viernes, 29 de enero de 2010

Nuevo sistema de seguridad para compras con tarjeta es inseguro

(cc) liewcf

(cc) liewcf

Desde hace un tiempo que las compañías VISA y MasterCard están utilizando un nuevo sistema de seguridad para las compras en línea. El sistema conocido como 3-D Secure (3DS) agrega un paso extra a la hora de realizar una compra, consistente en la solicitud de una clave adicional al tradicional código CVV (los últimos números que aparecen en el reverso de la tarjeta). De esta manera se verifica que quien esta realizando la compra es efectivamente el dueño del plástico.

En el caso de VISA el nombre que recibe este sistema es Verified by VISA, mientras que en el caso de MasterCard su nombre es MasterCard SecureCode.

En una reciente conferencia de seguridad, los investigadores Ross Anderson y Steven Murdoch calificaron a este nuevo sistema como

Fatalmente defectuoso y un ejemplo clásico de cómo no hay que diseñar un protocolo de autenticación”

Ambos investigadores señalan que el protocolo a menudo confunde a los usuarios, debido a que se ejecuta de manera contraria a los avisos tradicionales sobre las credenciales que permiten el ingreso a sitios garantizados por TLS (Transport Layer Security) y que algunos navegadores, como IE8, reconocen desplegando una barra de dirección verde.

Producto de que el sistema opera con un iframe o un pop-up sin barra de direcciones, no hay una manera fácil para que el cliente pueda ver quién le esta pidiendo la contraseña. Esto no sólo provoca que los ataques contra el sistema sean más fáciles de realizar, sino que produce un debilitamiento en otras iniciativas anti-phishing.

Además de los problemas antes mencionados, los investigadores señalaron que la confianza de los consumidores puede verse aún más debilitada producto del proceso de registro que se realiza durante una transacción, el que solicita información personal del usuario (la fecha de nacimiento por ejemplo).

En el informe preparado por los investigadores se señala

Desde el punto de vista del cliente el sitio web donde esta realizando su compra le está solicitando datos personales, generando una mayor grado de desconfianza entre los usuarios

Según Ross Anderson el nuevo sistema de seguridad hace casi todo mal desde el punto de vista ingenieril, por lo que se convertirá en un objetivo muy importante para la realización del llamado phishing.

No hay comentarios: