Apple Pay se ha convertido en una de las mejores formas de pagar sin tener que sacar la cartera de tu bolsillo.
El problema es que se ha descubierto una vulnerabilidad que puede hacer que te roben el dinero por usar Apple Pay. ¿Cómo funciona este exploit? ¿Se puede evitar?
Investigadores de Reino Unido descubren un fallo en Apple Pay
Investigadores del Reino Unido han descubierto un fallo en Apple Pay que permite a los hackers realizar pagos sin contacto no autorizados desde su iPhone.
Los investigadores de la Universidad de Birmingham y de la Universidad de Surrey publicaron este jueves un artículo en el que describen el método por el que se puede aprovechar este fallo. Los hackers pueden incluso saltarse la pantalla de bloqueo de un iPhone con este método.
Cuidado con este fallo de seguridad de Apple Pay
La función Express Transit que Apple introdujo por primera vez en iOS 12.3 parece ser la culpable de la vulnerabilidad. Con Express Transit, puedes pagar rápidamente los viajes en transporte público con una tarjeta en la app Wallet.
Como señala Apple en esta página de soporte, no es necesario validar con Face ID, Touch ID o un código de acceso. El Tránsito Express está pensado para ser cómodo, pero también es clave para este exploit.
Se salta la pantalla de bloqueo
Como explican los investigadores, los lectores de billetes transmiten una secuencia de bytes no estándar que es capaz de saltarse la pantalla de bloqueo del iPhone. En su documento de investigación se refieren a ellos como «bytes mágicos».
Esto permite que Express Transit (y otras características similares en otros dispositivos) funcione. Apple Pay comprueba si se cumplen todos los requisitos y, en caso afirmativo, procesa el pago.
Un engaño muy fácil de hacer
Imitando un lector de billetes, los investigadores lograron engañar a Apple Pay para que procesara los pagos sin contacto. Esto solo fue posible con tarjetas Visa, pero fue increíblemente efectivo. Los investigadores dicen que fueron capaces de utilizar un lector de tiendas EMV para realizar pagos fraudulentos de cualquier cantidad desde un iPhone bloqueado. Probaron hasta 1.000 libras, pero puede que no haya un límite.
¿Están trabajando Apple y Visa en una solución?
Por desgracia, ni Apple ni Visa están haciendo nada para parchear esta aterradora vulnerabilidad. Esto es lo que los investigadores recibieron de ambas empresas tras informarles del fallo.
Pero lo más probable es que el gigante con sede en Cupertino ya esté trabajando en una solución a este fallo.
Así funciona el fallo de Apple Pay
Puedes ver cómo los investigadores explotan la vulnerabilidad en este vídeo compartido por The Telegraph.
Apple sugirió que la mejor solución era que Visa implementara comprobaciones adicionales de detección de fraudes, comprobando explícitamente los datos de la aplicación del emisor (IAD) y el código de categoría del comerciante (MCC).
Por su parte, Visa observó que el problema solo se aplicaba a Apple (es decir, no a Samsung Pay), por lo que sugirió que se hiciera una corrección para Apple Pay. En Tamarin comprobamos las posibles soluciones de Apple y Visa y demostramos que cualquiera de ellas limitaría el impacto de la retransmisión. En el momento de escribir este artículo, ninguna de las dos partes ha implementado una solución, por lo que la vulnerabilidad de Apple Pay Visa sigue activa
¿Qué bancos y tarjetas son compatibles con Apple Pay?
Apple Pay es compatible con la mayoría de los principales proveedores de tarjetas de crédito y débito, como Visa, MasterCard y American Express. La tarjeta de Apple también es compatible, como es lógico.
Es necesario utilizar un banco participante, pero la mayoría de los principales bancos ya son compatibles con Apple Pay. Puedes encontrar listas completas de todos los bancos compatibles en cada país haciendo clic en los enlaces correspondientes.
¿Dónde se puede utilizar Apple Pay?
Apple Pay funciona en cualquier lugar que acepte pagos sin contacto. Si ves el símbolo de pagos sin contacto o el símbolo de Apple Pay cerca de los lectores en la caja, aceptarán Apple Pay.
Es compatible con cientos de miles de tiendas y restaurantes de todo el mundo. Más del 75% de las tiendas y restaurantes de Estados Unidos son compatibles con Apple Pay y más del 85% en el Reino Unido. Australia tiene soporte en el 99 por ciento de sus tiendas y restaurantes. Y en el caso de España, el soporte ronda el 65%, por lo que no te faltarán opciones.
¿Hay un límite para Apple Pay?
No, a diferencia de los pagos con tarjeta sin contacto, que te limitan a un gasto determinado, no hay límite para Apple Pay.
Esto significa que puedes pagar tu compra semanal, o llenar el depósito de tu coche, todo con tu iPhone o Apple Watch.
Cómo configurar Apple Pay en un iPhone o iPad
Tienes que utilizar la aplicación Apple Wallet para configurar Apple Pay en tu iPhone o iPad. Apple Wallet almacenará entonces tus tarjetas de crédito y débito, extrayendo los datos cuando autentiques Apple Pay para pagar productos.
En tu iPhone, abre Wallet. En tu iPad, ve a Ajustes > Wallet y Apple Pay. Pulsa Añadir tarjeta de crédito o débito o el «+» en la esquina superior derecha y pulsa «Continuar». Puedes utilizar la cámara de tu dispositivo para capturar la información de tu tarjeta de crédito, débito o de la tienda. A continuación, rellene la información adicional que necesite.
Su banco verificará su información. Es posible que tengas que proporcionar una verificación adicional, lo que puede significar que tengas que llamar por teléfono a tu banco, o que recibas un mensaje de texto con un código único que tendrás que introducir. El proceso cambia según el banco.
Una vez verificada tu tarjeta, pulsa Siguiente y ya puedes empezar a utilizar Apple Pay.
Cómo configurar Apple Pay en el Apple Watch
Para configurar Apple Pay en el Apple Watch, primero tendrás que abrir la app Watch en tu iPhone. Asegúrate de que estás en la pestaña Mi reloj (abajo a la izquierda) > Desplázate hasta Wallet y Apple Pay > Pulsa Añadir tarjeta.
Al igual que en el iPhone, tu banco verificará tu información. Es posible que tengas que volver a proporcionar una verificación adicional. Recibirás una notificación en tu Apple Watch de que tu tarjeta está lista para Apple Pay.