Logran hackear el pago sin contacto de un iPhone pero Visa, a quien compete esta vulnerabilidad, alega que es imposible ejecutarla fuera de un laboratorio

Los usuarios de iPhone pueden usar Apple Pay para pagar sin contacto sus compras. Con solo desbloquear el móvil y acercarlo al datáfono se inicia la transferencia. Sin embargo, dentro de esta funcionalidad hay una característica que ofrece Visa en los terminales de Apple y que permite pagar sin contacto y sin desbloquear el móvil.

Esta característica de Apple Pay que desarrolla Visa sirve para agilizar los pagos en los tornos del metro o del autobús, y permite que el usuario pueda simplemente acercar su dispositivo sin tener que haberlo desbloqueado o abierto la aplicación.

El problema: unos expertos en ciberseguridad han descubierto una vulnerabilidad que permite aprovechar esta funcionalidad de pago sin contacto y sin necesidad de desbloquear el móvil para, literalmente, interceptar cuantiosas sumas de dinero de sus víctimas.

Apple ha explicado a la BBCque la vulnerabilidad no les compete a ellos, sino a Visa. Visa, por su parte, también ha alegado que los pagos que garantizan en su funcionalidad son seguros y que los ataques de este tipo eran "impracticables" fuera de un laboratorio o de cualquier otro entorno controlado.

La característica hackeada es Express Transit, o "modo de transporte exprés" según la traducción al español que hace la propia compañía de la manzana. Para garantizar la agilidad en los pagos al embarcar en transporte público, Visa ha desplegado en flotas de autobuses y estaciones de metro unos dispositivos a los que aproximar el iPhone para ejecutar estos pagos con el móvil bloqueado.

Apple Pay, el servicio de pago sin contacto de los iPhone, podría ser el próximo frente antimonopolio para Apple

La vulnerabilidad está en el sistema de Visa dentro de Apple Pay. Esta brecha, presente en este sistema de transporte exprés, la han descubierto investigadores de Ciencias de la Computación de las universidades de Surrey y de Birmingham. Para demostrar sus hallazgos, han compartido un vídeo en el que se ve cómo extraen 1.000 libras esterlinas de un iPhone bloqueado.

A este vídeo solo ha accedido por el momento la BBC. La emisora británica omite varios detalles de la investigación para evitar que esta pueda ser aprovechada por criminales informáticos, pero en resumidas cuentas lo que han hecho los investigadores es incorporar un componente de radio que emite una interferencia entre la superficie del dispositivo de Visa y el iPhone.

Se trata de un equipamiento de radio pequeño y que es fácil de conseguir en tiendas. Ese dispositivo interfiere la señal del iPhone con la terminal de Visa para que el dinero del teléfono objetivo acabe en un lugar distinto a las cuentas del transporte público al que se esté subiendo el usuario. Como el iPhone cree que se está comunicando con un torno de metro, no necesita desbloquearse.

Con las señales intervenidas, una app desarrollada por los investigadores ejecuta al mismo tiempo la operación del iPhone objetivo hacia un datáfono, que puede ser el de un negocio o un datáfono que esté controlado por los criminales.

De hecho, esta app funciona en Android y tanto el móvil Android que la esté ejecutando y el datáfono que reciba el dinero interceptado no tienen que estar cerca de la víctima: pueden estar incluso en la otra punta del mundo.

Ponle un mantel a tu teléfono: descubren cómo hackear asistentes de voz con ondas ultrasónicas que tú no oirás pero tu smartphone sí

Aunque Visa alega que se trata de una vulnerabilidad que no se puede producir fuera de un entorno controlado, los investigadores británicos sí han advertido que un iPhone robado o perdido, aunque esté bloqueado, sí puede ser susceptible de ser asaltado dinerariamente con esta técnica. Sin embargo, es cierto que cuando un usuario pierde su teléfono suele bloquear sus pagos y su terminal.

"Nos tomamos las amenazas a la seguridad de nuestros usuarios muy en serio. Esta vulnerabilidad concierne al sistema de Visa, pero Visa no cree que este tipo de fraudes puedan tener lugar en el mundo real dado las múltiples capas de seguridad que hay en el proceso", zanjaba un portavoz de Apple en declaraciones a la BBC.

"En el improbable caso de que un pago no autorizado como este acabe ocurriendo, Visa ha dejado claro que sus usuarios también están protegidos por otras políticas de Visa".

Andreea Radu, doctora y responsable de la investigación en la Universidad de Birmingham, no se ha mostrado tan convencida. También en declaraciones a la emisora pública británica: "Hay cierta complejidad técnica, pero las recompensas para los atacantes son elevadas (...). En unos pocos años esto podría convertirse en un problema real".