Si alguna vez has hecho una compra por internet sabrás que para poder pagar con tu tarjeta de crédito o débito, además del número de la tarjeta necesitas indicar también dos valores de verificación: La fecha de caducidad y el código CVV.
El código CVV (Card Verification Value) es un número, normalmente de tres dígitos, que se encuentra en la parte de atrás de las tarjetas. El objetivo de ese número es añadir una capa extra de protección a las transacciones, haciendo que se tenga que confirmar que el cliente tiene acceso físico a la tarjeta.
Un reciente estudio de la Universidad de Newcastle dice que es posible averiguar los valores del código de verificación de tárjetas de crédito y débito VISA, utilizando una red de robots web (programas infomáticos que realizan de forma automatizada tareas en internet) que se aprovechan de una debilidad en los sistemas de pagos con tarjeta en la web, que permiten hacer un número de intentos de códigos erróneos muy alto, a veces incluso ilimitado.
Los pasos que seguirían los ladrones serían los siguientes: primero se hacen con los 16 dígitos de una tarjeta de crédito, ya sea mediante ingeniería social (¿Eres de los que todavía le dan la tarjeta al cajero/a cuando van a pagar?) o usando algoritmos que generan número de tarjeta válidos.
A continuación deben averiguar la fecha de expiración y el CVV de esa tarjeta. Para ello utilizan bots que usando la plataforma de pago de miles de sitios webs de compra, empiezan a probar de forma distribuida las combinaciones de fechas y dígitos. Teniendo una lista de miles de sitios de compras, con hacer menos de 10 intentos por sitio les servirá para encontrar la combinación correcta. El número de posibles combinaciones no es demasiado alto, 999 posibles códigos CVV y menos de 50 posibles fechas de caducidad (teniendo en cuenta que solo se indica mes/año, y que la ventana de caducidad seguramente será inferior a los 5 años).
En el estudio de la universidad de Newcastle apuntan que se pueden obtener los datos de las tarjetas de créditos en tan sólo 6 segundos.
El estudio indica también que esta técnica podría haber sido la utilizada para robar casi 3 millones de euros a la cadena de comercios TESCO en el Reino Unido.