Ataques sofisticados. Tarjetas EMV y fraude en la cadena de suministro (chain supply fraud)

Hola,

Acabo de ver en Schneier el enésimo ejemplo de que cuando el crimen organizado se pone a maquinar, acaban por realizar cosas realmente insólitas, que por desgracia, suelen ser bastante perjudiciales.

chip card

Un poco de EMV

Las tarjetas chip-and-pin son un tipo de plásticos de nueva generación que poco a poco va ganando cuota de mercado en prácticamente todos los continentes. En la actualidad gozan de elevadas tasas de penetración en paises cercanos como el Reino Unido y Francia, siendo notablemente creciente la tasa de adopción en regiones emergentes, como por ejemplo, Asia. En España, la situación difiere, como sucede en otros muchos países, dependiendo del tipo de entidad emisora, aunque en general podríamos decir que no somos un país líder en el uso de EMV. Si queréis estar al día con la actividad EMV en España os recomiendo el blog de Julián Inza, que de tarjetas inteligentes sabe un rato largo :)

La denominación chip and pin es un nombre que se le ha dado a una iniciativa respaldada por el gobierno británico para la plena implantación de medios de pago EMV (Europay, Mastercard y Visa), y que está siendo supervisada por la Association For Payment Clearing Services (APACS).

EMV es un estándar para permitir la interoperabilidad entre tarjetas inteligentes y cajeros y/o terminales de venta con capacidad de realizar operaciones EMV. Como cualquier otra tarjeta, la finalidad principal de EMV es servir como medio de pago, es decir, proporcionar autenticación en transacciones de crédito y débito, pero también es un estándar muy orientado a reducir el fraude en tarjetas, además, drásticamente, ya que su tecnología permite mecanismos transaccionales más seguros que los existenes en plásticos con sólo banda magnética.

Tarjetas de banda vs tarjetas EMV

En tarjetas clásicas de banda magnética, el proceso tiene un core de tres componentes: adquisición de datos de pista de la banda, empaquetado y generación de un bloque de PIN cifrado y por último, envío a centro autorizador, que determinará, en función de si la tarjeta es propia o ajena, quien es reponsable de autorizar o denegar la operación. Es muy normal que además de los centros autorizadores de cada entidad financiera haya centros independientes que interconectan a las entidades, lo que permite que podamos operar con cualquier tipo de tarjeta en cualquier cajero, sea de nuestra entidad o no.

Por otro lado, el chip contiene una criptografía suficiente para generar criptogramas robustos, individuales para cada tarjeta (porque cada tarjeta tiene sus propias llaves), que serán enviados a los centros autorizadores, y en los que también viajan los datos de la tarjeta y el PIN introducido en el teclado para ser verificados y así poder conceder la preceptiva autorización o denegación a la transacción solicitada. En el caso de tarjetas EMV, también se pretende mejorar los procesos de autorización offline (sin acceso a centro autorizador), pero es un tema farragoso y que no tiene sentido comentar en este momento, aunque es sumamente interesante, por las implicaciones antifraude que tiene. Otro tema en el que no entraremos es hablar sobre qué pasa cuando metes una tarjeta EMV en un cajero convencional, y hay que hacer fallback a la banda magnética (en ausencia de capacidad EMV, la tarjeta funciona con la banda). En síntesis, y resumiendo mucho, descifrar criptogramas EMV y/o duplicar los chips no es lo mismo que clonar una banda magnética, lo que en en teoría se traduce en mayor seguridad.

La gran ventaja respecto al sistema tradicional es que en el caso de banda, la tarjeta no aporta nada al transporte criptográfico de bloque de PIN y datos de tarjeta al centro autorizador (de eso se ocupa el PIN Pad seguro, el teclado del cajero). En EMV, el chip sí permite aportar tratamiento criptográfico al proceso, porque el chip es ante todo eso: una pequeña fábrica de criptogramas.

Teoría y práctica

Hasta aquí la teoría. Ahora, la práctica. EMV no es la panacea, y numerosos tipos de ataque contra este estándar están siendo puestos en lo alto de la mesa. Está claro que de partida ofrece mejor seguridad, pero no ofrece, como nada en esta vida, seguridad absoluta. Es lo que ha pasado recientemente en Reino Unido, donde se están produciendo incidentes de seguridad muy sofisticados relacionados con EMV.

