Grave Vulnerabilidad en Sistema de Tokenización de Mastercard
El banco digital neerlandés bunq ha descubierto una vulnerabilidad crítica en el proceso de tokenización del Servicio de Habilitación Digital de Mastercard (MDES) que permitió a atacantes realizar fuerza bruta sobre datos de tarjetas de crédito a través de una importante plataforma minorista global. La brecha de seguridad, descubierta el 19 de agosto de 2025, representa una de las vulnerabilidades de sistemas de pago más sofisticadas de los últimos años.
Mecanismo del Ataque
Los cibercriminales explotaron debilidades en la infraestructura de tokenización de tarjetas de Mastercard inundando el sistema con enormes volúmenes de combinaciones de datos de tarjetas. Los atacantes probaron sistemáticamente Números de Cuenta Primarios (PAN) y fechas de vencimiento en rápida sucesión, aprovechando mecanismos de protección insuficientes contra fuerza bruta tanto a nivel del comerciante como de Mastercard.
Una vez confirmadas las combinaciones válidas de PAN/fecha de vencimiento mediante el proceso de tokenización, los defraudadores utilizaron inmediatamente estos datos comprometidos para intentos de pagos de bajo valor a través de cuentas comerciales de PayPal. Este enfoque estratégico les permitió eludir medidas de seguridad estándar, incluyendo verificaciones de Código de Verificación de Tarjeta (CVC) y protocolos de autenticación 3D Secure (3DS) en regiones donde estas protecciones no son obligatorias.
Respuesta Inmediata y Mitigación
Los sistemas avanzados de monitoreo de bunq detectaron la actividad maliciosa tempranamente y reportaron la vulnerabilidad a Mastercard a través de canales de divulgación responsables. Mastercard confirmó la brecha de seguridad e implementó medidas exhaustivas para proteger la infraestructura de tokenización.
La plataforma minorista global afectada fue notificada sobre el abuso de sus sistemas, y todos los usuarios de bunq afectados fueron reembolsados completamente. Como medida preventiva, bunq emitió nuevas tarjetas a los clientes involucrados para prevenir posibles abusos futuros.
Impacto Amplio en la Industria
Este incidente destaca la creciente sofisticación de los ataques a sistemas de pago y la importancia crucial de protocolos de seguridad robustos en la infraestructura de pagos digitales. La tokenización, aunque generalmente considerada segura, requiere supervisión continua y medidas de seguridad adaptativas para prevenir abusos.
Instituciones financieras y procesadores de pagos en todo el mundo están reevaluando sus protocolos de seguridad de tokenización tras este descubrimiento. El incidente sirve como un claro recordatorio de que incluso los marcos de seguridad establecidos requieren vigilancia constante y mejora continua.