Falla en Apple Pay, Samsung Pay y Google Pay podría facilitar fraudes en pagos sin contacto desde móviles con tecnología NFC.
El equilibrio entre los pagos sin contacto y los estándares de seguridad necesarios para proteger esas transacciones se han inclinado demasiado en la dirección equivocada, según Timur Yunusov experto en ciberseguridad Senior de la empresa Positive Technologies.
Durante el Black Hat Europe 2021 celebrado a inicio de noviembre, el experto especializado en seguridad de pagos y aplicaciones, explicó las fallas en las aplicaciones de pago sin contacto que podrían conducir a fraudes, al usar teléfonos móviles perdidos o robados.
La clave de este fraude es la conveniencia de pagar los boletos de metro y/o el transporte público sin desbloquear el teléfono. En países como EEUU, Reino Unido, China y Japón se pueden agregar tarjetas de pago a un teléfono inteligente y activar el dispositivo como tarjeta de transporte.
Según Yunusov “para realizar el ataque, los teléfonos inteligentes con Samsung Pay, Google Pay y Apple Pay deben estar registrados en estos países, pero las tarjetas pueden emitirse en cualquier otra región. Los teléfonos robados también se pueden usar en cualquier lugar”. Yunusov y otros investigadores de Positive Technologies probaron una serie de pagos para ver cuánto dinero se podía gastar en una sola transacción a través de este método. Se detuvieron en 101 libras (US$135.34).
Según los investigadores, “incluso los últimos modelos de iPhone nos permitieron realizar pagos en cualquier terminal PoS, incluso si la batería de un teléfono estaba agotada”, siempre que el teléfono usara una tarjeta Visa para el pago y hubiera habilitado el modo Express Transit. Ampliando; con el modo Express Transit habilitado por ejemplo en Apple Pay, no tienes que validar con Face ID, Touch ID o tu contraseña cuando pagas en servicios con Apple Pay desde tu iPhone y Apple Watch, tampoco necesitas activar o desbloquear tu dispositivo, ni abrir una aplicación
Positive Technologies se adhiere a los principios de divulgación responsable, lo que significa que los fabricantes de software son contactados con información sobre el riesgo de seguridad antes de que se haga pública la falla. Si un fabricante no responde por escrito dentro de los 90 días, los investigadores de seguridad se reservan el derecho de publicar los hallazgos sin mencionar información que permita a los ciberdelincuentes explotar una vulnerabilidad descubierta. Sobre esta premisa la empresa declaró que Apple, Google y Samsung fueron notificados sobre las vulnerabilidades detectadas en marzo, enero y abril de 2021, respectivamente.
Según Positive Technologies, las empresas dijeron que no planeaban realizar ningún cambio en sus sistemas, pero pidieron permiso para compartir los hallazgos y los informes con los sistemas de pago. La compañía de seguridad también dijo que sus investigadores se comunicaron con los especialistas técnicos de Visa y Mastercard, pero no recibieron una respuesta.
Yunusov dijo que la falta de autenticación de datos fuera de línea permite aprovechar esta vulnerabilidad, a pesar de que existen especificaciones de EMVCo que cubren estas transacciones. Recordar que EMVCo gestiona y desarrolla las especificaciones de EMV (Europay MasterCard VISA) y los programas de prueba de apoyo que permiten que los productos de pago basados en tarjetas funcionen juntos de forma transparente y segura en todo el mundo.
Según Yunusov “el único problema es que ahora las grandes empresas como MasterCard, Visa y AMEX no necesitan seguir estos estándares cuando hablamos de pagos NFC; estas empresas divergieron a principios de la década de 2010, y ahora todo el mundo está haciendo lo que quiere aquí”. Mientras tanto las aplicaciones Apple Pay, Google Pay y Samsung Pay son vulnerables a esta amenaza.
