Grave fallo de seguridad en tarjetas de crédito “verified by VISA”

No se trata de un error de código, sino de una falla de diseño que podría hacer que cibercriminales o no cibercriminales tomen el control.

El protocolo de seguridad 3 Domain Secure (3DS), introducido por Visa en 2001, fue desarrollado para prevenir el fraude a tarjetas de crédito, y así como es de noble su propósito, al parecer también resulta ineficaz.

La forma en que este protocolo trabaja es muy simple. Cuando hacemos una transacción en línea, bajo el resguardo de Visa, somos redirigidos a una página de verificación, que solicita confirmemos algunos detalles y la contraseña. Así, el negocio nunca tiene contacto con nuestros detalles en algún momento del proceso, lo que significaría que la transacción es segura.

En teoría suena genial, pero el problema surge debido a la característica de restablecimiento de contraseña que ofrece Visa.

Cuando un cliente accede a esta función, se le presenta un formulario que le solicita algunos detalles de aseguramiento de la tarjeta para prevenir el fraude, pero esto se complica al considerar que estos datos pueden encontrarse físicamente en la tarjeta.

El código de firma, la fecha de expiración, el nombre del titular y su fecha de nacimiento es lo que se necesita para que el cliente complete el proceso de restablecimiento. Todos los detalles, excepto la fecha de nacimiento, están impresos en el plástico.

Los investigadores proponen que este método de verificación sea al menos actualizado para encapsular una pregunta secreta, una URL de contraseña de un solo paso debería ser enviada al usuario del correo, al final todo el procedimiento debería resultar en una notificación.

Lo más preocupante es que el protocolo de seguridad 3DS, no sólo es utilizado por Visa.
Sitios parecidos como Master Card Secure Code, J/Secure (JCB International) y Safekey, básicamente implementan la misma tecnología.

 Fuente