Un nuevo estudio revela una laguna en la seguridad de las billeteras digitales, incluso si el titular legítimo de la tarjeta no utiliza una billetera digital

Se estima que más de 5.300 millones de personas utilizarán billeteras digitales, como Apple Pay, Google Pay y PayPal, para 2026. Si bien estas billeteras promueven una mayor seguridad en comparación con los métodos de pago tradicionales, la dependencia de métodos de autenticación obsoletos y la priorización de la conveniencia sobre la seguridad deja a las billeteras digitales vulnerables, según Nueva investigación dirigido por ingenieros informáticos de la Universidad de Massachusetts Amherst.

«Lo que hemos descubierto es [that] «Estas billeteras digitales no son seguras», dice Taqi Raza, profesor adjunto de ingeniería eléctrica e informática y autor del artículo. «La razón principal es que existe una confianza incondicional entre el titular de la tarjeta, la billetera y el banco».

En el ecosistema normal de billeteras digitales, los usuarios comienzan ingresando el número de su tarjeta de crédito o débito, llamado número de cuenta principal (PAN), en la billetera digital. La identidad del usuario se autentica como el titular legítimo de la tarjeta con un dato, como un código postal o los últimos cuatro dígitos de su número de seguro social.

Luego, cada vez que se realiza una compra, la billetera oculta el PAN y comparte un «token» con el vendedor. El vendedor adjunta el token a la transacción. Esta información vuelve a la red de pagos del banco, convirtiendo el token nuevamente en el PAN. Luego, el banco liquida el pago con el vendedor en nombre del cliente sin revelarle nunca el PAN al vendedor.

Lamentablemente, existen formas en las que los actores maliciosos pueden burlar este sistema para realizar compras con las tarjetas de crédito de otras personas. En el artículo se describen los principales bancos y empresas de billeteras digitales de EE. UU. afectados por esto. Se informó a estas empresas de los hallazgos del estudio antes de su publicación y se les dio tiempo suficiente para realizar las mejoras de seguridad necesarias. Los investigadores utilizaron sus propias tarjetas para completar sus pruebas y no se realizó ninguna actividad fraudulenta en estas pruebas de seguridad.

En primer lugar, está la cuestión de la autenticación inicial. «Cualquier actor malicioso que conozca la [physical] «El número de tarjeta puede hacerse pasar por el titular de la tarjeta», dice Raza. «La billetera digital no tiene mecanismos suficientes para autenticar si el usuario de la tarjeta es el titular de la misma o no». Destaca que los métodos de autenticación existentes se pueden eludir fácilmente.

Otro problema es que, una vez que la víctima denuncia el robo de su tarjeta, los bancos sólo bloquean las transacciones realizadas con una tarjeta física, no las realizadas a través de una billetera digital. Los bancos suponen que su sistema de autenticación tiene la seguridad suficiente para impedir que los atacantes añadan la tarjeta de otra persona a su billetera, lo que, como señala Raza, no es el caso.

Una vez que los números de tarjetas robadas se guardan en una billetera digital, es prácticamente imposible que el titular de la tarjeta los desactive. «Incluso si el titular de la tarjeta solicita un reemplazo de la misma, los bancos no vuelven a autenticar las tarjetas almacenadas en la billetera», dice Raza. «Lo que hacen es simplemente cambiar la asignación del número virtual al nuevo número de tarjeta física».

A continuación, se muestra un ejemplo ficticio: el número de tarjeta de crédito de la víctima termina en 0123. Un atacante agrega 0123 a su billetera digital y comienza a realizar compras. Nuevamente, las billeteras digitales funcionan enviando un número virtual al vendedor, por lo que los vendedores reciben el número virtual ABCD y llevan este número al banco para obtener el pago asociado con la cuenta 0123.

La víctima descubre los pagos fraudulentos y solicita al banco que le emita una nueva tarjeta de crédito. El banco envía una nueva tarjeta con el número 4567 y, en el back end, reasigna el número virtual: ABCD ya no se vincula a 0123, sino a 4567. El monedero comienza a mostrar automáticamente la nueva tarjeta a su usuario sin ninguna verificación para que la nueva tarjeta se actualice en el monedero. Los vendedores se dirigen entonces al banco con ABCD, que ahora se ha vinculado a 4567, el número nuevo y activo, y la compra se realiza.

Los investigadores también probaron esta laguna en el lado de la billetera digital de la ecuación y encontraron vulnerabilidades similares. «Queremos [the digital wallet companies] «Los gobiernos también deben asumir cierta responsabilidad, porque están en primera línea de cómo se llevan a cabo estas transacciones», dice Raja Hasnain Anwar, candidato a doctorado en ingeniería eléctrica e informática y autor principal del estudio. «Queremos que tengan una coordinación sólida. Ese es el objetivo del artículo: no la hay. Hay una falta de coordinación».

Destaca que muchos de estos problemas se deben a las nuevas funcionalidades que ofrecen los bancos. «Por ejemplo, se podría compartir la tarjeta dentro de una familia, es decir, se podría añadir una tarjeta a varios teléfonos móviles», explica.

«O si tienes una suscripción a Netflix, la compañía de tarjetas de crédito no quiere que pierdas esa suscripción, por lo que seguirán cobrándote la tarjeta, aunque esté bloqueada. Si los bancos están tratando de trasladar todas sus plataformas de pago a formato digital, deben esforzarse más para que sea seguro. No pueden depender únicamente de la tecnología existente para solucionarlo».

«Se trata de la seguridad frente a la comodidad», añade Raza. «Y hemos descubierto que los bancos dan más prioridad a la comodidad que a la seguridad. La seguridad se da por sentada porque creen que la verificación del dispositivo del usuario que se utiliza es suficiente para la seguridad de la billetera. No es así».

Si bien esta laguna específica se ha resuelto, los investigadores aún recomiendan seguir las mejores prácticas de seguridad: activar las notificaciones por correo electrónico cuando se agrega o elimina una tarjeta de la billetera, activar las alertas de transacciones para tarjetas de crédito, verificar periódicamente los resúmenes de las tarjetas de crédito y revisar los dispositivos vinculados a las tarjetas de crédito a través del portal web del banco o la configuración de la cuenta de la aplicación móvil.