[LACNIC/Seguridad] Fraudes en cajeros automaticos (Skimming)

José Miguel Parrella Romero joseparrella en gmail.com
Mie Mar 10 22:46:08 BRT 2010 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Joaquin Sardas escribió:
> Creo recordar que en algún blog de CSIRT de una red de bancos en USA
> proponían la incorporación de autentificación de 3 vías, incluyendo el
> token generador de un número que cambia cada ciertos segundos en función
> de un algoritmo solo conocido por el banco.

El mecanismos es bastante popular al menos en Venezuela. Me han robado
así en dos bancos distintos en Venezuela. Para que entiendan la magnitud
del problema, uno de los bancos incluso me devolvió la plata en menos de
24 horas. Ya ellos saben que estas cosas pasan.

Banesco en Venezuela requiere que el PIN se cambie con una frecuencia
diríamos 'insana', y que no se repita entre las últimas que se han
utilizado. No sé de otros bancos. En Ecuador no estan popular esto.

Recientemente algunos bancos (Mercantil) han incorporado un chip en la
tarjeta de débito, añadiendo otro factor. Asumo que aparte de que no se
conseguirán skimmers que lean chips hasta dentro de unos pocos meses, lo
que sea que esté grabado en ese chip estará cifrado. El cajero deniega
la operación si la tarjeta está reportada como 'debe tener chip' y no se
lo presenta al ATM.

En el caso de las tarjetas de crédito asumo que los dos factores son el
CVV y la fecha de expiración, que requerirían que el skimmer escanee los
dos lados de la tarjeta, asumiendo que esos valores no se graban en la
banda.

Una discusión muy interesante.

- --
José Miguel Parrella Romero (bureado.com.ve)          PGP: 0×88D4B7DF
Debian Developer                                Caracas, VE/Quito, EC
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
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=vnlf
-----END PGP SIGNATURE-----

Más información sobre la lista de distribución Seguridad