Un fallo en las tarjetas VISA permite saltarse el límite de 20 euros sin PIN

Las tarjetas contactless llevan años permitiéndonos pagar mucho más rápida y cómodamente en todo tipo de establecimientos. Si el importe no supera los 20 euros (30 libras en Reino Unido), no es necesario introducir el PIN de la tarjeta y el pago es mucho más ágil. Sin embargo, un grupo de investigadores ha conseguido hacer pagos de más de 100 euros sin necesitar PIN, lo cual entraña un grave peligro para los usuarios de tarjetas VISA.

Consiguen saltarse el límite de 30 libras en Reino Unido, y funciona en más países

Así lo han demostrado unos investigadores de Reino Unido. Aunque las tarjetas usadas eran británicas, el fallo no está limitado al país, y afecta a usuarios de tarjetas VISA en otros países, aunque no han detallado cuáles. La información ha sido revelada en exclusiva por Forbes, que puso a disposición de los investigadores una tarjeta VISA personal, y de la que realizaron pagos de 31 libras sin verificación, superando el límite de 30 libras del país. En sus propias tarjetas, los investigadores realizaron pagos de 101 libras sin introducir el PIN, aunque pueden hacerse pagos de mayores cantidades.

Para llevar a cabo el hackeo, los investigadores utilizaron un hardware especializado con el que interceptan las comunicaciones entre la tarjeta y el lector, e insertan mensajes entre ellas. Así, pueden decir por ejemplo a la tarjeta que la transacción no necesitó de ningún método de verificación, como el PIN, a pesar de que la transacción de más de 30 libras lo requiriera. Después, le comunican al datáfono que la verificación ya se ha realizado por otro método.

El fallo es problema de VISA, ya que los investigadores afirman que otras empresas sí llevan a cabo comprobaciones para certificar que se han introducido datos de verificación. Los investigadores pudieron también clonar la tarjeta temporalmente con un móvil, de manera que se enviaba el criptograma de la tarjeta a un primer móvil, que a su vez lo enviaba a un segundo móvil que es que emula la tarjeta.

Para proteger a los clientes, normalmente los bancos bloquean una tarjeta si ven que se realizan varios pagos de 30 libras seguidos sin verificación, ya que podría indicar que un ladrón se ha hecho con la tarjeta. Sin embargo, si pueden hacerse grandes transacciones sin verificación, este bloqueo no sirve de nada, ya que pueden robarnos la cantidad que quieran en un único pago sin necesitar el PIN, la firma o cualquier método de verificación.

VISA dice que no lo van a arreglar… porque no hay nada que arreglar
Los investigadores comunicaron el fallo de seguridad a VISA, que afirma que no van a actualizar sus sistemas para solucionar el fallo, ya que dicen que el número de situaciones donde podría darse un caso es muy limitado, y que el ladrón tendría que tener la tarjeta en su poder. Eso no tranquiliza mucho, ya que si nos roban la tarjeta, podrían robar la cantidad que quisieran. Esa cantidad varía dependiendo del país. En Reino Unido es posible obtener hasta 100 libras sin despertar las alarmas de los bancos, mientras que en Estados Unidos es posible obtener más de 100 dólares sin que se activen los sistemas de seguridad de los bancos.

Sin embargo, los investigadores disienten de esta afirmación, y dicen que tan sólo es necesario que un atacante esté cerca de la tarjeta para que se realice el pago, como puede ser en el metro con un datáfono o un móvil en mano. Los bancos podrían bloquear la cuenta de los ladrones si detectan que está recibiendo varios pagos fraudulentos, pero pueden pasar días hasta que eso ocurra, y también pueden hacerse esos cobros con diferentes cuentas para no levantar sospechas.

Además, el fraude con las tarjetas contactless no para de crecer. Aunque el fraude en tarjetas cayó un 40% entre 2017 y 2018 en Europa según afirma VISA, otros datos apuntan a que las pérdidas por este tipo de fraudes aumentaron a 19,5 millones de libras frente a los 14 millones que supusieron en 2017. Según afirma VISA, todos estos fraudes se dieron con tarjetas que fueron robadas.

De momento no hay ninguna solución rápida, ya que este ataque man-in-the-middle afecta a la tarjeta y a los lectores de las mismas. Lo único que pueden hacer los usuarios es evitar que le roben la tarjeta, y usar una cartera con protección RFID. A su vez, a partir de septiembre, la UE obligará a usar métodos de verificación en las transacciones contactless si se supera un determinado límite.