Una fallada de seguretat en les targetes VISA sense contacte permet pagar sense PIN superant el límit màxim

El protocol de pagaments sense contacte de les targetes bancàries Visa conté una fallada de seguretat que permet que els delinqüents duguin a terme pagaments mitjançant aquest sistema sense utilitzar el codi PIN per a quantitats superiors al límit establert.

Així ho han descobert els investigadors DavidBasin, RalfSassei JorgeToro, de l'Escola Politècnica Federal de Zuric (Suïssa), que han analitzat la seguretat del protocol d'estàndards de targetesEMV, dit així pels seus fundadorsEuropay,Mastercardi Visa, i que al desembre de 2019 s'usava en 9.000 milions de targetes en el món.

Les targetes bancàries Visa empren un protocol de seguretat per als pagaments sense contacte que obliguen a introduir el codi PIN per a imports superiors a un límit màxim, actualment de 50 euros.

No obstant això, a causa de les vulnerabilitats descobertes, qualsevol persona que es faci amb una targeta Visa, o fins i tot si col·loca un telèfon ambNFCal seu costat, podria realitzar pagaments sense contacte superant el límit establert.

Per a dur a terme aquest atac, els investigadors de la universitat suïssa han utilitzat dos telèfons intel·ligents Android comunicats entre si per Wifi i que estan equipats amb sensorsNFCde pagaments mòbils.

Si se situen prop del terminal de pagaments i de la targeta de crèdit, els mòbils poden comunicar-se entre ells a través d'una aplicació i modificar les dades de la transacció abans d'enviar-los aldatàfon.

D'aquesta manera, les dades que s'envien passen a incloure instruccions addicionals, com que el codi PIN no és necessari per al pagament -encara que sigui superior al límit- i que el propietari de la targeta està verificat en el telèfon intel·ligent utilitzat.

Aquesta fallada de seguretat és present en el protocol de pagaments sense contacte de Visa i segons els investigadors és possible que afecti també els deDiscoveriUnionPay.

Una altra de les vulnerabilitats descobertes en els estàndards de seguretat de les targetes Visa iMastercardpermet realitzar pagaments de manera offline enganyant al terminal de pagaments perquè accepti transaccions falses i que no es cobri a l'usuari.

Per part seva, l'empresa bancària Visa ha assenyalat que «ens prenem molt de debò totes les possibles amenaces en la seguretat dels pagaments. En aquest sentit, apreciem els esforços acadèmics i de la indústria a reforçar l'ecosistema de pagaments».

Els consumidors «poden continuar fent ús de les seves targetes Visa amb total confiança», ha defensat Visa, que ha valorat que els escenaris proposats pels investigadors «poden ser raonables per a realitzar simulacions, però han demostrat ser poc pràctics a l'hora ser usats per estafadors en el món real».

«La realitat és que, en tot aquest temps, no s'han reportat aquests models de frau en la pràctica», ha asseverat Visa, que ha defensat que «les targetes 'contactless'són molt segures».