- La empresa Metabase Q detectó una nueva ciberamenaza llamada PIN Authomatic Try Attack (o PINATA).
- PINATA ataca directamente a los tarjetahabientes de instituciones bancarias al robarles su NIP.
- Los atacantes pueden forzar 10,000 combinaciones posibles de NIPs en tarjetas de contacto de chip Europay, MasterCard y Visa hasta encontrar la correcta.
Los malwares bancarios son algo con lo que distintas instituciones y sus usuarios han tenido que lidiar en los últimos años. Si bien muchos de estos suelen ser transmitidos a través de medios como el phishing, hay una nueva ciberamenaza que llega a través de métodos más «tradicionales».
Este es el caso del ataque conocido como PIN Authomatic Try Attack (o PINATA), que afecta directamente a tarjetahabientes de instituciones bancarias al robarles su Número de Identificación Personal (NIP).
La empresa se ciberseguridad Metabase Q habló sobre la detección de esta amenaza en la edición 29 de DEF CON, la conferencia de InfoSec más importante del mundo.
«Si nos vamos a la falla de raíz, es una mala implementación a nivel de configuración de un sistema bancario. Es una ciberamenaza por el hecho de que un banco puede tener millones de clientes y los puede afectar de manera directa», dice Salvador Mendoza, investigador de seguridad del equipo de seguridad ofensiva Ocelot de Metabase Q, en entrevista con Business Insider México.
¿Cómo funciona el ataque PINATA y cómo afecta a los tarjetahabientes?
A diferencia de otras ciberamenazas, los atacantes que utilizan PINATA necesitan tener la tarjeta física para; a través de un hardware especial, forzar 10,000 combinaciones posibles del NIP en tarjetas de contacto de chip Europay, MasterCard y Visa (EMV).
Este ataque hace alusión a una piñata ya que cuando los atacantes entran al sistema, pueden obtener acceso a toda la información de sus víctimas.
«Imagina que tú tienes una tarjeta de banco y yo tengo acceso a ella de forma física; puede ser un restaurante, un bar con amigos, o lo que sea. Yo puedo hacer un ataque [con PINATA] para ver si una mala configuración de tu banco me permite adivinar el NIP de tu tarjeta. Incluso puedo clonar los datos de tu banda magnética y dejarte tu tarjeta física; ya con los datos de la banda, puedo hacer transacciones con tu NIP», explica Mendoza.
El ataque PINATA se aprovecha de una mala implementación del Método de Verificación del Titular de la Tarjeta (CVM, por sus siglas en inglés), así como de un uso inadecuado del criptograma de aplicación que se utiliza para resetear el contador de intentos de transacción.
Es decir, este ataque permitiría reiniciar el contador de intentos del NIP cada vez que llegue a su límite.
«Esta vulnerabilidad demuestra cómo una mala implementación puede llevar a que un atacante encuentre el NIP de una persona, incluso
sobrepasando los tres intentos que deberían ser suficientes para evitar un ataque de fuerza bruta”, comentó Salvador Mendoza.
«Si un atacante logra encontrar la combinación de una tarjeta, tiene el control total de la misma. Puede obtener el NIP, cambiarlo, realizar transacciones, transferencias, etc. Teniendo el NIP de la cuenta, pues tiene acceso a toda la información del tarjetahabiente», agrega Salvador.
¿Qué pueden hacer los usuarios para protegerse de esta ciberamenaza?
De acuerdo con los expertos, esta amenaza se ha hecho notar más en bancos en Estados Unidos. «A nivel México, no se ha descubierto aún alguna incidencia relacionada a este ataque; sin embargo, estamos hablando de una institución financiera que no solo está en Estados Unidos, sino que se expande a nivel global», dice Mendoza.
En cuanto a desde qué año se encuentra operando, el experto dice que no es fácil saberlo. «Realmente no sabemos, por el hecho de que es una mala configuración de la institución bancaria que tramita las tarjetas. Es muy difícil saber por el hecho de que no estamos hablando de que llegó un virus y los atacó, sino más bien [se trata] de la mentalidad y la forma que hacen las cosas en el lado bancario», explica.
Mendoza explica que tampoco se sabe cuánto dinero se ha perdido a raíz de este ataque o cuántas personas han sido afectadas por el mismo. «El hecho de que nosotros lo hayamos descubierto lo hace mucho más difícil de contabilizar, ya que no lo habíamos visto en el ámbito del sistema bancario», dice.
Sobre cómo un tarjetahabiente puede protegerse frente a este ataque, Mendoza recomienda cuidar mejor las tarjetas físicas e incluso cambiar a métodos de pago digitales.
«Si es factible, es mejor utilizar billeteras digitales o generar tarjetas virtuales dentro de nuestros dispositivos móviles. Ya sea la banca o algún tipo de cartera digital como Google Pay o Apple Pay que nos ayuden a hacer transacciones en lugar de utilizar las tarjetas físicas. También debemos monitorear las transacciones que hacemos en línea, para no ver alguna rara que nos pueda afectar más adelante», concluye.
AHORA LEE: El malware bancario Janeleiro.mx es una nueva amenaza para los usuarios mexicanos
TAMBIÉN LEE: 25% de las organizaciones en México fueron atacadas por ransomware en 2020, según encuesta de Sophos
