Las tarjetas de pago sin contacto de la compañía Visa aprobarán transacciones muy grandes en monedas distintas a la libra esterlina, debido a un defecto en un protocolo, según dieron a conocer investigadores del Reino Unido.
Las autoridades británicas llegaron a la conclusión de que sería posible para cualquier delincuente con un teléfono móvil, ingresar a un terminal de punto de venta y preconfigurar una gran cantidad de dinero, para que luego sea transferido de una tarjeta de pago, incluso si dicha tarjeta estaba en el bolsillo de alguien.
El tipo de tarjeta, conocida como EMV, nombre dado por sus creadores las compañías de tarjetas de crédito Europay, MasterCard y Visa, utiliza un microchip para facilitar las transacciones en lugar de una banda magnética. EMV pronto estará disponible en el mercado estadounidense.
Algunos tipos de tarjetas EMV se configuran para los pagos “sin contacto”, donde el cliente no tiene que introducir un PIN para transacciones pequeñas, que en el Reino Unido están limitadas a 20 € (US $ 32).
Investigadores de la Universidad de Newcastle encontraron que la tarjeta sin contacto de Visa podría autorizar una transacción de hasta 999,999.99 sin un PIN si estaba en una moneda distinta a la libra esterlina, la moneda oficial del Reino Unido de la Gran Bretaña e Irlanda del Norte.
Si un dispositivo de punto de venta improvisado se acerca lo suficiente a la tarjeta de alguien en una billetera, la tarjeta sin contacto aprobaría una transacción en línea en menos de un segundo.
Los investigadores advirtieron, sin embargo, que no han puesto a prueba el sistema de back-end de los bancos, por lo que no está claro si la transacción aprobada por la tarjeta pudiese ser completamente procesada. Tampoco está claro a partir de la documentación del protocolo de pago, las discrepancias que mantienen las entidades bancarias ante una serie de aspectos que el estudio no ha cubierto.
Aún así, la banca británica advirtió a través de un comunicado de prensa que “el hecho de que podemos pasar por alto la £ 20 hace que este nuevo truco sea potencialmente muy escalable y lucrativo. Un criminal lo único que tendría que hacer es configurar un lugar como un aeropuerto o el metro de Londres, donde el uso de las distintas monedas aparecerían como de legítimo curso”.
No está claro si los investigadores trataron de ponerse en contacto con Visa o los bancos acerca de la falla.
Tarjetas EMV se han utilizado durante muchos años en Europa y otras partes del mundo. Los microchips que contienen información de la cuenta y autorizan las transacciones no son fáciles de forjar, a diferencia de los datos de la banda magnética de las tarjetas de hoy en día, que pueden ser copiados fácilmente.
Sin embargo, los investigadores predijeron que a medida que la banda magnética sea eliminada, los pagos sin contacto pueden llegar a ser “sumamente interesantes” para los delincuentes.
Funcionarios de Visa no pudieron ser contactados inmediatamente para hacer algún comentario o fijar posición sobre el tema.