Al parecer, se ha descubierto una brecha de seguridad en el sistema del metro de Nueva York que aparentemente expone una vulnerabilidad «imposible» en Apple Pay.

Al parecer, se ha descubierto una brecha de seguridad en el sistema del metro de Nueva York que aparentemente expone una vulnerabilidad «imposible» en Apple Pay.

Actualización: Se ha corregido la falla de seguridad del MTA, pero aún queda la incógnita sobre Apple Pay. Consulta el final del artículo.

Falla de seguridad en el metro de Nueva York expone el historial de viajes
Se ha descubierto una grave falla de seguridad en el sistema de metro de Nueva York que permite rastrear los viajes de cualquier usuario en los últimos siete días, si se conoce el número de tarjeta de crédito y la fecha de vencimiento. Lo preocupante es que esta vulnerabilidad también se aplica a los viajes realizados con Apple Pay, a pesar de que esto debería ser imposible.

Apple Pay Express Transit en el metro de Nueva York
La mayoría de los sistemas de metro ahora aceptan tarjetas de pago sin contacto, lo que incluye Apple Pay. Para agilizar el proceso de acceso a las estaciones, Apple introdujo Apple Pay Express Transit. Esta función permite pasar por las barreras de entrada y salida sin la autenticación habitual de Apple Pay, simplemente tocando el teléfono o reloj contra el lector de pagos sin contacto. Aunque esto podría ser utilizado de forma indebida si alguien toma posesión física del dispositivo, las transacciones se supervisan para detectar patrones de uso consistentes con un solo pasajero, por lo que el riesgo de fraude es bajo.

Falla de seguridad en el metro de Nueva York
El sistema de metro de Nueva York es administrado por la Autoridad Metropolitana de Transporte (MTA). Aunque el sitio web de MTA requiere autenticación para acceder a los registros de viaje, también ofrece acceso inmediato al historial de viajes de los últimos siete días solo con los detalles de la tarjeta. Solo se necesitan el número de tarjeta de crédito y la fecha de vencimiento, sin el código de seguridad de tres o cuatro dígitos. Esto significa que toda la información necesaria para acceder al historial de viajes se encuentra en el frente de la mayoría de las tarjetas de pago.

404 Media confirmó esta falla de privacidad rastreando a un usuario utilizando solo los detalles de su tarjeta de crédito. Con su consentimiento, ingresaron la información de la tarjeta en el sitio web de MTA para acceder al historial de viajes del último 7 días, sin necesidad de ninguna otra verificación. Esto revela una grave falla de privacidad que podría ser utilizada por acosadores.

Falla de seguridad en Apple Pay
Apple Pay está diseñado para ofrecer protección contra este tipo de fallas. En lugar de transmitir los detalles reales de la tarjeta de pago, se utiliza un código de un solo uso junto con un número de dispositivo. Sin embargo, se descubrió que al ingresar el número de la tarjeta física en el sitio web de MTA, se revelaban los viajes realizados con Apple Pay. Esto significa que los detalles reales de la tarjeta se están recopilando de alguna manera, lo cual es una violación de la seguridad y privacidad de Apple Pay.

Opinión de 9to5Mac
La falla de seguridad del MTA es inexcusable. Permitir el acceso al historial de viajes sin autenticación es una gran violación de privacidad que puede ser aprovechada fácilmente por acosadores. Además, el hecho de que se estén recopilando los detalles reales de la tarjeta de pago cuando se utiliza Apple Pay es alarmante. Esto va en contra de los principios de seguridad y privacidad de Apple Pay y requiere una investigación por parte de Apple.

Actualización: 1 de septiembre
MTA ha desactivado la función de búsqueda sin autenticación mientras evalúan otras formas de atender a los clientes que desean acceder a su historial de viajes. Aún queda sin respuesta la pregunta sobre cómo las transacciones de Apple Pay revelaban los números de tarjeta física. Se ha contactado a Apple para obtener comentarios.



Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *