Skip to main content

¿Pueden los hackers robarte usando Apple Pay? Visa dice que no

Apple Pay en acción
(Image credit: Apple)

Después de que unos investigadores de ciberseguridad afirmaran que delincuentes pueden robar dinero usando Apple Pay sin la autorización del usuario, Visa ha respondido que este supuesto no es cierto.

Según los investigadores de la Universidad de Birmingham y de la Universidad de Surrey, puedes usar un iPhone bloqueado para realizar un pago inalámbrico por NFC explotando una función de Apple Pay llamada Express Transit, diseñada con Visa para que los viajeros paguen rápidamente en el metro o el autobús.

Pero Visa asegura que sus pagos son seguros y que este tipo de ataque no puede reproducirse fuera de un laboratorio.

TechRadar necesita tu opinión

Estamos estudiando cómo utilizáis los VPN con sitios de streaming como Netflix para poder mejorar nuestro contenido y ofreceros mejores consejos. Esta encuesta no te llevará más de 60 segundos. Te agradeceremos enormemente que compartas tus experiencias con nosotros.

>> Pulsa aquí para hacer la encuesta en una nueva ventana <<

"Las tarjetas Visa conectadas a Apple Pay Express Transit son seguras y los titulares deben seguir utilizándolas con confianza", Visa ha respondido a TechRadar Pro en un comunicado.

Según Visa, estos tipos de fraudes sin contacto "se han estudiado en entornos de laboratorio durante más de una década y han demostrado ser poco prácticos para ejecutar a escala en el mundo real". La compañía afirma que " Visa se toma muy en serio todas las amenazas a la seguridad, y trabajamos incansablemente para reforzar la seguridad de los pagos en todo el ecosistema."

Engañando al iPhone

El hackeo implica el uso de un pequeño equipo de radio disponible en cualquier tienda de electrónica. Hay que colocarlo cerca del iPhone para hacerle creer que se está junto con un cobrador de billetes para entrar en el metro o el autobús. Al mismo tiempo, un teléfono Android ejecuta una aplicación desarrollada por los investigadores que transmite la señal NFC del iPhone a otro terminal de pago sin contacto.

Como el iPhone cree que está pagando al entrar en un medio de transporte, lo puede hacer mientras sigue bloqueado. Es decir, sin autorización del usuario porque la cantidad de la transacción es muy reducida. Pero, en el otro extremo, la aplicación personalizada de Android modifica las comunicaciones del iPhone con el terminal de pago, que piensa que un iPhone ha sido desbloqueado y el pago de la cantidad que sea ha sido autorizado legítimamente.

En un vídeo de demostración, los investigadores muestran cómo engañan a un iPhone para que haga un pago con Visa de 1.000 libras sin desbloquear el teléfono ni autorizar explícitamente el pago

Según los investigadores, el teléfono Android y el terminal de pago utilizados en el hackeo no necesitan estar cerca del iPhone de la víctima. Pero sí el aparato que dispara el NFC, que está conectado a Internet.

"[El hacker] puede estar en otro continente siempre que haya una conexión a Internet [con el aparato NFC]", dijo a la BBC la doctora Ioana Boureanu, de la Universidad de Surrey.

Según Apple, esto es un problema con el sistema de pago de Visa. Y Visa dice que no hay problema.

¿Os habéis enterado? Pues nosotros tampoco.

Mayank Sharma

With almost two decades of writing and reporting on Linux, Mayank Sharma would like everyone to think he’s TechRadar Pro’s expert on the topic. Of course, he’s just as interested in other computing topics, particularly cybersecurity, cloud, containers, and coding.