Es posible para un mismo cliente, dado un número de tarjeta American
Express, predecir el número de la siguiente tarjeta que se le asignaría (tras
caducidad o cancelación de la anterior).
Samy Kamkar (@SamyKamkar), conocido entre otras cosas por haber desarrollado el gusano "Samy" de MySpace, descubrió este patrón al recibir una tarjeta nueva por perder la antigua. Comparó el número antiguo con el nuevo, y notó que algunos de los dígitos eran similares. Tras recopilar más parejas de números nuevos y antiguos encontró un patrón global que le permite predecir el número de la siguiente tarjeta dado el anterior.
Esto podría ser útil para un
atacante con una tarjeta robada de esta institución, que podría predecir el
número de la tarjeta siguiente. Con ello se reconstruiría toda la información
necesaria para obtener una copia de la nueva tarjeta, si bien no funcionaría en
todos los establecimientos por no ser posible predecir el CVV de la nueva
tarjeta. En la reconstrucción de la nueva tarjeta se aprovechan ciertas
características de las tarjetas, como que la nueva fecha de expiración es
precedible según la fecha de la petición de la nueva tarjeta, y que otros
campos internos son válidos simplemente copiándolos de la antigua o se derivan
fácilmente. Todo esto tiene sus matices y también intervienen otras
protecciones adicionales, que pueden dificultar el ataque.
Otra característica preocupante comentada por Kamkar se da por el contexto de Estados Unidos, al no tener generalizado el uso de Chip-and-PIN. Si una tarjeta tiene chip y el terminal lo soporta, al pasar la tarjeta usando la banda magnética el terminal pide que se pase usando el chip, por seguridad. El caso es que es la misma banda magnética la que codifica en texto claro si la tarjeta tiene chip o no, con lo que es posible cambiar esta información haciendo creer que la tarjeta no tiene chip y evadir el sistema de Chip-and-PIN.
Finalmente, y en vez de usar un
codificador de tarjetas magnéticas, Kamkar ha construido un pequeño dispositivo
que permite simular el paso de una tarjeta usando la banda magnética, pero a
unos centímetros de distancia. Básicamente, recrea el campo magnético que
produciría el paso de la tarjeta, pero con una potencia superior, para salvar
la distancia. La construcción de este dispositivo se estima en 10 dólares
estadounidenses, y las instrucciones para hacerlo están disponibles en su
página web. Este tipo de dispositivos ya existía antes, si bien no se había
reunido en el mismo dispositivo el ser pequeño, a distancia y barato. Hasta
ahora.
I've released MagSpoof, which can wirelessly spoof credit cards/magstripes, disable Chip&PIN, and predict Amex cards https://t.co/MTbzc0Qax8 — Samy Kamkar (@samykamkar) noviembre 24, 2015
En la comunicación de Kamkar
con American Express sobre este asunto, un ingeniero de la institución asegura
que la predicción de números de tarjeta no es un riesgo serio, por las
mitigaciones adicionales incorporadas en el sistema. Mitigaciones que hacen
poco práctico el ataque, aunque no imposible. El coste de modificar el sistema
de seguridad de un sistema de pago, debido a la cantidad de sistemas que habría
que actualizar y la necesidad de respetar sistemas antiguos, es bastante alto.
Esto retrasa la llegada de medidas de seguridad a estos sistemas. En Estados
Unidos, están en proceso de reemplazar el sistema de banda magnética por el de
chip, más seguro, si bien tampoco infalible.
Más información:
- Página de Samy Kamkar sobre esta investigación http://samy.pl/magspoof/
- Noticia de WIRED ampliando información http://www.wired.com/2015/11/samy-kamkar-10-dollar-tool-can-guess-and-steal-your-next-credit-card-number/
- Estado actual de la implantación de Chip-and-PIN en EEUU y sus vulnerabilidades http://thehackernews.com/2015/10/chip-n-pin-credit-card.html
- Artículo sobre Samy Kamkar http://fusion.net/story/180919/samy-kamkar-is-a-white-hat-hacking-hero/