Según el encargado en educación sobre seguridad online de Intel Security, Gary Davis, y basándose en un informe de la Universidad de Cambridge que detallaba un ataque teórico contra las tarjetas de crédito y débito equipadas con tecnología de Chip y PIN, estas no son totalmente seguras tal como se presentan. Dicho informe mostraba un ataque denominado «Hombre Intermediario», donde un atacante intercepta un mensaje entre dos partes y lo reemplaza con uno suyo.
Lo que se hizo técnicamente es tomar una tarjeta de crédito con Chip y PIN, modificándola con un chip personalizable, y la vinculó a un gran tablero que posteriormente conectó a una laptop que ejecutó un software de ataque. Una vez que la tarjeta falsa fue conectada al terminal, dio comienzo al ataque. Desde allí, el grupo proporcionó cualquier número PIN que deseó y la transacción fue aprobada.
Aunque el proceso resultó ser bastante complejo, los investigadores de Cambridge advirtieron que el sistema podría ser replicado. Un año más tarde, un grupo de cinco ciberdelincuentes franceses fueron arrestados, y con ellos se confiscaron 40 tarjetas con Chips y PINs modificados.
Estos ciberdelincuentes descubrieron una manera de replicar el ataque de la Universidad de Cambridge en una sola tarjeta. Los delincuentes simplemente soldaron un chip FUNcard, un mini chip programable para aficionados, a una tarjeta robada con Chip y PIN. Cuando se emplea, el chip FUNcard intercepta una consulta de autenticación, donde la terminal solicita a la tarjeta verificar un número de PIN alimentado, y hace que la tarjeta no tenga más opción que decir «sí», independientemente de si realmente se alimentó el PIN. La transacción puede entonces proceder de forma habitual.
Lo que se generó causó mucha conmoción. Los bancos, los emisores de tarjetas de crédito y los productores de terminales han aprendido de este ataque, y crearon contramedidas para los sistemas de tarjetas en Europa. Las actualizaciones para los sistemas de tarjetas en los Estados Unidos no se quedaron atrás.
De cualquier manera, este caso representa un gran recordatorio de que incluso las más modernas innovaciones en seguridad pueden ponerse en riesgo, y de los retos que los ciberdelincuentes están dispuestos a enfrentar para eludir las medidas de seguridad.
