Nueva Investigación Revela Fallos de Seguridad en Carteras Digitales Populares

Un artículo de investigación publicado hoy por la Universidad de Massachusetts Amherst ha revelado vulnerabilidades de seguridad significativas en carteras digitales populares como Apple Pay, Google Pay y PayPal. El estudio destaca cómo estas tecnologías, que se proyecta serán utilizadas por más de 5.3 billones de personas para 2026, podrían verse comprometidas debido a métodos de autenticación obsoletos que priorizan la comodidad sobre la seguridad.

El anuncio de la universidad también explica que los investigadores han identificado un fallo en cómo los bancos manejan las tarjetas robadas. Los bancos normalmente bloquean la tarjeta física, pero no se ocupan de las transacciones a través de carteras digitales, donde el sistema de tokens no requiere re-autenticación después de que la tarjeta es reemplazada.

Como resultado, los atacantes aún pueden usar los detalles de las tarjetas robadas para realizar compras, incluso después de que la víctima haya recibido una nueva tarjeta. Esto expone una brecha de seguridad crítica que necesita ser abordada para proteger contra transacciones fraudulentas.

Taqi Raza, uno de los autores del papel, declara en el anuncio: “Cualquier actor malintencionado que conozca el número de la tarjeta [física] puede hacerse pasar por el titular de la tarjeta, […] La billetera digital no tiene un mecanismo suficiente para autenticar si el usuario de la tarjeta es el titular de la misma o no.”

Además, el estudio revela que los atacantes pueden explotar estas billeteras digitales por diversos medios. En primer lugar, pueden agregar la tarjeta bancaria de una víctima a su propia billetera, eludiendo el acuerdo de autenticación entre la billetera y el banco.

En segundo lugar, explotan la confianza inherente entre la billetera y el banco para eludir la autorización de pago. En tercer lugar, los atacantes pueden manipular los tipos de pago para eludir las políticas de control de acceso, permitiéndoles realizar compras no autorizadas a pesar de que la tarjeta se haya reportado como robada.

El estudio examinó las vulnerabilidades en los principales bancos de los EE.UU. y las aplicaciones de monederos digitales, revelando que incluso después de que los bancos fueron notificados, los problemas persisten. Los investigadores descubrieron que los nuevos detalles de tarjetas se vinculan al antiguo token virtual sin reautenticación, lo que permite la continuación de actividades fraudulentas.

Para abordar estos problemas, el estudio propone varias contramedidas. Una recomendación importante es reemplazar los obsoletos sistemas de contraseñas de un solo uso (OTP) por métodos de autenticación multifactorial (MFA) más seguros.

Además, el estudio sugiere implementar una autenticación continua para la gestión de tokens y así mejorar la seguridad. Actualmente, los tokens de pago permanecen válidos indefinidamente después de la autenticación inicial. La recomendación es que los bancos utilicen una re-autenticación periódica y actualizaciones de tokens, especialmente después de eventos críticos como la pérdida de una tarjeta.

Finalmente, la investigación recomienda mejorar la autorización de transacciones mediante el análisis de metadatos de transacciones, como el tiempo y la frecuencia, para distinguir entre transacciones únicas y recurrentes. Esto ayudaría a prevenir el mal uso de las etiquetas de transacciones y garantizaría que las transacciones coincidan con los tipos y montos previstos.