Según un estudio llevado a cabo por investigadores de la Universidad de Newcastle, un buen hacker podría llegar a averiguar el número, código de seguridad y la fecha de caducidad de una tarjeta Visa en tan solo 6 segundos. Estos datos fueron detectados tras el ciberataque llevado a cabo al banco Tesco y del que os hablamos hace unas semanas.
¿Cómo hackean las tarjetas de crédito?
Las investigaciones llevadas a cabo revelaron que los hackers usaron lo que se conoce como DIstributed Guessing Attack, algo que viene a ser como un método de ensayo y error pero a gran escala. Lo que tiene este sistema es que no se detectan los intentos fallidos llevados a cabo por los ciberdelincuentes, lo que hace que finalmente consigan su objetivo.
Los hackers usan un software específico que genera de manera automática infinidad de variaciones de datos de seguridad de una tarjeta mediante sitios web de pago y comercios online. Lo que más ha llamado la atención a los investigadores es la alta tasa de respuestas acertadas.
Cuando los hackers cuentan con todos los detalles de las tarjetas de crédito ay pueden usarlos en la red para comprar infinidad de productos o incluso pueden abrir una cuenta, hacer transferencias de dinero en efectivo o enviarlo a un destinatario anónimo en cualquier país extranjero.
El equipo de investigadores utilizó diferentes herramientas de software y bots 100% automatizados con sus propias tarjetas de crédito unto a Visa para poder realizar un ataque cibernético de manera experimental. Por eso eligieron 400 de los sitios más importantes en Internet como Google, Amazon, Paypal o iTunes entre muchos otros.
Con este experimento se demostró que esta clase de amenazas hacker es factible y práctica. También se pudo demostrar que era posible ejecutar barios robots al mismo tiempo en muchos sitios de pago sin que el sistema de seguridad detectase esta actividad.
Desde el equipo de investigación, uno de sus estudiantes, Mohammed Al, ha declarado a los medios de comunicación que la red centralizada con la que cuenta Mastercard sí es capaz de detectar datos con Distributed Guessing Attack en menos de 10 intentos. Incluso cuando los pagos se llevan a cabo a través de múltiples redes.
Por su parte, desde Visa han afirmado en un comunicado de prensa que se encuentran trabajando en estrecha colaboración con los emisores de tarjetas y usuarios, para que sea muy difícil poder obtener y usar los datos de los titulares de las tarjetas de manera ilegal. Además insisten en recordar la importancia de que los comerciantes usen el sistema Verified by Visa