Parece que una falla de seguridad en el metro de Nueva York expone aparentemente una vulnerabilidad «imposible» en Apple Pay.

Parece que una falla de seguridad en el metro de Nueva York expone aparentemente una vulnerabilidad «imposible» en Apple Pay.

Actualización: La falla de seguridad de MTA ha sido eliminada, pero la pregunta sobre Apple Pay aún sigue en el aire. Consulta el final del artículo. Se ha revelado una grave falla de seguridad en el metro de Nueva York que permite a cualquier persona con conocimiento del número de tarjeta de crédito y fecha de vencimiento de un usuario rastrear todos los viajes realizados en los últimos siete días. Pero lo que es aún más preocupante es que la vulnerabilidad se aplica a los viajes en los que se utilizó Apple Pay para acceder a las estaciones, a pesar de que esto debería ser completamente imposible…

Apple Pay Express Transit en el metro de Nueva York
Si bien la mayoría de los sistemas de metro comenzaron exigiendo tarjetas de tránsito dedicadas, ahora la mayoría también acepta tarjetas de pago sin contacto, lo que también permite utilizar Apple Pay. Para agilizar aún más el proceso de pasar por las barreras de entrada y salida, Apple introdujo posteriormente Apple Pay Express Transit. Si eliges tener esta función activada, no necesitas el proceso de autenticación habitual de Apple Pay, que implica el uso de Face ID en tu iPhone o presionar dos veces el botón lateral de tu Apple Watch desbloqueado. En su lugar, simplemente puedes tocar tu teléfono o reloj contra el lector de pagos sin contacto. Aunque esto podría permitir un mal uso en caso de que alguien tome posesión física de tu dispositivo, las transacciones se supervisan para asegurarse de que los patrones de uso sean consistentes con un solo pasajero, por lo que el riesgo de fraude es muy bajo. Todas las demás características de seguridad de Apple Pay siguen aplicándose, incluidos los códigos de un solo uso.

Falla de seguridad en el metro de Nueva York
El sistema de metro de la ciudad de Nueva York es administrado por la Autoridad Metropolitana de Transporte (MTA). Si bien el sitio web de MTA ofrece la posibilidad de abrir una cuenta que requiere autenticación para acceder a los registros de viaje, también ofrece acceso instantáneo a los últimos siete días de historial de viaje utilizando solo los detalles de la tarjeta. Solo se necesitan el número de tarjeta de crédito y la fecha de vencimiento, ni siquiera el código de seguridad de tres o cuatro dígitos, conocido como CSC, CVC o CCV, que suele estar en el reverso de las tarjetas de pago físicas. Esto significa que todo lo necesario para acceder al historial de viajes de la última semana se encuentra en el frente de la mayoría de las tarjetas de pago.

404Media confirmó esta falla de privacidad del metro de Nueva York rastreando a un usuario, con su permiso, utilizando solo los detalles de su tarjeta de crédito. En un sábado por la tarde a principios de este mes, el objetivo ingresó al metro de Nueva York. Sabía en qué estación ingresaron al metro y a qué hora exacta. Luego ingresaron en otra estación unas horas más tarde. Si hubiera seguido monitoreando a esta persona, habría descubierto la estación de metro desde la que suele comenzar un viaje, que está cerca de donde vive. También sabría a qué hora exacta esta persona puede ir al metro cada día. Durante todo este seguimiento, no me encontraba cerca del pasajero. Ni siquiera necesitaba verlo con mis propios ojos. En su lugar, estaba sentado dentro de un apartamento, siguiendo sus movimientos a través de una función en el sitio web de la Autoridad Metropolitana de Transporte (MTA), que opera el sistema de metro de la ciudad de Nueva York. Con su consentimiento, había ingresado la información de la tarjeta de crédito del pasajero, datos que a menudo son fáciles de comprar en mercados criminales o que podrían ser triviales para que una pareja abusiva los obtenga, y los ingresé en el sitio de MTA para OMNY, el sistema de pagos sin contacto del metro. Después de unos segundos, el sitio mostró el historial de viajes del pasajero durante los últimos 7 días, sin necesidad de ninguna otra verificación.

