Los investigadores encontraron una vulnerabilidad en el sistema de pago de Apple Pay y Visa. Después de encontrar un error que los estafadores podrían utilizar para eludir las medidas de seguridad y realizar compras ilimitadas sin contacto, los investigadores han instado a los usuarios de iPhone a cancelar Visa como tarjeta de transporte utilizando Apple Pay.
Expertos de la Universidad de Birmingham y la Universidad de Surrey expresaron su preocupación de que la falla podría usarse para realizar transacciones desde un iPhone en el equipaje de alguien sin que esta persona lo sepa.
Hay un fallo de seguridad en el sistema de pagos de Apple Pay y Visa
Se dice que el problema ocurre sólo con Apple Pay cuando una tarjeta Visa está configurada como Express Travel Card, también conocida como modo Express Transit. El equipo utilizó un equipo de radio simple para engañar al iPhone haciéndole creer que se estaba comunicando con una puerta de tránsito cuando en realidad era un lector de pagos. Esto se logró detectando un código único enviado por las puertas de tránsito, que luego se usó para interferir con las señales entre el iPhone y el lector de tarjetas de una tienda.
El Dr. Tom Chothia de la Universidad de Birmingham dijo: “Los propietarios de un iPhone deben verificar si tienen una tarjeta Visa configurada para pagos de tránsito y, de ser así, deben desactivarla. No hay necesidad de que los usuarios de Apple Pay estén en peligro, pero hasta que Apple o Visa solucionen este problema, lo estarán”.
Las pruebas del grupo encontraron que los controles de detección de fraude de back-end no pudieron evitar que se realizara ningún pago. Los investigadores dijeron que hablaron con Apple y Visa sobre la vulnerabilidad, afirmando que ambos reconocieron la importancia del problema subyacente pero aún no han llegado a un acuerdo sobre quién debería implementar una solución.
“Se han estudiado variaciones de esquemas de fraude sin contacto en entornos de laboratorio durante más de una década y se ha demostrado que no son prácticos de ejecutar a escala en el mundo real”, dijo una portavoz de Visa. “Visa se toma muy en serio todas las amenazas a la seguridad y trabajamos incansablemente para fortalecer la seguridad de los pagos en todo el ecosistema”, añadió.
Entonces, Apple respondió: “Nos tomamos muy en serio cualquier amenaza a la seguridad de los usuarios. Esta es una preocupación con el sistema Visa, pero Visa no cree que este tipo de fraude pueda ocurrir en el mundo real dadas las múltiples capas de seguridad implementadas. En el improbable caso de que se produzca un pago no autorizado, Visa ha dejado claro que sus titulares de tarjetas están protegidos por la política de responsabilidad cero de Visa”.
Apple y Visa no pudieron llegar a un acuerdo
La Dra. Andreea Radu, líder del estudio, comentó que: “Nuestro trabajo muestra un claro ejemplo de una característica destinada a hacer la vida cada vez más fácil, lo que resulta contraproducente y afecta negativamente a la seguridad, con consecuencias financieras potencialmente graves para los usuarios”.
“Nuestras conversaciones con Apple y Visa revelaron que cuando dos partes de la industria tienen parte de culpa, ninguna está dispuesta a aceptar la responsabilidad e implementar una solución, dejando a los usuarios vulnerables indefinidamente”, añadió.
El fallo de seguridad no se aplica a otras combinaciones, como Mastercard en iPhones o Visa en Samsung Pay. Los hallazgos completos de los investigadores se presentarán en el Simposio IEEE sobre Seguridad y Privacidad de 2022.
