Descubren un fallo de seguridad en el Apple Pay del transporte de Londres

En 2019 el transporte público de Londres y Apple firmaron un acuerdo por el cual los usuarios del Transport fot London (TfL) podrían pagar el acceso a sus servicios mediante Apple Pay. La gran novedad del acuerdo estaba en que, para agilizar los accesos por los tornos, los usuarios no necesitaban colocar el dedo en el Touch iD o autenticar su cara con el Face iD. El proceso consiste en acercar el iPhone o el Apple Watch como si fuera el abono.

Dos años después del anuncio de Express Transit los piratas informáticos ya han conseguido atacar a los millones de usuarios que utilizan cada día las líneas de metro y de autobuses. Según informan varios medios ingleses, una falla en Apple Pay cuando se usa una tarjeta de crédito o débito de Visa permite que los ladrones puedan eludir la pantalla bloqueada de un iPhone y realizar pagos sin contacto.

En un video interno de los investigadores en ciberseguridad de los departamentos de Ciencias de la Computación de las Universidades de Birmingham y Surrey se demostró cómo hacer un pago con Visa en Apple Pay y sin contacto por valor de 1.000 libras. 

El proceso consistía en colocar una pieza de radio cerca del iPhone para hacer creer que se trata de una barrera de entrada al Metro. Con un móvil Android ejecutan una aplicación que reciba las señales del contactless del iPhone y ejecutar una compra. Engañan al iPhone para hacer creer que ha sido desbloqueado y el pago debe ser ejecutado. A todo este proceso hay que añadir el problema de la localización ya que el Android y el terminal de pago no necesitan estar cerca de la víctima «puede ser en otro continente desde el iPhone siempre que haya una conexión a Internet», dijo la doctora Ioana Boureanu de la Universidad de Surrey.

Visa y Apple

Visa ya se ha pronunciado sobre el ataque y lo ha calificado de «poco práctico» y ha tranquilizado a los usuarios diciendo que «las tarjetas Visa conectadas a Apple Pay Express Transit son seguras y los titulares de las tarjetas deben seguir usándolas con confianza».

Apple ha cerrado filas con su socio expresando que «nos tomamos muy en serio cualquier amenaza a la seguridad de los usuarios. Esta es una preocupación con el sistema Visa, pero Visa no cree que este tipo de fraude pueda tener lugar en el mundo real dadas las múltiples capas de seguridad en lugar».

En España, la EMT acepta el pago con tarjeta o móvil desde 2019 pero no se ha integrado con Apple Pay

La gran duda la deja la doctora Radu, de la Universidad de Birmingham que dirigió la investigación cuando comenta que «tiene cierta complejidad técnica, pero creo que las recompensas por hacer el ataque son bastante altas, si no se aborda en unos pocos años, esto podría convertirse en un problema real».

En España el pago mediante contactless va llegando poco a poco. La pandemia ayudó en el procesó por el rechazo a pagar con dinero en efectivo por posibles contagios. La Empresa Municipal de Transportes de Madrid (EMT) ya acepta el pago con tarjeta o móvil desde 2019 en un primer paso hacía la integración con Apple Pay.