El equipo descubrió que al conectar un pequeño dispositivo llamado "glitcher" al cajero automático, los delincuentes podrían manipular el protocolo criptográfico que utilizan el chip y el PIN para proteger los números PIN.
Esta vulnerabilidad podría permitir a los delincuentes robar dinero de las cuentas bancarias de las víctimas engañando al cajero haciéndoles creer que un PIN genuino es en realidad un PIN diferente y de mayor valor.
Los investigadores han desarrollado un parche que podría solucionar la vulnerabilidad y están trabajando con la Asociación de Tarjetas del Reino Unido (UKCA) para garantizar que todos los terminales con chip y PIN del Reino Unido estén parcheados lo antes posible.
El profesor Steve Fehler del Laboratorio de Computación de la Universidad de Cambridge, quien dirigió la investigación, dijo:"Esta es una vulnerabilidad grave que podría permitir a los delincuentes robar dinero de las cuentas bancarias de las personas. Estamos trabajando con la Asociación de Tarjetas del Reino Unido para garantizar que todos los Los terminales con chip y PIN se parchean lo antes posible".
Los investigadores publicaron un artículo que describe sus hallazgos, que se presentará en el Simposio de Seguridad de USENIX en agosto.
Aquí hay una explicación más detallada de cómo funciona el ataque:
* Cuando se inserta una tarjeta con chip y PIN en un cajero, el cajero envía un mensaje a la tarjeta solicitando su PIN.
* Luego, la tarjeta cifra el PIN mediante un protocolo criptográfico llamado DES (Data Encryption Standard) y lo envía de vuelta al cajero.
* El cajero descifra el PIN utilizando el mismo protocolo criptográfico y lo compara con el PIN almacenado en la tarjeta.
* Si el PIN es correcto, el cajero autoriza la transacción.
Los investigadores descubrieron que al adjuntar un "fallo" al cajero automático, podían manipular el protocolo criptográfico de modo que cuando se ingresa un PIN genuino parezca que se ha ingresado un PIN de mayor valor.
Por ejemplo, si el PIN genuino era 1234, el error podría alterarlo para que el cajero "vio" un valor de PIN de 9876. Esto permitiría al delincuente retirar £9876 en lugar de £1234 de la cuenta bancaria de la víctima.
Los investigadores han desarrollado un parche que podría solucionar la vulnerabilidad y están trabajando con la Asociación de Tarjetas del Reino Unido para garantizar que todos los terminales con chip y PIN del Reino Unido estén parcheados lo antes posible.
Esta vulnerabilidad es un recordatorio de que ningún sistema de seguridad es completamente infalible. Sin embargo, trabajando juntos, podemos hacer que sea lo más difícil posible para los delincuentes robar nuestro dinero.