De alguna manera, los viajes realizados con Apple Pay también quedan expuestos
Apple Pay está diseñado para ofrecer protección contra este tipo de falla. En lugar de que los detalles reales de tu tarjeta de pago se transmitan a un terminal de pago, se utiliza un código de un solo uso, conocido como criptograma de pago, junto con un número de dispositivo. El banco o la entidad financiera pueden conciliar algoritmicamente estos dos números con la cuenta de la tarjeta real, pero ni Apple ni el comerciante deberían tener acceso a los detalles reales de tu tarjeta de pago. En este caso, el comerciante es la MTA, y no debería poder ver el número real de tu tarjeta de pago. Sin embargo, el sitio descubrió que al ingresar el número de la tarjeta de pago física del objetivo, se revelaban todos los viajes que habían realizado utilizando Apple Pay. 404 Media descubrió que la función de historial de viajes de MTA sigue funcionando incluso cuando el usuario paga con Apple Pay. Apple le dijo a 404 Media que no almacena ni tiene acceso a los números de tarjeta utilizados, ni los proporciona a los comerciantes, incluidos los sistemas de transporte. Apple no respondió cuando se le pidió aclarar cómo funciona la función del sitio web de MTA cuando un pasajero usa Apple Pay.

Opinión de 9to5Mac
La falla de seguridad de MTA aquí es inexcusable. Es una decisión completamente estúpida permitir solicitudes de historial de viajes sin autenticación. Como dice el artículo, esto es una gran falla de privacidad que puede ser fácilmente utilizada por acosadores. Pero lo que es aún más preocupante es que los detalles reales de la tarjeta de pago se están recopilando de alguna manera cuando se utiliza Apple Pay. Se supone que es un requisito básico de seguridad y privacidad de Apple Pay que ni el comerciante ni Apple tengan acceso a los detalles reales de tu tarjeta, solo a un código que es diferente para cada transacción. Esto significa, por ejemplo, que si las bases de datos de una empresa son hackeadas y se obtienen los detalles de la tarjeta de crédito, solo se exponen los códigos de un solo uso y los números de dispositivo de Apple Pay, lo que hace que los datos sean inútiles. Esta prueba, si es replicada por otros, parece indicar que existen circunstancias en las que las transacciones de Apple Pay pueden transmitir los detalles reales de la tarjeta física a un comerciante. Esto no debería ser posible y requiere una investigación inmediata por parte de Apple.

Actualización: 1 de septiembre
Comentario principal de Alex
Apple no comparte el número real de la tarjeta. El proveedor de servicios de tokens de la red de pago/emisor asigna el número de cuenta del dispositivo al número de tarjeta. Para mejorar la privacidad en este caso, debería ser obligatorio realizar una Autenticación Fuerte del Cliente (SCA), como se exige para los pagos en Europa con PSD2, para esta capacidad de búsqueda de transacciones. Por otro lado, en Estados Unidos probablemente no exista una legislación similar, ya que disfrutan de la libertad de tener menos privacidad. 😅

Engadget informa que MTA ha desactivado la función de búsqueda sin autenticación. «Esta función estaba destinada a ayudar a nuestros clientes que desean acceder a sus historiales de viaje de tocar y pagar, tanto pagados como gratuitos, sin tener que crear una cuenta OMNY», dijo Eugene Resnick, portavoz de MTA, en un comunicado a Engadget. «Como parte del compromiso continuo de MTA con la privacidad del cliente, hemos desactivado esta función mientras evaluamos otras formas de atender a estos clientes». Esto deja sin respuesta la pregunta de cómo las transacciones de Apple Pay revelaban los números de tarjeta física. Algunos han sugerido que Express Transit es una excepción al enfoque de código de un solo uso, con el fin de rastrear tanto la entrada como la salida en los sistemas de metro con barreras en ambos extremos. Sin embargo, esto no tiene sentido ya que el número de dispositivo sería suficiente para este propósito. Nos hemos puesto en contacto con Apple para obtener comentarios y actualizaremos con cualquier respuesta. Foto: MTA/CC2.0 Agrega 9to5Mac a tu fuente de noticias de Google. FTC: Utilizamos enlaces de afiliados que generan ingresos. Más.



Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *