#MetabaseQ presentó PINATA, la nueva ciberamenaza que ataca al sector financiero, en la 29° edición de DEF CON 2021

93 0

DEF CON se ha convertido en las olimpiadas de la seguridad informática. El comité organizador recibe cientos de investigaciones para ser publicadas durante esa semana. Este año, Metabase Q, empresa de ciberseguridad basada en el análisis y protección inteligente, participó con éxito en la edición número 29 de DEF CON, la conferencia de InfoSec más importante del mundo.

Salvador Mendoza, Investigador de Seguridad del Equipo de Seguridad Ofensiva de Metabase Q, Ocelot, fue seleccionado por cuarta ocasión entre más de 800 investigadores de seguridad para presentar los detalles de su descubrimiento en el escenario principal.

La investigación que llevó a Salvador Mendoza a este pódium internacional fue el descubrimiento a través de tecnología desarrollada in-house del PIN Authomatic Try Attack (PINATA). La vulnerabilidad descubierta, podría permitir a atacantes forzar las 10,000 posibles combinaciones del Número de Identificación Personal (NIP) en tarjetas de contacto de chip Europay, MasterCard y Visa (EMV).

El ataque PINATA (PIN Automatic Try Attack), se aprovecha de una mala implementación del Método de Verificación del Titular de la Tarjeta (CVM, por sus siglas en inglés), así como de un uso inadecuado del criptograma de aplicación que se utiliza para resetear el contador de intentos de transacción. Es decir, que este ataque permitiría reiniciar el contador de intentos del NIP cada vez que llegue a su límite. Este ataque hace alusión a una piñata ya que una vez que atacantes entran al sistema, pueden obtener acceso a toda la información de sus víctimas que se encuentra dentro de este.

“En Metabase Q llevamos investigaciones más a fondo para proteger a usuarios y organizaciones contra pérdidas financieras y daños a su reputación. Encontramos una falla de implementación bancaria que permite sobrellevar más de tres intentos al momento de ingresar el NIP para validar una transacción. Esta vulnerabilidad demuestra cómo una mala implementación puede llevar a que un atacante encuentre el NIP de una persona, incluso sobrepasando los tres intentos que deberían ser suficientes para evitar un ataque de fuerza bruta”, comentó Salvador Mendoza.

Por otro lado, conscientes de los retos y las oportunidades que presenta esta era digital, el Consulado de México en Las Vegas y el equipo de Metabase Q ofrecieron una capacitación de ciberseguridad y un taller de simulación de cibercrisis en línea para la comunidad mexicana y el personal del Consulado, con el objetivo de fortalecer sus conocimientos en la construcción de una ciberseguridad más efectiva.

En el taller “Simulación de Cibercrisis”, impartido por Daniel Aldrete, Chief Information Security Officer de Metabase Q, la audiencia tuvo la oportunidad de vivir un ciberataque en tiempo real y demostrar sus capacidades de reacción y toma de decisiones en materia de ciberseguridad.

La participación de Metabase Q en DEF CON 29 es una muestra de la misión y visión de Mauricio Benavides, cofundador y CEO de la compañía, por posicionar a México y a América Latina como un referente en materia de ciberseguridad.

“Nos enorgullece estar presentes en una de las conferencias de seguridad más relevantes del mundo, intercambiar ideas y compartir conocimientos de nuestras cibercapacidades que identifican y eliminan vulnerabilidades como la presentada en el descubrimiento PINATA, para consolidar a sociedades resilientes en ciberseguridad”, mencionó Mauricio Benavides, Director Ejecutivo y cofundador de Metabase Q, que aseguró que “además, uno de nuestros esfuerzos es conectar a los sectores público y privado para desarrollar un ecosistema digital seguro. Siendo DEF CON un punto de encuentro inigualable de las mentes más brillantes del mundo de InfoSec, creamos valiosos puentes de diálogo con otros países y comunidades para continuar construyendo las bases para un futuro más seguro en México y la región”.

Related Post