Los delincuentes pueden robar dinero incluso de una tarjeta bloqueada

Un grupo de investigadores de la Universidad de Massachusetts y la Universidad Estatal de Pensilvania ha descubierto vulnerabilidades críticas en las populares billeteras digitales Apple Pay, Google Pay y PayPal. Su estudio, presentado en la reciente conferencia Usenix Security 2024, demostró que los delincuentes pueden añadir números de tarjetas de crédito robadas a sus billeteras digitales y realizar compras con ellas, incluso si el propietario ha decidido bloquear la tarjeta.

Según Raji Hasnain Anwar, doctorando en el Departamento de Ingeniería Eléctrica e Informática de UMass Amherst y autor principal del estudio, el problema radica principalmente en las brechas de los sistemas de autenticación de las aplicaciones de billeteras digitales y los bancos de EE. UU.

Un escenario típico de este tipo de ataque es el siguiente: primero, el delincuente (a quien llamaremos Sasha) roba una tarjeta de crédito. Conociendo el nombre del titular de la tarjeta, impreso en ella, Sasha determina la dirección de la víctima utilizando bases de datos en línea. Luego, intenta añadir la tarjeta robada a varias billeteras digitales. Como cada billetera utiliza diferentes métodos de autenticación, el delincuente elige aquella donde solo se requiera ingresar la dirección o el código postal para la verificación.

Después de esto, Sasha puede seguir usando la tarjeta de crédito, incluso si el propietario la ha bloqueado. El problema es que los bancos no verifican si la billetera realmente pertenece al titular de la tarjeta al actualizar el token de autorización. En su lugar, transfieren automáticamente el token a la nueva tarjeta emitida en sustitución de la pérdida.

Además, los bancos permiten que se realicen transacciones recurrentes, incluso si la tarjeta está bloqueada. Esto también puede ser aprovechado en el ataque. Por ejemplo, Sasha podría registrarse en el sitio Turo.com, añadir la cuenta comprometida como método de pago, y luego reservar y pagar un viaje. A pesar de que la tarjeta de crédito está inactiva, Turo procesará el pago marcándolo como "recurrente".

El delincuente también puede engañar al banco para que utilice métodos de autenticación menos seguros al agregar la tarjeta a una billetera digital. En lugar de una autenticación de dos factores (SMS, correo electrónico o llamada), Sasha puede simplemente ingresar la fecha de nacimiento y los últimos 4 dígitos del SSN, que a menudo se pueden encontrar en fuentes abiertas. En las tiendas, los cajeros tampoco están obligados a verificar la identidad del titular de la tarjeta, siendo suficiente la verificación del dispositivo.

Los investigadores informaron sobre las vulnerabilidades descubiertas a los principales bancos y desarrolladores de billeteras en abril de 2023. Google confirmó que está trabajando en solucionarlas, pero otras compañías aún no han tomado medidas al respecto. Apple, PayPal y Bank of America no han respondido a las solicitudes de comentarios de los periodistas.