Un equipo de investigadores de la Universidad de Newcastle en el Reino Unido, ha descubierto un método para hackear tarjetas de crédito, incluyendo fechas y códigos de seguridad, en tan sólo seis segundos y mediante la consulta en sitios de comercio electrónico.
El proceso se describe en IEEE Security & PrivacySeguridad e implica adivinar y probar cientos de permutaciones de las fechas de caducidad y números CVV en cientos de sitios web. Las tarjetas MasterCard no son susceptibles a este ataque debido a que su sistema está cenralizado y se cierra después de 100 intentos.
Los titulares de tarjetas VISA no tienen tanta suerte porque el sistema de pago en línea no detecta solicitudes múltiples no válidas desde diferentes sitios web. De esta forma y mediante lo que denominan “un ataque distribuido de adivinazas”, los investigadores dicen que pueden descubrir los números de tarjeta, fecha de caducidad y códigos de seguridad de cualquier tarjeta de crédito o de débito VISA.
“Este tipo de ataque explota dos debilidades que por su cuenta no son demasiado graves, pero cuando se usan juntos, representan un grave riesgo para todo el sistema de pago”, explican. Los atacantes pueden recoger la tarjeta de información de un campo a la vez haciendo imposible para los comerciantes detectar la actividad fraudulenta.
Los investigadores creen que los ciberdelincuentes han utilizado este tipo de ataque en el reciente hackeo al banco Tesco y el robo de 9.000 cuentas.