Las tarjetas con chip son una de las tecnologías más usadas actualmente como método de pago, que no están exentas de vulnerabilidades; sin embargo, los “hackers” éticos o de sombrero blanco dedicados a la seguridad ofensiva están siempre en búsqueda de las debilidades para revertirlas y evitar mayores daños.
Esta es una de las tareas de Salvador Mendoza, security research de Metabase Q, quien con su equipo de Seguridad Ofensiva Ocelot, expertos en sistemas de pagos, descubrió que ante una incorrecta implementación de un banco, es posible adivinar el PIN de una tarjeta física.
“Al usar una tarjeta, para hacer una transacción por medio de chip, tienes tres intentos de introducir un PIN. Encontramos, dentro de Metabase Q, que es factible una mala implementación de un banco donde pudimos bypassear este límite transaccional o este límite de contador de pines, que es de tres, y podemos adivinar el PIN de una tarjeta, que puede llegar hasta 10 mil combinaciones”.
En México, de enero a marzo del 2021 se realizaron alrededor de 923 millones de pagos con tarjetas en comercios tradicionales y en comercios electrónicos, según cifras de la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef).
Salvador, quien nació en Apatzingán, Michoacán, fue seleccionado para participar como panelista en el escenario principal en la convención de hackers más importante a nivel mundial, la DEF CON 2021, en Las Vegas, en Estados Unidos, para explicar el PINATA o PIN Automatic Try Attack.
Su descubrimiento es un ataque de fuerza bruta mediante el cual los cibercriminales pueden obtener contraseñas o números de identificación personal (PIN), y que afectaría a millones de usuarios de tarjetas.
Explicó que el equipo de Ocelot realiza una investigación exhaustiva en los sistemas de pagos, incluidos ATM y POS (cajeros automáticos y terminales de punto de venta), donde se aplica PINATA, que es un ataque a tarjetas físicas, utilizando transacciones por medio de chip.
“La investigación se basa en mostrar técnicamente acerca de cómo se hizo este proceso y todo lo que conllevó dentro de la Metabase Q para poder hacerlo”, dijo en entrevista para ConsumoTIC.
En su carrera profesional ha diseñado diferentes herramientas como MagSpoofPI, JamSpay, TokenGet, SamyKam y BlueSpoof así como el proyecto NFCopy, para realizar pruebas de penetración (pentesting) en la información de bandas magnéticas y procesos de tokenización.
Por otro lado, Salvador reconoció que si bien son especialistas en seguridad se han usado diferentes términos para nombrar a quienes se dedican a esta actividad, como “hackers de sombrero blanco”, aunque la expresión “hacker”, dijo, se comenzó a utilizar de forma inadecuada a partir de los años 90.
Un hacker de sombrero negro se mueve simplemente por el dinero, para su beneficio propio. Mientras que en el área de ciberseguridad “lo que hacemos los hackers de sombrero blanco es tratar de encontrar fallas, reportarlas, que las arreglen y si es factible presentarlas, después de que estén arregladas, para no poner en riesgo ningún tipo de dato personal o de alguna empresa”.
“Lo que se trata es crear una comunidad con mucho más expertise en el área y que al mismo tiempo le ayude a los jóvenes a entender más lo que se hace en el área de ciberseguridad y no confundirse con diferentes tipos de terminología que muchas veces es para llamar la atención”.
C$T-GM