Laura Sacristán
Editor SeniorLa comodidad de llevar el móvil siempre encima ha hecho que mucha gente haya empezado a olvidarse del efectivo e incluso de las tarjetas de débito/crédito. Pero los pagos móviles no están exentos de riesgos y así lo ha vuelto a demostrar un experimento realizado por Veritasium al popular youtuber Marques Brownlee.
En esta ocasión, las protagonistas han sido Visa y Apple Pay, concretamente, un fallo de seguridad que se descubrió hace cinco años y sigue sin solucionarse. El resultado, 10.000 dólares menos en la cuenta bancaria del youtuber sin ni siquiera desbloquear su iPhone. Pero tranquilo, ya te adelantamos que las posibilidades de que te pase lo mismo son muy reducidas.
La clave: "engañar" al cifrado del iPhone
Veritasium ha llevado a cabo una prueba con el iPhone del youtuber Marques Brownlee, muy famoso en el mundillo tech, y una tarjeta Visa configurada en el "modo transporte" de Apple Pay, una opción que permite pagar el transporte público en algunos países (España no) sin tener que desbloquear el dispositivo.
Como puede verse en el vídeo, el investigador de Veritasium colocó el iPhone sobre un sistema preparado para interceptar la comunicación NFC, un lector manipulado que ejecuta un ataque de tipo man-in-the-middle mientras actúa como intermediario entre el móvil y un terminal de pago real.
El dispositivo en cuestión logra que el iPhone "crea" que está interactuando con un torno de transporte, de manera que activa automáticamente el modo exprés para autorizar pagos sin necesidad de desbloquearlo de forma biométrica o con un código.
Al mismo tiempo, el sistema manipula los datos de la transacción para que un cargo grande (10.000 dólares) parezca un pago de bajo importe y, de esa forma, el iPhone no solicite ninguna verificación adicional.
Y por último, se vuelve a intervenir la comunicación hacia el datáfono para hacerle creer que el usuario ha autorizado la operación. El resultado final es una transacción de 10.000 dólares con el iPhone bloqueado y sin que su dueño haya tenido que tocar nada.
El problema, que se documentó por primera vez en 2021 y sigue sin solucionarse, está en el protocolo de Visa que gestiona los pagos sin contacto, aunque también influye que el 'modo transporte' está diseñado para funcionar sin conexión y sin autenticación a partir de ciertos datos que llegan desde el terminal. Con esos datos manipulados, el iPhone no puede validarlos correctamente y autoriza el pago.
El ataque, por tanto, combina un determinado hardware con capacidad para manipular las comunicaciones y una debilidad en el sistema de pagos contactless. Además, requiere acceso físico a nuestro dispositivo y una configuración concreta por nuestra parte (Visa en modo exprés para transporte) que en muchos países como España no tenemos.
Ante tantos condicionantes y requisitos, la posibilidad de que un robo así se produzca en la vida real es muy reducida. Pero existe, y este vídeo es la mejor prueba de ello.
Imágenes | Veritasium
En Xataka Móvil | Alemania es el gran rara avis de los pagos móviles en Europa. PayPal allí se utiliza hasta para comprar el pan
Ver 0 comentarios