¿Pagas con tarjeta? Alguien podría robarte el número y el pin

No pagamos de forma segura. Al menos, cuando lo hacemos desde un terminal de pago con tarjeta. Esa es la conclusión final que se puede extraer de la charla que Karsten Nohl, Fabian Bräunlein y Philipp Maier ofrecieron el domingo en el Chaos Communication Congress de Berlín. El equipo de investigadores, que ha hecho pruebas con varios terminales de cinco compañías diferentes, lo tiene muy claro: “Básicamente, cualquier cosa con una banda magnética y un número pin es vulnerable”, contaba la semana pasada Nohl a Motherboard.

Y es que aunque los investigadores solo han hecho la prueba en Alemania, se muestran convencidos de que estas vulnerabilidades también afectan a los terminales del resto de Europa. Todos los dispositivos que Nohl y sus colegas han probado funcionan bajo protocolos ZVT o Poseidon. Y en ambos han encontrado problemas.

El sistema ZVT es el que usan la mayoría de terminales del país bávaro. Según Nohl, las vulnerabilidades descubiertas en este protocolo permitirían a un hacker conseguir tanto el número pin como el código de la tarjeta, contenido en la banda magnética. El atacante, simulando la transacción que estaría teniendo lugar en el terminal y acompañándola de una firma criptográfica falsa, podría hacerse con el pin de la víctima. La compra del usuario fallaría pero el hacker habría recopilado ya las claves de la tarjeta.

Nohl y su equipo fueron capaces de simular el ataque consiguiendo primero la clave que cifra los mensajes en cada terminal de prueba. Cuál fue su sorpresa cuando descubrieron que todas las empresas de procesamiento de pagos utilizan la misma clave. Conseguida una, conseguidas todas. “La clave no fue particularmente fácil de encontrar: nos llevó unas dos semanas. Pero como es una clave única solo tuvimos que realizar el esfuerzo una vez”, dice Nohl a la publicación de dependiente de Vice.

En duda todo el sistema

El hacker ni siquiera habría de tener contacto físico con el terminal. Con estar conectado a la misma red sería suficiente. Un hotel, un cibercafé o un restaurante con wifi bastarían para que alguien con los conocimientos de informática adecuados consiguiera sacar la clave del terminal de pago. El investigador asegura que el 90% de los terminales alemanes podrían ser hackeados de esta forma y que todas las empresas de procesamiento de pagos utilizan el otro protocolo, Poseidon, que también cuenta con fallas.

La otra vulnerabilidad descubierta por Nohl y los suyos “pone en duda el diseño del sistema completo”, ya que, aunque cada terminal de pago cuenta con un número de identificación único, “desde que todos los terminales tienen la misma clave, cualquiera de ellos puede hacerse pasar como uno más en la red”, cuenta el investigador. Un atacante solo necesitaría saber el número de identificación de la máquina que desee hackear y otros datos fáciles de obtener, como algún detalle concerniente a la puerta trasera del sistema de pagos. Y es que, aunque parezca sorprendente, ese número de identificación va impreso en los tickets que imprime cada dispositivo.

Por si no le creían, Nohl hizo la prueba con TeleCash, una de las mayores empresas de procesamiento de pagos en línea de Alemania. “Ahora mismo hay unos 2.000 terminales conectados al sistema”. Y entró en ellos. “Podemos personalizar cada uno, remotamente desde Internet, a través de Tor. Ahora podemos mandar dinero desde cientos de miles de sitios, al mismo tiempo, a cualquier número de cuenta alemán”, decía el investigador a Motherboard. Aunque la publicación intentó ponerse en contacto con la empresa alemana después de este hecho, no tuvo respuesta.

Aunque Nohl no le da más importancia a estos descubrimientos que los ya hechos en el pasado, sí que muestra cierta duda: “Es la primera vez que conseguimos, después de una gran investigación, encontrar numerosos problemas sin solución aparente”, dice.