Una vulnerabilidad en Apple Pay permite el robo de dinero, la cual ha sido descubierta por un grupo de investigadores afincados en Reino Unido.

Cada vez es menos necesario llevar dinero físico en la cartera gracias a otras opciones, y no hablamos de la tarjeta de crédito. Desde hace unos años se está expandiendo el uso del móvil para pagar en comercios. Gracias a esta opción no es necesario llevar dinero físico y así evitamos, ser atracados no, pero sí minimizar los daños y no tener que estar pendientes de si llevamos lo suficiente. Una de las funciones más usadas se llamada Apple Pay, muy extendida a nivel mundial y usada por millones de personas. Por desgracia, esta opción ya no es tan segura en los tiempos que corren, sobre todo por el auge de la ciberdelincuencia. Al ser una función muy extendida y albergar datos de suma importancia, los ciberdelincuentes no han dudado en poner sus ojos en ello. Una vulnerabilidad en Apple Pay permite el robo de dinero.

Apple Pay, como todo software que se precie, no es perfecto y cuenta con ciertas debilidades. Unos investigadores de Reino Unido han descubierto un exploit que permite a los cibercriminales ejecutar pagos no autorizados desde nuestro dispositivo iPhone. La culpable de la aparición de este fallo es la función «Express Transit», introducida por Apple en iOS 12.3 para realizar pagos en transporte público. Ahora bien, ¿Cómo se usa para explotar la vulnerabilidad? Según los investigadores, los lectores de billete emiten una secuencia de bytes no estándar que se salta la pantalla de bloqueo del terminal. Los investigadores, usando una imitación de un lector, lograron engañar a Apple Pay para que procesara datos. Cabe destacar que solo funcionó con Tarjetas VISA. Para ello, usaron un lector EMV, gracias al cual consiguieron realizar pagos fraudulentos de hasta 1.000 libras; se desconoce si es la cantidad límite o podría ser mayor.

¿Se está trabajando en solucionar este exploit?

Evidentemente, estamos hablando de un exploit bastante grave, el cual necesita ser parcheado con urgencia. De momento, parece que ni Apple ni VISA están trabajando en una solución a corto plazo para corregirla. O mejor dicho, ninguna de las dos ha confirmado que esté en ello. Imaginamos que, al tratarse de una vulnerabilidad que permite pagos fraudulentos a los cibercriminales, la empresa de Cupertino ya estará manos a la obra. De forma adicional, comentar que VISA ha revelado que Samsung Pay no parece tener la misma vulnerabilidad. Por supuesto, esto no significa que la función de Samsung no pueda ser vulnerada en algún momento. Al final, da igual qué método de pago usemos para nuestras compras; siempre habrá una sombra detrás amenazando con robarnos. Por ello, es necesario extremar precauciones y evitar ataques de phishing, smishing, etc.