El estudio de seguridad que nos ocupa, de la Universidad de New Castle, ha tratado de demostrar lo importante de la seguridad en el almacenamiento de datos de clientes. Es decir, cómo influye el sistema de almacenamiento de datos de pago sobre, evidentemente, la seguridad de los compradores que llevan a cabo transacciones económicas a través de Internet. En este estudio se han analizado pasarelas de pago en comercios electrónicos con la intención de romper su seguridad, y en algunos casos lo han hecho con éxito.

Ataques de fuerza bruta contra tiendas de Internet ¿estamos a salvo?

Si no lo sabías ya –seguro que sí- un ataque de fuerza bruta es la consecución de intentos de acceso a un sistema protegido con contraseñas aleatorias hasta dar con la correcta. Es decir, a base de prueba y error, se introducen contraseñas de forma automática y a un ritmo verdaderamente alto hasta que se consigue acceso con las credenciales correctas. Pues bien, lo que han hecho en la Universidad de Newcastle es desarrollar bots que se encargan de esto, pero contra pasarelas de pago en comercio electrónico, y con el objetivo de obtener el número de verificación de la tarjeta de crédito, el CVV.

Como se puede ver en el vídeo anterior, este tipo de ataque funciona en determinadas pasarelas, puesto que no existe un sistema de limitación de intentos fallidos. Y teniendo en cuenta que el CVV de una tarjeta se compone sólo de tres dígitos, el tiempo necesario para hallar la combinación correcta es realmente bajo: sólo 6 segundos hacen falta. El problema, evidentemente, lo tienen este tipo de pasarelas de pago por Internet, y la solución es aplicar restricciones mayores en el acceso –o confirmación de pago, más bien-. Sencillamente se requiere que, como en el uso de contraseñas para el login en servicios de Internet, se deniegue la transacción dada una cifra limitada de intentos fallidos. Cosa, también, de las entidades bancarias.

Fuente: Newcastle University | adslzone