Una vulnerabilidad en las tarjetas Visa permite pagar sin usar el PIN

Silvia

Redactora especializada en Seguridad y Tecnología.

Guardar

Pago con tarjeta contactless
Pago con tarjeta contactless

El protocolo de seguridad que utilizan las tarjetas bancarias Visa para los pagos sin contacto contiene una vulnerabilidad que permite a los ciberdelincuentes realizar pagos mediante este sistema sin usar el código PIN para cantidades superiores al límite establecido, 50 euros.

Este fallo de seguridad ha sido descubierto por los investigadores David Basin, Ralf Sasse y Jorge Toro, de la Escuela Politécnica Federal de Zúrich (Suiza), que han analizado el protocolo de estándares de tarjetas EMV –llamado así por hacer referencia a Europay, Mastercard y Visa– que en diciembre de 2019 se usaba en 9.000 tarjetas en el mundo.

Así, han revelado que la vulnerabilidad que han detectadopermite a cualquier persona que se haga con una tarjeta Visa, o incluso sicoloca cerca un smartphone con NFC, realizar pagos sin contacto superando los50 euros del límite estipulado.

Los investigadores de la universidad suiza llevaron a caboeste ataque utilizando dos smartphones Android comunicados entre sí por WiFi yque disponen de sensores NFC de pagos móviles. Así, comprobaron que si se sitúancerca del terminal de pagos y de la tarjeta de crédito, los móviles puedencomunicarse entre ellos a través de una aplicación y cambiar los datos de latransacción antes de enviarlos al datáfono.

De este modo, los datos que se envían pasan a incluirinstrucciones adicionales, como que el código PIN no sea necesario para el pagoaunque sea una cantidad superior al límite, y que el propietario de la tarjetaestá verificado en el Smartphone utilizado.

Según los investigadores, este fallo de seguridad está presente en el protocolo de pagos sin contacto de Visa y, cabe la posibilidad de que también afecte a los de UnionPay y Discover.

Visa, por su parte, ha reconocido la existencia de este en sus tarjetas de crédito, pero ha asegurado que no tiene constancia de que se haya producido ningún fraude y ha defendido la seguridad de este método de pago.

No es la única vulnerabilidad que han descubierto

Además de este fallo de seguridad en el protocolo de pagos sin contacto de las tarjetas bancarias Visa, los investigadores han descubierto otra vulnerabilidad en los estándares de seguridad de las tarjetas Visa y Mastercard, el cual permite realizar pagos de manera 'offline' engañando al terminal de pagos para que acepte transacciones falsas y que no se cobre al usuario.