Un artilugio adivina el número de tarjeta Amex antes que su propietario
Parece que American Express está empleando un algoritmo poco consistente en la generación de nuevos números de tarjetas, lo que convierte a sus usuarios en blanco de los ciberasaltantes.
Un dispositivo desarrollado por el hacker legendario Samy Kamkar ha puesto en cuestión la segurdad de las tarjetas de crédito American Express en Estados Unidos, mientras este país sigue su contienda contra el fraude en este tipo de sistemas de pago. El dispositivo de Kampar, apodado por su creador como MagSpoof, tiene el tamaño de correspondiente a una moneda de dos euros y, de buen seguro, haría las delicias de cualquier defraudador.
MagSpoof puede predecir el número completo de una tarjeta American Express basándose en los números de las tarjetas de esta compañía que han sido canceladas. La fecha de caducidad de la tarjeta también puede adivinarlo el sistema basándose en la fecha en la que han sido solicitadas las nuevas que han de ser reemplazadas.
Este artilugio también podría llegar a engañar a los lectores de punto de venta a la hora de realizar pagos de tarjetas a las que se les supone que llevan insertado un microchip con capacidades avanzadas de criptografía que han sido diseñadas para detectar fraudes, un sistema conocido como “chip-and-PIN”; pero de momento no lo ha conseguido.
El propio sistema fraudulento ha detectado que el número de las nuevas tarjetas Amex que reemplazan a las anteriores caducadas guarda una relación directa con aquellas que fueron emitidas en el pasado. Kamkar ha desarrollado una fórmula a través de la cual puede conocer cómo fue calculado el número; una secuencia numérica que ha coincidido con más de 40 tarjetas nuevas y de sustitución de las tarjetas compartidas con él y sus amigos. “Que el 100% de las tarjetas que formaron parte del estudio coincidan con mis predicciones no es una casualidad. Tan solo es necesario saber el número de la antigua tarjeta y su fecha de caducidad”, señala Kamkar.
El auténtico peligro aquí reside en el hecho de que los cibercriminales que dispongan de acceso a los detalles de viejas tarjetas tienen la capacidad de conocer la secuencia numérica completa tanto de la tarjeta como de la fecha de caducidad de la nueva antes de que el usuario la reciba. Una vez activada la nueva Amex por parte del usuario, el malhechor puede salir ya alegremente de tiendas.
