Usualmente, la clonación de una tarjeta requiere que el plástico sea registrado por un lector preparado para duplicar su información, pero los tiempos han cambiado, al igual que los métodos de extracción. Un grupo de investigadores en la Universidad de Newcastle demostró la efectividad que tienen los ataques distribuidos a la hora de «adivinar» aquellos parámetros que no se conocen sobre una tarjeta de crédito o débito, incluyendo la fecha de vencimiento en el plástico y su CVV. ¿Cuánto tiempo se necesita? Entre cuatro y seis segundos.
Una de las acciones más estúpidas (me disculpo por la expresión) que una persona puede llevar a cabo en las redes sociales es fotografiar y compartir sus tarjetas de crédito y/o débito. Lamentablemente, esos usuarios no tienen la menor idea sobre los riesgos asociados a publicar datos como los dieciséis dígitos principales y la fecha de vencimiento. De hecho, hay portales dedicados al e-commerce en la Web que apenas solicitan esos dos campos para iniciar una transacción. La mayoría de los sitios piden al usuario un tercer valor, que es el código de seguridad del plástico (CVV), el cual sirve como barrera de contención ante el posible robo de los campos previos. El problema… es que el CVV puede ser calculado a pura fuerza bruta.
Así lo ha demostrado un equipo de investigadores estacionado en la Universidad de Newcastle. Antes que nada, es necesario destacar que esta técnica es efectiva debido a la falta de un estándar general entre los sitios de e-commerce para proteger sus transacciones. Los investigadores tomaron como base al «Top 400» de ventas en línea que reporta Alexa (389 fue el número final), y a partir de allí establecieron la robustez de cada uno. 291 sitios requieren el ingreso de tres campos (número, vencimiento y CVV), mientras que sólo 25 hacen obligatorio el ingreso de un cuarto (dirección y código postal). Lo más perturbador es que ninguno de ellos se encarga de verificar el nombre impreso en el plástico. El cálculo del CVV se realiza a través de un ataque distribuido usando bots. El CVV está compuesto por tres dígitos, o sea que el número de combinaciones nunca supera las mil. La mayoría de los servicios permiten entre seis y diez intentos para ingresar los datos de una tarjeta, más que suficiente en este caso. Si por algún motivo el atacante posee el CVV pero no la fecha de vencimiento, el proceso es aún más simple, porque los emisores de tarjetas no entregan plásticos con una duración que exceda los sesenta meses.
De acuerdo a los datos disponibles, la posibilidad de esparcir el ataque a cientos de sitios en simultáneo reduce el tiempo de espera a unos seis segundos. Los investigadores decidieron ir más allá de las compras en línea con un número de tarjeta robado, y realizaron un experimento en el que utilizaron la información obtenida de un plástico con el objetivo crear una cuenta falsa y transferir fondos al exterior. El proceso completó tomó 27 minutos, menos del tiempo necesario para que el banco pueda bloquear el envío. Como cierre, dos datos muy interesantes: Por un lado, este tipo de ataque afecta a las tarjetas Visa, ya que la red MasterCard detectó las operaciones distribuidas y las desactivó en el acto. Y por el otro, los investigadores trataron de ponerse en contacto con los 36 sitios más importantes, en un intento por reportar sus descubrimientos. Solamente ocho hicieron ajustes sobre sus sistemas.