En este caso, los atacantes no han explotado vulnerabilidades de las tarjetas, sino que se las apañaron para modificar terminales de venta EMV en el proceso de fabricación de los mismos. Una vez modificados, los terminales se introdujeron en el mercado y fueron adquiridos por muchos comercios, con lo que se logró un nivel de diseminación elevado. Estos puntos de venta modificados han permitido el fraude en tres pasos:

  1. En primera instancia, los terminales adulterados permitían copiar los datos de tarjeta y el PIN introducido antes de que el propio terminal pudera cifrar la información.
  2. Una vez adquiridos los datos se sometían a cifrado, empleando llaves criptográficas propiedad de los atacantes, para almacenarlos en un buffer existente en el propio terminal modificado.
  3. Por último, se dotó a los terminales de facultad para enviar los datos almacenados en el buffer a servidores remotos. Estos servidores remotos se han localizado, en este caso en particular, en Pakistán, donde una vez recibidas las tramas se descifraban los datos capturados para clonar tarjetas, con el agravante de disponer del PIN.

Este proceso denota una profesionalización extrema, y por tanto, es de prever que los impactos producidos también sean muy altos. Muchos expertos no dudan en calificar el montaje como, posiblemente, el más complejo conocido en la triste historia del fraude relacionado con clonación de tarjetas. No es para menos, a la vista de lo ocurrido, y sobre todo teniendo en cuenta que los orígenes de estos incidentes se remontan, nada más y nada menos, que al comienzo de la cadena de suministro de los terminales, es decir, a su fabricación.

¿Soluciones? Se me ocurre endurecer los procesos de inspección de estos dispositivos, así como fortalecer el control general de la seguridad en las empresas fabricantes. Tampoco estaría mal dotar a los terminales de mecanismos de autodetección de modificaciones maliciosas. Y aún así, me temo que siempre habrá eslabones débiles en la cadena (humanos, cómo no), y que estos incidentes, probablemente, se repetirán.

Espero equivarme con esta previsión.

2 comentarios sobre “Ataques sofisticados. Tarjetas EMV y fraude en la cadena de suministro (chain supply fraud)

  1. El ejemplo es bueno… para visualizar que la seguridad está «más allá de la tecnología»: screening de empleados, procesos de desarrollo y fabricación, cadena de suministro, etc.

    El ejemplo es bueno… para mostrar en clases de ISO 17799 (perdón ISO 2700x… :-D ) y clases de Common Criteria también, digo yo.

    En estos temas de tarjetas/fraudes … ¿Por qué tengo «la sensación» de que a los ingleses les atacan más (que a los españoles) ?

    (a) Porque les atacan más, realmente; «van a por ellos». O porque son más imprudentes…

    (b) Porque registran mejor los incidentes, no porque les ataquen más… :-D

    (c) Ninguna de las anteriores (comodín)

    Saludos,

    PD: recuerdo otro caso… relacionado, en que los dispositivos tenían en la carcasa un agujerito de fábrica -qué casualidad- que permitía un tipo de fraude, acceso a un punto de la electrónica donde información valiosa no estaba cifrada. Creo que era «inglés» tambien.

  2. jcbarreto,

    Cada día me lo pones más complicado :) pero es lo que tienen las preguntas con inteligencia y curiosidad.

    Si me tengo que decantar por alguna opción, y hablo desde un estricto punto de vista personal y no vinculante, quizás sea por «un poco de todo». Los países anglosajones son países con tasas de penetración muy elevadas en el uso de medios de pago de este tipo, y por tanto, el grado de exposición es mayor (cuando usas la tarjeta para todo, hay más puntos donde te pueden clonar. Si sólo la usas en cajeros, las probabilidades son menores)

    También son, normalmente, países donde las propias legislaciones obligan a los emisores a notificar todos los incidentes de fraude que hayan protagonizado, cosa a la que no se obliga en todos los países, y quizás por eso se declare menos fraude en un país que en otro.

    Por último, no menos cierto es que hay países muy avanzados cuyas tecnologías antifraude son rudimentarias. Habría que ir caso por caso, es imposible generalizar :)

    Un saludo,

Comentarios cerrados.