viernes, mayo 01, 2020

Nuevo libro de @0xWord: "Show me the (e-)money". Hacking a sistemas de pagos digitales. NFC, RFID, MSF y Chips EMV.

Desde hoy mismo tienes a la venta en la web de 0xWord el nuevo libro que hemos publicado, dedicado a la investigación y el hacking de los sistemas de pagos digitales, al que hemos llamado "Show me the (e-)money: Hacking a sistemas de pagos digitales. NFC, RFID, MSF y Chips EMV." donde el investigador Salvador Mendoza, conocido como Netxing, cuenta detalles muy interesantes sobre los límites de las tecnologías que dan soporte a los pagos digitales, algunos errores típicos en implementaciones de estos sistemas, y cómo un investigador puedo auditar un esquema de pagos digitales en una plataforma.

Figura 1: Nuevo libro de 0xWord: "Show me the (e-)money".
Hacking a sistemas de pagos digitales. NFC, RFID, MSF y Chips EMV.

Este libro es una recopilación y combinación de herramientas a nivel de hardware, software y metodologías para la explotación de sistemas de pagos digitales. Los programas para crear relays y algunos para ataques de repetición no han sido publicados en ningún otro medio y mucho menos en español. 

Este libro no es una guía de explotación, es una fuente de información para todo aquel estudiante, profesor, hacker o entusiasta que quiera sumergirse en el mundo de los ataques a los sistemas de pagos actuales. Se explican temas como lo son los ataques de repetición desde la información de banda magnética, MST (Magnetic Secure Transmission) que es la nueva tecnología de Samsung Pay, hasta ataques más complejos de relay a la tecnología NFC (Near Field Communication) usada en plataformas smartphones.

Figura 2: Show me the (e-)money. Hacking a sistemas de pagos digitales
por Salvador Mendoza (Netxing)

En los contenidos hay que decir que existe una explicación amplia en los ejemplos del código, de su funcionamiento y de cómo utilizarse. El libro como tal le da al lector la habilidad de buscar, analizar y crear sus propios proyectos usando como base las metodologías aquí expresadas. Muchos de estos proyectos han sido presentados en investigaciones y talleres alrededor del mundo. Esto da como referencia el tener ejemplos de primera mano, ataques reales y la forma en la que estos se pueden llevar acabo. 

Cabe aclarar que no es una guía paso a paso, se le instruye al lector a leer, comprender e investigar por su propia cuenta terminología, conceptos y métodos de abstracción durante el proceso de aprendizaje. Tienes el índice del libro subido a Slidehare.


Salvador Mendoza es un investigador de seguridad enfocado en procesos de tokenización, información de bandas magnéticas, sistemas de pagos y prototipos especializados. Salvador ha presentado sus investigaciones relacionadas con fallas de seguridad en sistemas de pagos y procesos de tokenización en conferencias internacionales como lo son Black Hat USA, DEF CON, DerbyCon, Troopers, HITB y muchas otras.

Durante sus investigaciones Salvador Mendoza (Netxing) ha diseñado diferentes tipos de herramientas para proteger usuarios o para hacer barridos automatizados en la búsqueda de posibles fallas en sistemas de pagos físicos y digitales, en los cuales se incluyen herramientas como MagSpoofPI, BlueSpoof, NFCopy, NFCopy85 Hunter Cat entre muchas otras.

A nivel de comunidad sus aportes se hacen visibles en diferentes repositorios importantes; entre el que se encuentra el repositorio de la compañía Adafruit. Donde su aporte para las tarjetas PN532 a sido considerable desde la emulación de tarjetas hasta lectura de múltiples dispositivos NFC simultáneamente, lo cual no había sido documentado anteriormente.

Figura 4: Contactar con Salvador Mendoza (Netxing) en MyPublicInbox

Además, puedes contactar con Salvador Mendoza (Netxing) a través de su cuenta en MyPublicInbox, por si quieres preguntarle algún tema concreto del libro, o por si quieres contactarle para una conferencia o contratarle para alguna investigación especializada en estas temáticas.

Habíamos pensado en publicar este libro de 0xWord después del periodo de confinamiento, pero al final, visto que se está alargando mucho más de lo que todos desearíamos, hemos decidido publicarlo ya, y que le aplique el descuento que está activo en 0xWord, así que será la primera vez que una novedad se pueda adquirir el día uno de puesta a la venta con un descuento.

Si trabajas auditando la seguridad de empresas que tienen e-commerce, que tienen Terminales Punto de Venta (TPV), en el mundo de la banca, o las finanzas, merece la pena que te leas este texto de cabo a rabo para tener claro por dónde va el mundo de los pagos digitales, qué pueden hacer los cibercriminales, y cómo detectar vulnerabilidades en tus plataformas de pagos.

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)


No hay comentarios:

Entrada destacada

Tu Latch "Hack Your Innovation Contest": Haz un PoC & Hack por 1.000 €

El pasado Telefónica Innovation Day 2024 lanzamos oficialmente el " Tu Latch Hack Your Innovation Contest " en el que repartimos ...

Entradas populares