Brecha de seguridad encontrada en lectores de tarjetas bancarias

card_readers.png

Lectores de TarjetasSe han detectado fallas en los dispositivos de seguridad utilizados para autenticar a los clientes en la banca online, según reporta computerweekly.com.

Investigadores de la Universidad de Cambridge encontraron debilidades al realizar ingenieria reversa sobre lectores de tarjetas de los bancos Barclays y Natwest.

En estos bancos los clientes utilizan lectores de tarjetas en conjunto con una tarjeta bancaria para producir una password de un sólo uso (OTP). Los bancos introdujeron estos lectores para reducir las perdidas debido a estafas por Phishing y Software de registros de tecleos (Keyloggers). En Chile no se utiliza estos dispositivos ya que se ha optado por una clave dinámica en base a tokens o tarjetas de coordenadas según el banco.

Los resultados se han presentado en un paper «Optimised to Fail: Card readers for online banking»  («optimizados para fallar: lectores de tarjetas para la banca online«). «Encontramos númerosas debilidades sujetas a diseños de error como la reutilización de tokens de autenticación, sobrecarga de semánticas de datos, y fallos al no garantizar la frescura de la respuesta. El error estratégico general fue una excesiva optimización«, aseguraron los investigadores.

Algunos de las vulnerabilidades qeu los investigadores han encontrado son robo de tarjeta,  implementaciones en base a software, hombre en el medio, infiltración de la cadena de suministro, ingeniería social y debilidades del protocolo, se recomienda referirse al paper para más información.

jtraverso

jtraverso

Juan Pablo Traverso, Ingeniero Civil Industrial y MBE de la Universidad de Chile.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

scroll to top