MasterCard decidió que la ODA (Offline Data Authentication), es una parte importante de sus mecanismos de seguridad y se apegará a ella. Para ampliar, ODA permite la utilización de tecnologías contactless, especialmente en entornos que requieren funcionamiento offline debido a diversas restricciones como pueden ser la falta de comunicaciones o la necesidad de aceptar pasajeros o asistentes a eventos, con gran rapidez para evitar colas. Básicamente, ODA consiste en una serie de claves criptográficas que permiten validar la tarjeta y constituye una suerte de DNI bancario. Es por esto que concluye el emisor que todos los terminales en todo el mundo que aceptan tarjetas MC deben realizar la ODA y, si falla, la transacción NFC debe rechazarse.
En el caso de Visa lo que crea la vulnerabilidad, según el investigador es que no utiliza esta verificación ODA en todos los terminales de punto de venta. A lo que VISA a través de un portavoz dijo, en respuesta a la investigación que las tarjetas Visa conectadas a billeteras móviles con funciones de tránsito son seguras y que la mayoría de los esquemas de fraude sin contacto se han estudiado en entornos de laboratorio durante más de una década y han demostrado ser poco prácticos para ejecutar a escala en el mundo real. Agrego que utilizan múltiples capas de seguridad para proteger los pagos y que los consumidores se benefician de la garantía de responsabilidad cero, para justificar que se toman en serio todas las amenazas de seguridad y desarrolla continuamente sus capacidades de seguridad de pago para proteger a los titulares de las tarjetas de las últimas amenazas del mundo real.
Hay un estudio de la Universidad de Birminghan que describe las fallas de EMV para protegerse contra los ataques de retransmisión (MitM), por medio de la cual se pueden reenviar mensajes entre una tarjeta bancaria EMV sin contacto y el lector del comercio, lo que hace posible el robo de dinero de forma inalámbrica.
Queda claro que los fabricantes de teléfonos y las empresas de pagos, deben trabajar juntos para abordar esta o cualquier otra vulnerabilidad, no obstante; lo que parece que ha ocurrido es que Apple y Samsung han transferido la responsabilidad a los emisores, aunque el problema de fondo no es con estos.
Los pagos móviles están en un punto óptimo, por un lado, las compañías de pago (VISA, MasterCard, AMEX), ganan dinero con las transacciones y popularizan sus productos, mientras que, desde el otro lado, les dicen a los clientes que si hay algún fraude, que se comuniquen con el banco emisor para preguntar por qué permitieron el pago.
Según el investigador, la solución al problema es considerar el precio, el código comercial y el estado del teléfono para cada transacción. Algo así como que; si el pago es de $0.00, el teléfono está bloqueado y el código MCC (Merchant Category Code) es transporte, esta es una transacción legítima cuando alguien paga en el metro.
Pero si el pago es de $100, el teléfono estaba desbloqueado y el MCC (Merchant Category Code) es ‘Supermercados’, debería ser sospechoso porque los clientes no deberían poder pagar en supermercados sin desbloquear el teléfono.
Finalmente recomendó que los desarrolladores aborden estos problemas para mejorar la seguridad de las aplicaciones de pago móviles:
- Problemas con la autenticación de Apple Pay y la validación de campo.
- Confusión en criptogramas AAC (Application Authentication Cryptogram) / ARQC (Authorization Request Cryptogram).
· Falta de validación de campo de cantidad para esquemas de transporte público.
- Falta de comprobaciones de integridad de campo de MCC (Merchant Category Code)
- Pagos de Google Pay por encima de los límites sin CVM (Customer Verification Method)
El igual que Timur Yunusov experto en ciberseguridad Senior de la empresa Positive Technologies, los investigadores de la Universidad de Birmingham, analizan la seguridad práctica de las contramedidas frente a la retransmisión en Mastercard y Visa para EMV, y concluyen que la primera podría potencialmente mejorarse funcionalmente, mientras que la segunda carece de seguridad.
Considere estos elementos a la hora de domiciliar sus medios de pago en dispositivos móviles mediante pagos sin contacto usando NFC (Near Field Communications).
