Imagina que tu iPhone está en tu bolsillo, completamente bloqueado, ¡y aun así alguien logra retirar miles de dólares de tu billetera digital sin tocar la pantalla ni usar reconocimiento facial! Esto puede sonar a ciencia ficción, pero sucedió en un experimento real, aunque controvertido. Investigadores de seguridad de las Universidades de Surrey y Birmingham llevaron a cabo un sofisticado ataque contra el iPhone del popular YouTuber Marcus Brownlee (MKBHD), logrando retirar la asombrosa cantidad de 10 000 dólares de su dispositivo bloqueado.
Truco de transporte a toda velocidad
El ataque, destacado por el popular canal Veritasium, explota una vulnerabilidad en el Modo Tránsito Exprés de Apple Pay. Esta función permite realizar pagos rápidos en estaciones de metro y autobús sin necesidad de desbloquear el iPhone ni usar Face ID. Sin embargo, los investigadores encontraron una forma de engañar al teléfono para que creyera que se encontraba en una puerta de acceso a una estación de transporte público cuando en realidad estaba frente a un lector de tarjetas falso.
Esto requiere acceso físico al dispositivo y equipo especializado. Se utiliza un lector NFC conectado a una computadora portátil para interceptar la conexión. Posteriormente, se modifica la identificación del lector NFC para que coincida con las identificaciones de terminales autorizadas, y los datos de pago recopilados se envían a otro teléfono (un teléfono comprometido) que se coloca cerca de un lector de tarjetas legítimo para completar el robo.
¿Por qué específicamente las tarjetas Visa?
Lo interesante de esta vulnerabilidad es que solo funciona con una combinación muy específica: un iPhone y una tarjeta Visa. Resulta que el problema no reside en el sistema operativo de Apple, sino en los protocolos de seguridad de Visa para gestionar las transacciones de transferencia exprés. El ataque no funciona con tarjetas Mastercard ni American Express porque estas compañías utilizan métodos de seguridad diferentes que no se pueden burlar de la misma manera.
Los usuarios de dispositivos Samsung y del servicio Samsung Pay también están a salvo de este tipo de ataque, lo que obliga a Visa y a Apple a esclarecer quién es el responsable de esta brecha de seguridad que permite eludir los límites de las transacciones tradicionales y retirar enormes sumas de hasta miles de dólares en una sola operación.
¿Deberías preocuparte por tu dinero?
En respuesta a este incidente, Apple declaró que el problema estaba relacionado con el sistema Visa y que era improbable que se produjera un fraude de este tipo en la vida real debido a la complejidad técnica y el acceso físico necesario. Visa, por su parte, recalcó que sus tarjetahabientes están protegidos por una política de "responsabilidad cero", lo que significa que cualquier transacción fraudulenta de esta naturaleza puede recuperarse fácilmente.
En pocas palabras, no deberías preocuparte.
Los expertos creen que llevar a cabo un ataque de tal magnitud en la calle sería extremadamente difícil, pero sirve como un importante recordatorio de que la tecnología, por muy segura que sea, siempre puede contener vulnerabilidades inesperadas. Si te preocupa, el consejo más sencillo es evitar usar una tarjeta Visa como método principal para "Fast Transit" en tu iPhone, o simplemente desactivar la función si no utilizas el transporte público compatible.
Fuente:
Comentario de 5