradecería toda la inofrmación que me pueda proporcionar al respecto.

    Atentamente,

    Sandra Barron

  • Carlos Castillo

    Sandra:

    En el mismo post se encuentra el link, sin embargo, en este comentario lo vuelvo a colocar: http://www.cl.cam.ac.uk/research/security/banking/nopin/oakland10chipbroken.pdf

    Con respecto a la segunda pregunta, según los investigadores de Cambridge, el fallo se encuentra en el mismo protocolo EMV.

    Como puedes ver en el comentario anterior de Juan Felipe, el afirma que el fallo es efectivo dependiendo del país, sin embargo, no pudo explicar técnicamente cuáles son las diferencias. Por lo que yo conozco, el estándar es uno solo y esto es debido a que se diseñó para implementar interoperabilidad a nivel mundial.

    Espero haber solucionado tu inquietud.

    – Carlos A. Castillo L.

  • Sandra

    Estimado Carlos:

    Antes que nada muchas gracias por su respuesta.

    Me gustaría saber a que país se refiere el Sr. Juan Felipe ya que yo tengo un problema de fraude con mis tarjetas en México, Distrito Federal con Banca Santander por mas de 1000 usd. No es la primera vez q me sucede sinembargo el banco no reconoce como valido mi reclamo y me exige liquidar la deuda no contraída por mi.
    Estoy buscando informacion calificada para presentar como prueba ante un juicio penal contra el banco.

    Cualquier información o ayuda será sumamente agradecida.

    Reciba un cordial saludo

  • Carlos Castillo

    Sandra:

    El documento en el cual se basa este post es un trabajo académico el cual no puede ser utilizado como evidencia (o prueba) en un caso judicial de fraude electrónico en particular. Para ello existen metodologías de informática forense que permiten recolectar evidencia digital para poder probar frente a la justicia que el fraude no fue realizado debido a la negligencia del cliente.

    En general, el documento explica una falla teórica la cual no se ha probado que se esté aprovechando actualmente para realizar fraude por lo que, de nuevo, no se puede hacer parte de un caso jurídico específico contra una institución financiera.

    Espero haber solucionado tu inquietud.

    Saludos,

    – Carlos A. Castillo L.

  • Nelson Alvarado

    Hola Carlos, a partir de su criterio es problematico la obtencion de evidencias en fraudes electronicos como evidencia digital para ser usados en tribunales de justicia.

  • Carlos Castillo

    Nelson: Si se refiere al comentario de Sandra, mi punto es que lo expuesto en el post es sobre un ataque teórico que aún no se ha demostrado que se esté realizando activamente para realizar fraude por lo cual no podría ser utilizado como evidencia en tribunales de justicia. Si hablamos de forma general, pienso que con las metodologías y herramientas correctas es posible obtener evidencia digital sobre un caso específico de fraude electrónico, lo cual no quiere decir que ésta evidencia sea admisible en un tribunal ya que esto depende de las leyes de cada país respecto a este tipo de casos. Espero haber solucionado la inquietud.

  • Enrique

    amigo carlos castillo será cierto q las tarjetas de debito y crédito con chip si se pueden clonar? Puesto q existen en el mercado lectores grabadores, y pues no quisiera ni imaginarme si esa información la podrían transladar a otra tarjeta con chip . . .me preocupa mucho este tema, cualquier información q me puedan brindar al respecto les sabría agradecer!

  • T M Rodriguez

    Carlos estoy indignada por un robo trámite visa robada de mi bolso.
    Estoy segura que no llevaba el pin.
    Creo haber sido robada antes de la 12 del mediodía, pero no me dí cuenta hasta las 22:45
    Sé que las personas que pudieron ser,salían a 13:00 de la Entidad que estuve y que sospecho donde pudo ser el robo, es decir por personas que cumplía condena en servisios sociales y prestaban allí sus servicios.
    Pero lo extraño es que aunque su salida de ese Cnetro era a las 13:00, su robo no empezó hasta las 15:05.
    Es por lo que desearía que me dijeras cuanto tiempo se tarda en clonar una tarjeta con el sistema de los investigadores de la Universidad de Cambridge.
    Espero tu respuesta y muchas Gracias. TMR

