El sector financiero enfrenta una nueva ciberamenaza, conocida como PINATA (PIN Automatic Try Attack).
El objetivo de los delincuentes es el mercado de tarjetas de contacto con chip de MasterCard, Visa y Europay.
De acuerdo con Metabase Q, el ataque evade el contador de reintentos de ingreso del NIP de las tarjetas y permite probar miles de combinaciones hasta dar con el correcto.
Ocelot, el equipo de seguridad Ofensiva de Metabase Q, descubrió que PINATA se aprovecha de una mala implementación del Método de Verificación del Titular de la Tarjeta y de un uso inadecuado del criptograma de aplicación que se usa para resetear el contador de intentos.
“A medida que se integran más sistemas de pago inteligentes, como tarjetas con circuito integrado, atacantes encuentran nuevas formas de acceder a la información que se guarda en ellas.
“Las tarjetas Europay, MasterCard y Visa, también conocidas como Chip & PIN o tarjetas de contacto de chip, que tienen un sistema de autenticación a través de un NIP, enfrentan una nueva amenaza”, advirtió Metabase Q.
Cuando se realiza una transacción, las tarjetas requieren autentificar que la persona que presenta el plástico es la titular, y esto se da a través de un intercambio de información para decidir el método de verificación, siendo el NIP uno de ellos.
Cuando se inicia la verificación, las tarjetas inteligentes usan un contador de reintentos de NIP limitado a tres, o de lo contrario bloquea la posibilidad de intentos para evitar ataques al NIP o robo de información.
Ocelot descubrió que PINATA puede forzar 10 mil combinaciones posibles de NIP en millones de tarjetas, usando un ataque “Man in The Middle” que permite controlar los comandos de la terminal y las respuestas de las tarjetas de NIP y chip.
Una vez que se resetea el contador de intentos se pueden ingresar tres nuevas combinaciones de NIP y así se repite el ciclo hasta que se ingresa el correcto.
Los emisores afectados deben aplicar políticas estrictas en los contadores de reintentos de NIP para protegerse ante el abuso del PINATA, recomendó la empresa de ciberseguridad.
