Los pagos sin contacto son vulnerables a fraudes con teléfonos móviles robados o perdidos

Un experto en seguridad advierte que el equilibrio entre los pagos sin contacto y los estándares de seguridad necesarios para proteger esas transacciones se ha inclinado demasiado en la dirección equivocada.

Los pagos sin contacto son vulnerables a fraudes con teléfonos móviles robados o perdidos - Seguridad | Imagen 1 Newsmatic

En una sesión en Black Hat Europe 2021 esta semana, Timur Yunusov, un experto en seguridad de Positive Technologies, explicó las fallas en las aplicaciones de pago sin contacto que podrían llevar a fraudes utilizando teléfonos móviles perdidos o robados. Yunusov se especializa en seguridad de pagos y aplicaciones.

Índice de Contenido
  1. Vulnerabilidad en tarjetas Visa
  2. Corrigiendo las fallas en las aplicaciones de pago móvil

Vulnerabilidad en tarjetas Visa

Según Yunusov, la falta de autenticación de datos offline permite este tipo de explotación, a pesar de que existen especificaciones de EMVCo que cubren estas transacciones.

"El único problema es que ahora grandes compañías como MasterCard, Visa y AMEX no necesitan seguir estos estándares cuando hablamos de pagos NFC. Estas compañías se separaron a principios de los años 2010 y ahora cada una hace lo que quiere", afirmó.

Las aplicaciones Apple Pay, Google Pay y Samsung Pay son vulnerables a esta amenaza. Sin embargo, parece haber una diferencia si una persona utiliza una tarjeta Visa en lugar de una Mastercard o American Express, según Yunusov.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

"MasterCard considera que la autenticación de datos offline es una parte importante de sus mecanismos de seguridad y se apega a ella", dijo. "Por lo tanto, todos los terminales que aceptan tarjetas MC deben llevar a cabo la autenticación de datos offline, y si falla, la transacción NFC debe ser rechazada".

Según Yunusov, Visa no utiliza este tipo de verificación en todos los terminales de punto de venta, lo que crea la vulnerabilidad. Investigadores de la Universidad de Birmingham también describieron esta falla en un documento llamado "Practical EMV Relay Protection".

En respuesta a la investigación, un portavoz de Visa afirmó que las tarjetas Visa conectadas a billeteras móviles con funciones de transporte son seguras y que la mayoría de los esquemas de fraude sin contacto se han estudiado en entornos de laboratorio durante más de una década y se ha demostrado que son poco prácticos para ejecutar a gran escala en el mundo real.

"Se utilizan múltiples capas de seguridad para proteger los pagos y los consumidores se benefician de la garantía de responsabilidad cero de Visa", declaró el portavoz. "Visa se toma en serio todas las amenazas de seguridad y continúa mejorando sus capacidades de seguridad de pago para proteger a los titulares de tarjetas de las últimas amenazas del mundo real".

Corrigiendo las fallas en las aplicaciones de pago móvil

Yunusov sostiene que los fabricantes de teléfonos y las compañías de pago deben trabajar juntos para abordar esta vulnerabilidad. Según él, Apple y Samsung han trasladado la responsabilidad a Visa y Mastercard, a pesar de que el problema no radica en los productos de las compañías de pago.

"Las billeteras móviles se encuentran en una situación favorable: por un lado, las compañías de pago ganan dinero con las transacciones y popularizan sus productos", afirmó Yunusov. "Por otro lado, les dicen a los clientes que si hay algún fraude, se comuniquen con el banco emisor para preguntar por qué permitieron el pago".

Cómo proteger tu computadora de los virus: métodos y consejos

Yunusov sugiere que la solución al problema es considerar el precio, el código del comerciante y el estado del teléfono en cada transacción. Describió el proceso de la siguiente manera:

"Si el pago es de $0.00, el teléfono está bloqueado y el código MCC es de transporte, entonces se trata de una transacción legítima cuando alguien paga en el metro. Pero si el pago es de $100, el teléfono estaba desbloqueado (puede obtener esta información en los datos de la transacción) y el MCC es 'supermercados', lo cual es sospechoso, ya que no debería ser posible que los clientes paguen en supermercados sin desbloquear el teléfono".

El experto recomendó que los desarrolladores aborden estos problemas para mejorar la seguridad de las aplicaciones de pago móvil:

  • Problemas de autenticación y validación de campos en Apple Pay
  • Confusión en criptogramas AAC/ARQC
  • Falta de validación de campos de cantidad para esquemas de transporte público
  • Falta de verificación de integridad del campo MCC
  • Pagos de Google Pay por encima de los límites sin CVM

**Artículo actualizado el 15 de noviembre de 2021 con un comentario de Visa.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Los pagos sin contacto son vulnerables a fraudes con teléfonos móviles robados o perdidos , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.