  • Carlos Castillo

    TMR: La prueba de concepto de la Universidad de Cambridge no consiste en clonar la tarjeta. De hecho el ataque consiste en interceptar la comunicación entre la tarjeta robada y la terminal bancaria para que, cuando se requiera la verificación de la transacción, el atacante envíe el código de que el PIN esta OK el cual no se verifica que venga realmente de la tarjeta, permitiendo de esta forma la transacción fraudulenta. Teniendo en cuenta lo anterior, y asumiendo que el delincuente informático cuenta con el hardware (lector de tarjeta chip, FPGA board, Datafono) y software especializado para realizar el ataque, la realización de la transacción fraudulenta no debe demorar más de un par de minutos. Sin embargo hasta el momento no he conocido el primer caso en que se haya comprobado que esta técnica se hubiera utilizado en un caso de fraude electrónico real (debido probablemente a su complejidad técnica) por lo que las probabilidades de que este haya sido tu caso se reducen considerablemente. Espero haber resulto tu duda.

  • Luis M.

    Hola Carlos,

    Realice una compra en un establecimiento donde ademas firme documentos para renta de fiestas infantiles…(por lo que tuvieron acceso a mi firma) a los pocos dias “realizaron compras” en el mismo establecimiento y lo reporte, me contestan en el banco que no procede mi reclamacion ya que hay un pagare firmado (lo acababo de ver y se parece demasiado a mi firma) y ademas me indican que el chip estuvo presente en la transaccion y que el chip es imposible de clonar!! Que datos puedo solicitar al banco para poder demostrar que fue una clonacion de chip o algo similar, porque Santander asegura que tuvieron que haber tenido mi tarjeta en el comercio. Gracias.

  • Carlos Castillo

    Luis: Como dije en un comentario anterior hasta el momento no he conocido el primer caso en que se haya comprobado que esta técnica se hubiera utilizado en un caso de fraude electrónico real por lo que es complejo demostrar que en realidad el chip fue clonado. Lamento no ser de ayuda en esta ocasión.

    – Carlos

  • U.A. Rivera

    Luis,

    Debes pedir al banco la información de validación y autenticación de criptograma.
    El criptograma (ARQC) es un string hexadecimal generado por la tarjeta (a través de criptografía) en toda transacción online y que es validado por el autorizador de tu banco. El criptograma (ARQC) protege a la tarjeta de clonación. En otras palabras, si se hace una transacción online con tarjeta chip con validación correcta de criptograma (ARQC) eso indica que la tarjeta no fue clonada.

  • Joaquin Guerra

    Buen Día:
    Me han clonado mi tarjeta de chip del banco Mercantil del Norte. Me ponen trabas y comentarios en el banco de que son seguras. Me bajaron $1000 USD en pesos mexicanos en cajeros de otros bancos. ¿Qué puedo hace para argumentar el robo que me han realizado?. Y recuperar el dinero. Agardeceré su ayuda …

  • lilin serena

    hola estoy buscando informacion que sirva de soporte para poder llegar a un acuerdo con el banco por que me clonaron mi tarjeta de credito con chip por cierto y no quiere hacerse responsable el banco por que dice que fue realizado con el nip que es como la firma que puedo hacer por tu atencion gracias

  • Carlos Castillo

    Como dije en un comentario anterior hasta el momento no he conocido el primer caso en que se haya comprobado que esta técnica se hubiera utilizado en un caso de fraude electrónico real por lo que es complejo demostrar que en realidad el chip fue clonado. Lamento no ser de ayuda en esta ocasión.

    – Carlos

  • loco

    claro que se puede clonar las tarjetas con chip en el mercado negro venden aparato para clonar

  • Miguel

    Hola Carlos un placer en saludarte, quisiera a ver si me puedes ayudar: he oído que la tarjeta con tecnología chip funciona de distintos modos, según el país que donde se emite. Por ejemplo, que en Europa el microprocesador es el que autoriza la operación sin tener que enviar la información al host; en Latinoamérica al utilizar la tarjeta en una operación se remite la información la host y este autoriza, con la condición que aquí la información se encuentra encriptada. Por ello quisiera si me puedes orientar e indicar material bibliográfico el cual me ayude a documentarme al respecto. Gracias.

Leave a Reply

Your email address will not be published. Required fields are marked *