Grupos brasileños clonan tarjetas con chip

En el Security Analyst Summit, nuestros investigadores expusieron como algunos grupos brasileños roban datos y clonan tarjetas con chip.

Con el objetivo de incrementar la seguridad, Estados Unidos ha cambiado las bandas magnéticas de las tarjetas de crédito y de débito por un sistema de chip y código PIN regulado por el estándar EMV. Se trata de un paso importante para la seguridad de las transacciones y la reducción del fraude de tarjetas, por lo que se podría pensar que se acerca el fin de la clonación de tarjetas.

Sin embargo, nuestros investigadores han descubierto que un grupo brasileño de ciberdelincuentes ha desarrollado un método para robar los datos de las tarjetas y clonar con éxito sus chip. Nuestros expertos han presentado su investigación en el Security Analyst Summit 2018 y en esta publicación vamos a intentar explicar de forma sencilla cómo lo hacían.

El robo de cajeros automáticos y más

Mientras analizaban el malware usado por un grupo brasileño llamado Prilex para robar cajeros automáticos, nuestros investigadores se toparon con una versión modificada con algunas características adicionales que se emplearon para infectar terminales de punto de venta (TPV) y recopilar datos de tarjeta.

¿Y cómo obtenían los ciberdelincuentes los datos de las tarjetas? Este malware era capaz de modificar el software de los terminales de punto de venta para permitir a un tercero recopilar los datos transmitidos por un TPV a un banco. En resumen, cuando pagas en una tienda local con un TPV infectado, los datos de tu tarjeta se transfieren directamente a los delincuentes.

No obstante, con los datos de la tarjeta solo tienen media batalla ganada. Para robar el dinero, también necesitan clonar la tarjeta, un proceso más complicado por el chip y sus múltiples autentificaciones.

El grupo Prilex desarrolló toda una infraestructura que permite a sus “clientes” la clonación de tarjetas, lo que en principio era imposible.

Para entender cómo lo hacen, primero deberías echar un vistazo a este enlace en el que se explica cómo funcionan las tarjetas EMV. En cuanto al proceso de clonación, intentaremos explicarlo de la forma más sencilla posible.

Cómo funciona el estándar del sistema de chip y código PIN

El chip de la tarjeta no es solo una memoria flash, sino un ordenador pequeño capaz de ejecutar aplicaciones. Cuando se introduce el chip en un TPV, se suceden varias operaciones.

La primera se llama inicialización: el terminal recibe información básica como el titular, la fecha de caducidad y la lista de aplicaciones que puede ejecutar la tarjeta.

La segunda es opcional y se conoce como autentificación de datos. En ella, el terminal comprueba que la tarjeta sea auténtica y para ello valida la tarjeta mediante algoritmos criptográficos. Un proceso muy complicado, por lo que no ahondaremos en el tema.

La tercera, verificación del titular, también es opcional. El titular debe proporcionar o el código PIN o la firma (según cómo esté programada la tarjeta). Con este paso se asegura que la persona que intenta pagar es la misma persona a la que se le expidió la tarjeta.

En la cuarta etapa tiene lugar la transacción. Cabe destacar que solo los pasos 1 y 4 son obligatorios. Es decir, se pueden saltar la autentificación y la verificación y ahí es donde entran en juego los brasileños.

El proceso de clonación

Bueno, tenemos una tarjeta que es capaz de ejecutar aplicaciones y, en el primer contacto, el terminal de punto de venta pregunta cuáles son las compatibles, ya que la cantidad y la complejidad de pasos necesarios para la transacción dependen estas aplicaciones.

Los delincuentes crearon una aplicación Java para ejecutar tarjetas con dos competencias: primero, le comunica al TPV que no es necesario llevar a cabo la autentificación de datos, es decir, no se requieren operaciones criptográficas, ahorrándoles la tarea casi imposible de obtener las claves criptográficas privadas de la tarjeta.

¿Pero y la autentificación con el código PIN? Hay una opción en el estándar EMV que permite elegir cómo verifica la entidad si el PIN es correcto… Tu tarjeta, en concreto, una aplicación que se ejecuta en tu tarjeta.

Sí, has leído bien: la aplicación de los ciberdelincuentes verifica cualquier código PIN. Es decir, basta con introducir cuatro números, aunque sea al azar, para superar el proceso de autentificación.

Fraude de tarjetas como servicio

La infraestructura creada por Prilex incluye el applet de Java descrito anteriormente, una aplicación cliente llamada “Daphne” para escribir información en tarjetas inteligentes (los lectores de tarjetas inteligentes y los grabadores de tarjetas en blanco son muy baratos y legales). Esta misma aplicación se usa para comprobar la cantidad de dinero que se puede retirar de la tarjeta.

La infraestructura también incluye la base de datos con números de tarjetas y otro tipo de información. No importa que la tarjea sea de débito o de crédito, “Daphne” puede generar clones de ambos tipos. Los ciberdelincuentes lo venden todo como un paquete, sobre todo a otros delincuentes en Brasil, que luego crean o usan tarjetas clonadas.

Conclusión

Según el informe 2016 Global Consumer Card Fraud de Aite, se podría afirmar que todos los usuarios se han visto comprometidos. Ya uses una tarjeta con banda magnética o una más segura con chip y código PIN, tu información puede haber sido robada.

Ahora que los delincuentes han desarrollado un método para clonar tarjetas, empieza a parecer una amenaza financiera seria. Si no quieres perder grandes sumas de dinero por fraude de tarjeta, te recomendamos que hagas lo siguiente:

  • Presta atención al historial de transacciones de tu tarjeta, mediante notificaciones push o SMS. Si percibes gastos sospechosos, llama a tu banco lo antes posible y bloquea la tarjeta de inmediato.
  • Usa AndroidPay o ApplePay siempre que sea posible, ya que estos métodos no divulgan los datos de tu tarjeta al TPV, por lo que se consideran más seguros.
  • Usa una tarjeta exclusiva para los pagos de Internet, ya que estas tarjetas están más comprometidas que las que se usan en las tiendas tradicionales. No almacenes grandes cantidades de dinero en esta tarjeta.
Consejos