Hallan técnica que permite obtener el número CVV de tarjetas de crédito en seis segundos

Publicado el

Imagen: Ví­deo demostrativo de la técnica
Imagen: Ví­deo demostrativo de la técnica

Investigadores de la Universidad de Newcastle dan con una técnica que permite la obtención del número de seguridad CVV y otros datos sensibles de las tarjetas de crédito en tan sólo seis segundos. Dicha técnica se basa en la realización de intentos simultáneos en diferentes sitios web, empleando diferentes valores en los campos de formulario existentes, de modo que al no realizarse sobre una misma web no se activan las alertas de seguridad de las propias tarjetas.

Dichos investigadores creen que esta técnica ya ha podido ser utilizada, por ejemplo, en el reciente hackeo de 20.000 cuentas de Tesco Bank. Antes de compartir los resultados de estas investigaciones en IEEE Security & Privacy, los investigadores se pusieron previamente en contacto con Visa ya que son sólo sus tarjetas las que están afectadas por este problema de seguridad, ya que en el caso de MasterCard, su sistema si tiene en cuenta los intentos distribuidos a través de diferentes sitios web.

En estos momentos no se sabe si Visa ya ha tomado acciones al respecto. Como apuntan desde Boing Boing, los investigadores consideran necesario pedir los mismos datos en todos los sitios web en el que se piden datos de las tarjetas de crédito a la hora de realizar transacciones económicas, evitando la disparidad de peticiones de datos existentes entre unos sitios y otros.

Además, también consideran necesaria la existencia de un periodo más largo desde que se intenta una petición a otra nueva, e incluso limitar el número de peticiones fallidas. A ello agregan que tampoco está de más usar filtros de direcciones IPs en lugar de captchas y usar herramientas de seguridad secundarias.

Eso sí­, los sistemas de pasarelas de pago también juegan un papel importante a la hora de aplicar todas o algunas de estas medidas para añadir más seguridad a las transacciones, no dejando todas estas medidas a aplicar sólo a los vendedores. Ante el desconocimiento del funcionamiento interno de Visa, los investigadores no han podido realizar recomendaciones especí­ficas.

Publicado en
Etiquetado
CVVhackInternettécnica

Comparte en: