domingo, 8 de abril de 2012

El caso de Global Payments o cómo una fuga de información puede salir muy cara

Una de las noticias más destacadas de la semana pasada en lo que al mundo de la seguridad se refiere fue el aviso que Visa y MasterCard, la primera y la segunda mayores empresas financieras de sistemas de pagos del mundo, dieron acerca de una violación de seguridad en uno de sus procesadores de tarjetas en Estados Unidos

Dicho procesador es Global Payments (GPN), el cual sufrió un ataque en el cual se vio comprometida información de muchas tarjetas de crédito. La información que consiguieron extraer los atacantes fue la incluida en la pista 1 y en la pista 2 de dichas tarjetas, que no es ni más ni menos que la información que hay en la banda magnética de una tarjeta bancaria.  

¿Qué se puede hacer con esa información? 
Si estamos hablando de tarjetas de banda, y no de chip, fácilmente se podrían clonar las tarjetas. Tan sólo necesitaríamos incluir la información robada (pista 1 y 2) en una tarjeta falsa. Eso se podría hacer con un grabador como el de la foto que no es que estemos hablando de conseguir un condensador de fluzo sino que este es un aparato muy fácil de adquirir y además asequible en su precio. 

Estaríamos ante la misma técnica que utiliza el Skimming que es el robo de información de la tarjeta para su posterior reproducción y clonación. Esta técnica se usa mucho en cajeros donde el criminal coloca un dispositivo dentro de la ranura donde introducimos la tarjeta de crédito y dicho dispositivo lee la información contenida en la banda.

Con el robo a GPN los ladrones se han ahorrado el paso de tener que hacer el skimming en un cajero a miles y miles de tarjetas y de un plumazo se han llevado toda esa información. Ahora sólo tienen que agenciarse unos plásticos y meter la información. E incluso como las pistas 1 y 2 contienen información tal como: nombre del titular, fecha de caducidad de la tarjeta, número de la tarjeta (comúnmente llamado PAN de la tarjeta) podrían hacer una tarjeta bastante decente ya que dicha información es la que la tarjeta presenta en su exterior.  Con lo cual ya están listos para realizar cualquier compra en cualquier establecimiento. 

Y estareis pensando: y podrán hacer compras por internet? os cuento: sólo hay una información que parece que no van a poder clonar los atacantes. Y esa información es el CVC2/CVV2 de la tarjeta. Dicho valor no viene en la banda magnética y es el numerito que viene en la parte de atrás de nuestras tarjetas y que, sobretodo los aficionados a las compras por Internet, tenemos perfectamente identificado porque, a veces, antes de hacer alguna compra en la red, tenemos que introducirlo. Así que la respuesta es fácil: dependerá de si el establecimiento on-line donde estén haciendo la compra les obliga a introducir dicho número o no.

CVC2/CVV2 de una tarjeta bancaria

¿Qué podemos sacar de todo esto?
La pista 1 y 2 de una tarjeta de banda magnética es muy sensible y todas las empresas que tratan con esta información ya sea entidad bancaria o compañía estampadora de tarjetas (como era el caso de GPN) deberían de tener una protección muy alta en todos sus sistemas. 

Y no sólo las entidades, nosotros como usuarios de estas tarjetas deberíamos tener cuidado y no dejarla en manos de nadie (particularmente odio cuando en un restaurante se la llevan, lo lógico sería que el TPV lo trajeran a la mesa para cobrarte allí).


Así que mucho ojito que el daño no está solo en que nos la roben físicamente...sino que puede ser mucho peor que hagan una copia de los datos y luego la clonen. ¡Y nos enteremos cuando ya sea tarde!

Por cierto, GPN ha pagado las consecuencias de su "despiste" ya que VISA lo ha eliminado de entre sus proveedores. 



No hay comentarios:

Publicar un comentario