Los “Juegos con un Propósito” (GWAP) ahora son el nuevo blanco de los hackers, que los usan paraadivinar colectivamente números de tarjetas de crédito
Easy Solutions, compañía de protección contra fraude, anunció que su equipo de inteligencia contra fraude, detectó el surgimiento de páginas web que incluyen piezas de código que pretenden generar números de tarjetas de crédito de varias instituciones bancarias. Una mirada más detallada a tales códigos condujo a reconocer la presencia de cierto tipo de “Juegos con propósito de fraude”.
Los Juegos de Computación Basada en Humanos, también conocidos como Juegos con un Propósito (GWAP), han sido usados por la industria de software para cumplir tareas que aunque sean triviales para los seres humanos, presentan un gran reto incluso para los mecanismos de cómputo más avanzados. Los GWAP aprovechan la disposición de los humanos para colaborar o simplemente divertirse con el fin de resolver colectivamente problemas de cómputo a gran escala a través de juegos en línea.
Los GWAP han demostrado su valor al ayudar a desarrollar áreas tan diversas como la seguridad, la visión por computador, filtros de contenido para adultos y búsquedas en Internet. Uno de los ejemplos más cercanos a la industria de seguridad son los reCAPTCHAs, los cuales son usados para detener bots a la vez que digitalizan libros y convierten palabras que no pueden ser leídas por computadores en CAPTCHAs resueltos con facilidad por la gente.
Estas páginas invitan a que la gente se una a la misión de adivinar colectivamente números de tarjetas de crédito. Ya sea, hacer dinero fácil con tarjetas robadas, combatir el sistema al apoyar a una banda de anarquistas o simplemente divertirse un poco tratando de adivinar números.
Bienvenido al Juego
La probabilidad de generar aleatoriamente un número de tarjeta de crédito valido junto a una fecha de expiración válida y un CVV es muy baja. Y si incluso, el usuario se siente lo suficientemente osado para comenzar a adivinar números, aún tiene el problema de determinar si una TC generada está activa o no. Históricamente, esto sólo pudo hacerse visitando el comercio online y tratando de hacer una transacción con los datos de la tarjeta, pero este ya no es el caso.
Con la aparición de pagos móviles y en línea, la habilidad de configurar un canal de pago para su aplicación ha sido demasiado simplificada. Compañías como Stripe, Braintree y Paymil ofrecen portales de pago amigables con el desarrollador que pondrán a probar el nuevo canal de pagos del usuario en minutos sin costo.
“Todo lo que necesitas es una dirección de email, una cuenta bancaria y no más de cinco minutos de creación de código. Esta es la evolución natural para un mundo donde la gente podrá comprar y vender en línea lo que sea que deseen”, afirmó Javier Vargas- Research Manager de Easy Solutions.
Ahora todos los estafadores están preparados. Todo lo que necesitan es una cantidad considerable de cuentas registradas con un portal de pagos, para empezar a probar sus suposiciones; esto ocurre cuando el criminal recurre a la naturaleza humana y usa los GWAP para cumplir sus propósitos. El único requisito para que los jugadores se unan, es abrir una cuenta con un portal de pagos, así mismo, un video de YouTube los guiará por los pasos para configurar una cuenta utilizando un email desechable, algunos datos falsos y estarán listos para usar el portal de pagos como oráculo para las suposiciones.
Para jugar, la persona tiene que ingresar un BIN (Número de Identificación Bancaria), el cual es usado como patrón para generar datos aleatorios de tarjetas de crédito. Luego, cada combinación de tarjeta, CVV y expiración es probada con una simple transacción de un dólar y el portal aceptará o rechazará la transacción. Si la transacción es exitosa, hay un ganador.
El jugador gana parcialmente porque es entretenimiento barato y eventualmente saldrá con una tarjeta robada. Pero técnicamente, el criminal es el verdadero ganador. Tenga en cuenta que entre más gente entre al juego, mayor es la oportunidad que tiene el estafador para encontrar una combinación válida.
En esa instancia, los dueños de las cuentas cuyas tarjetas son adivinadas definitivamente no tienen suerte, aunque sus bancos pueden ser forzados a responder por estos incidentes de fraude. Los proveedores de portales de pago también pierden, considerando que su objetivo es facilitar los pagos, así mismo están facilitando la vía en que se puede descubrir la información válida de una tarjeta de crédito.
“Técnicamente hablando, están dando acceso libre a un oráculo en un escenario en donde un ataque de fuerza bruta podría eventualmente ser muy posible. El peor escenario es donde un jugador logra tomar fotos de tarjetas de crédito y lo único que falta es la información del CVV. Si asumimos una tasa de pruebas de una tarjeta por segundo, un atacante puede estar seguro de conseguir una tarjeta válida dentro de quince minutos”, aseguró Javier Vargas- Research Manager de Easy Solutions.
Resolver las Vulnerabilidades
Para los principiantes, este es el ejemplo perfecto de cómo las tecnologías EMV no resolverán el fraude electrónico en cuanto las transacciones sin tarjeta sigan siendo masivamente adoptadas y más tecnologías faciliten que los pagos en línea estén disponibles. Además, sólo se necesita una buena tarjeta para hacer que todo el esquema sea rentable para todos los involucrados. El peor de los casos es que una tarjeta corporativa sea descubierta y el impacto de eso podría ser devastador para cualquier organización.
Si existe un factor de seguridad en todo esto, recae en la hipótesis de que la creatividad de los criminales online es infinita. Para resolver esto, los sistemas de pago necesitan trabajar juntos para superar estos retos. Asegurar las partes sin pensar en el todo sólo abrirá la puerta a más oportunidades para que los hackers aprovechen las desconexiones y así aumenten las pérdidas por fraude para bancos, empresas y usuarios finales.