miércoles, 14 de noviembre de 2018

Violación de millones de tarjetas de crédito con chip


Un total de 60 millones de tarjetas de crédito estadounidenses se vieron comprometidas en los últimos 12 meses. A pesar de que el 93 por ciento de ellas tenían el chip EMV los comerciantes continuaron usando las bandas magnéticas.

La tecnología de chip y PIN se ha convertido en el estándar de facto para las transacciones de tarjetas de crédito y débito en persona en los EE. UU., pero la falta de homogeneidad de los comerciantes con este sistema significa que millones de tarjetas aún están en peligro.

Las tarjetas de chip, que contienen un microprocesador incorporado que encripta los datos de la tarjeta, son una alternativa más segura a las tarjetas de banda magnética, en teoría. También implementan el estándar EMV, que significa Europay, MasterCard y Visa, que es un estándar global para la compatibilidad de las tarjetas chip con los terminales de punto de venta. Se convirtieron en el tipo de tarjeta predeterminado cuando los cuatro principales emisores de tarjetas de crédito de EE. UU., Visa, MasterCard, American Express y Discover, decidieron transferir la responsabilidad del fraude de tarjetas de pago a los comerciantes en 2015, si no tienen un sistema de pago EMV.

La realidad, según un estudio de Gemini Advisory basado en datos de telemetría recopilados de varias fuentes de Dark-Web, es que 60 millones de tarjetas de EE. UU. Se vieron comprometidas en los últimos 12 meses. De ellos, el 93 por ciento estaban habilitados para chips EMV.

Además, el 75 por ciento, o 45.8 millones, fueron registros robados de transacciones en persona. Es probable que estos se vieran comprometidos a través de programas maliciosos de captura de tarjetas y violaciones de puntos de venta en establecimientos como minoristas, hoteles y restaurantes. Tanto Chili's como Cheddar's Scratch Kitchen, por ejemplo, fueron el trampolín para las violaciones de datos de tarjetas de pago a principios de este año.

En los últimos 12 meses, aproximadamente 15,9 millones de tarjetas de pago no estadounidenses comprometidas se pusieron a la venta en la Dark Web, divididas entre 11,3 millones de registros de tarjetas no presentes (transacción en línea) y 4,6 millones de registros de tarjetas presentes, de los cuales 4,3 millones tenían chip EMV habilitado. Esto significa que el nivel de robo de datos de tarjetas habilitados para EMV en los EE. UU. Es del 868 por ciento más alto que todo el resto del mundo.

Los grupos de amenazas con motivaciones financieras como la notoria pandilla FIN7 tienden a comprometer las redes de comerciantes, encontrando su camino hacia los terminales datáfonos y desplegando malware. Una vez que el malware identifica los datos de seguimiento de una tarjeta, se copia, se codifica y, finalmente, se filtra en un servidor de comando y control.

Gemini también dijo que los datos actuales de la tarjeta "también se recopilan a través de un método más manual por parte de los grupos de skimmer, que utilizan un hardware personalizado conocido como "shimmers" para registrar y eliminar datos de cajeros automáticos y datáfonos. Los "shimmers" se sitúan entre el chip de la tarjeta y el lector de chips en el cajero automático o datáfono, registrando los datos en el chip a medida que la máquina subyacente lo lee".

No hay comentarios:

Publicar un comentario