Los investigadores descubren vulnerabilidades que permiten transacciones fraudulentas sin contacto de alto valor

Las características de conveniencia integradas en los sistemas de pago sin contacto están socavando silenciosamente su seguridad, ya que un estudio dirigido por la Universidad de Surrey, en colaboración con la Universidad de Birmingham, expone debilidades ocultas que permitieron a los investigadores realizar transacciones no autorizadas de alto valor con algunos de los dispositivos de pago sin contacto más modernos.

la investigacionpublicado como parte del 34º Simposio de Seguridad de USENIX y que se presentará en DEFCON 2025 celebrada en Bahréin los días 5 y 6 de noviembre, detalla cómo la creciente complejidad de los pagos sin contacto EMV, utilizados en el 90% de las transacciones en tiendas en todo el mundo, ha descubierto nuevas lagunas que los estafadores podrían aprovechar.

Los investigadores revelaron graves fallas en ciertos tipos de pagos EMV sin contacto, mostrando nuevas formas de eludir las salvaguardas y permitir transacciones fraudulentas de alto valor. EMV es el estándar global detrás de todos los tipos de tarjetas de débito y crédito Visa, Mastercard y Europay, que ahora también están integradas en billeteras móviles como Apple Pay, Google Pay y Samsung Pay, así como en relojes y otros dispositivos portátiles. En un caso, se creó una terminal de pago para aceptar un pago fraudulento de £25.000.

Durante la última década, los proveedores de pagos, las redes de tarjetas, los fabricantes de terminales y las plataformas móviles han agregado de forma independiente funciones adicionales además del estándar EMV. Estas incluyen restringir los lectores de tarjetas que están fuera de línea (es decir, no conectados a Internet o conectados a la red de pago) para realizar transacciones solo con dispositivos móviles, modos de tránsito o transporte que permitan a los viajeros atravesar barreras rápidamente sin desbloquear sus teléfonos, así como reglas específicas de la región sobre cómo se ingresa un PIN para transacciones de alto valor.

Estas nuevas funciones están diseñadas para mejorar la comodidad, cumplir con las regulaciones locales establecidas por los servicios de pago o admitir funciones patentadas de Google, Apple o proveedores de pago-PoS (punto de venta). Sin embargo, el estudio encontró que estas características por sí solas, o a menudo en interacción, pueden generar inseguridades y, a su vez, la posibilidad de realizar pagos fraudulentos.

En la práctica, los investigadores pudieron demostrar formas de engañar a los terminales para que aceptaran una tarjeta de plástico cuando solo se debería haber permitido un teléfono, o de procesar pagos por encima del límite sin contacto de £ 100 sin PIN ni controles biométricos.

La profesora Ioana Boureanu dice: «Los pagos sin contacto se han convertido en una práctica estándar para millones de nosotros, y su popularidad aparentemente explotó de la noche a la mañana durante la pandemia. Desde entonces, hemos visto un mosaico de nuevas funciones agregadas por diferentes proveedores de pagos, a menudo por las razones correctas, pero no siempre teniendo en cuenta cómo interactúan.

«Nuestra investigación muestra que esta prisa por agregar nuevas funciones para mejorar la experiencia de compra o admitir nuevos casos de uso a veces se ha producido a costa de la seguridad. En cuanto a nuestros hallazgos, la industria ya ha realizado soluciones prometedoras, pero aún existe la necesidad de una mejor coordinación entre los proveedores para garantizar que la comodidad no cree nuevas oportunidades de fraude».

El estudio es el primero de su tipo en revelar debilidades críticas específicamente en los puntos de venta fuera de línea ampliamente utilizados en tiendas, restaurantes y taxis por su conveniencia. Los investigadores descubrieron que, para algunos lectores, se podían eludir tanto las restricciones de propiedad como las salvaguardas regulatorias, abriendo la puerta a transacciones fraudulentas. En un ejemplo sorprendente, demostraron que los puntos de venta fuera de línea hacen que los pagos fraudulentos de Mastercard de alto valor sean mucho más fáciles de lo esperado.

Algunos de los ataques resaltaron una posibilidad preocupante: los llamados ataques de «almuerzo gratis», en los que los estafadores podrían quedarse con productos de alto valor mientras los comerciantes se quedan con la cuenta cuando los pagos se rechazan posteriormente.

El equipo de investigación informó sus hallazgos a varias partes en 2024 y ayudó a desarrollar soluciones compatibles con EMV para algunas de las vulnerabilidades más graves.

«Los problemas que encontramos no tienen que ver con que las empresas se equivoquen, sino con cómo un sistema tan complejo como EMV puede desarrollar grietas ocultas cuando se añaden nuevas funciones de forma independiente. Trabajando juntos, podemos cerrar esas brechas y hacer que los pagos sin contacto sean más seguros para todos», afirma Tom Chothia.

En el mundo de los pagos sin contacto en rápida expansión, y con los modernos puntos de venta móviles introduciendo nuevos modelos operativos, los hallazgos subrayan la necesidad urgente de examinar las funciones de pago adicionales, lo que genera preocupaciones sobre los riesgos ocultos en el sistema del que millones de personas dependen todos los días.