Investigadores de las universidades de Surrey y Birmingham, en el Reino Unido, demostraron en vivo una falla en Apple Pay que permite cobrar cualquier cantidad desde un iPhone bloqueado, sin que el dueño autorice nada.
El ataque fue reproducido por el canal Veritasium en colaboración con el youtuber MKBHD, quien tuvo $10.000 debitados de su propia tarjeta mientras el teléfono estaba boca abajo, con la pantalla apagada y sin ninguna interacción.
La falla combina la funcionalidad de Tarjeta Exprés para Transporte con una brecha en el protocolo de seguridad específico de las tarjetas Visa.
Qué es la Tarjeta Exprés para Transporte
La Tarjeta Exprés para Transporte es una función de Apple Pay creada para facilitar el uso del móvil en torniquetes de metro y autobuses.
La idea es simple: en lugar de desbloquear el dispositivo cada vez que pasas por el torniquete, el iPhone detecta automáticamente la señal del terminal de transporte y autoriza el pago al instante.
Sin Face ID, sin contraseña, sin ninguna acción por tu parte.
Es una función práctica y tiene sentido en este contexto. Nadie quiere retrasar la fila del metro en hora punta.
El problema es que los investigadores descubrieron cuál es la señal exacta que envía un torniquete al iPhone para activar este modo.
Luego reprodujeron esa señal con su propio equipo, engañando al dispositivo.
Para el iPhone, era como si estuviera acercándose a un torniquete de metro. Pero no lo estaba.
Cómo un pago de $10.000 pasa sin verificación
Con el iPhone creyendo que está en un torniquete, la primera barrera ya está superada: el dispositivo no pide ser desbloqueado.
Pero aún existen otras dos protecciones.
El iPhone diferencia entre transacciones de alto y bajo valor, y exige confirmación del usuario en las de mayor importe. Y el terminal de pago, al recibir la respuesta del iPhone, verifica si esa confirmación realmente ocurrió.
Los investigadores evitan ambas.
Interceptan los datos transmitidos por el aire entre el iPhone y el terminal y modifican dos bits de información: uno que clasifica el valor de la transacción como “bajo” (aunque sea de $10.000) y otro que indica al terminal que el usuario ya confirmó el pago (aunque no haya hecho nada).
El banco recibe todo como válido, lo aprueba y el dinero desaparece.
Por qué esto solo ocurre con Visa
Este ataque no funciona con Mastercard.
La diferencia está en una capa de seguridad que Mastercard exige en todas las transacciones: una firma digital entre la tarjeta y el terminal que hace imposible modificar los datos sin ser detectado.
Si alguien altera cualquier información en el camino, la firma no coincide y la transacción es rechazada.
Visa solo exige esta capa en situaciones específicas, como cuando el terminal está offline (algo común en metros subterráneos).
Los investigadores se aseguran de que el terminal esté online durante el ataque, y así Visa simplemente no activa la verificación más robusta.
La vulnerabilidad existe en esta combinación específica: iPhone con Tarjeta Exprés para Transporte configurada con una tarjeta Visa.
Tampoco funciona en Android. Dispositivos Samsung, por ejemplo, en modo transporte solo aceptan transacciones por proximidad de valor cero y cobran el total después.
Un terminal intentando cobrar $10.000 de una sola vez sería rechazado inmediatamente.
Qué dijeron Apple y Visa
Apple afirmó que el problema es de Visa.
Visa admitió que esta posibilidad existe, pero le resta importancia al problema.
Asegura que el fraude a gran escala es improbable, que cuenta con sistemas de detección eficaces y que, si ocurre, el consumidor puede impugnar el cargo y será reembolsado.
La postura de ambas empresas hoy es exactamente la misma que en 2021, cuando la vulnerabilidad fue divulgada por primera vez. Cuatro años, cero cambios.
Lo que hace que la respuesta de Visa sea especialmente difícil de aceptar es que la solución técnica ya existe y ya está en uso. Mastercard resuelve este problema exigiendo una firma digital entre la tarjeta y el terminal en todas las transacciones, lo que hace imposible alterar los datos en tránsito sin ser detectado.
Visa podría hacer lo mismo. No es una limitación técnica, es una decisión.
En lugar de cerrar la brecha, Visa señala el bajo índice de fraude sin contacto (2 centavos por cada 100 dólares en transacciones presenciales) y su política de reembolso como respuesta suficiente.
Pero esto traslada la carga al consumidor: detectar el cargo indebido, contactar al banco, impugnar la transacción y esperar.
Quien despierte con $10.000 menos en su cuenta sentirá el impacto antes de que llegue cualquier reembolso.
Cómo protegerse
La solución más directa es desactivar la Tarjeta Exprés para Transporte en tu iPhone.
Para hacerlo, ve a Ajustes > Wallet y Apple Pay > Tarjeta Exprés para Transporte > Ninguna.
Conviene verificarlo porque esta función se activa automáticamente cuando añades una tarjeta compatible a Apple Pay, muchas veces sin que lo notes.
Si usas Apple Pay solo con Mastercard, no hay riesgo por esta vulnerabilidad específica. Pero si tienes una tarjeta Visa configurada como tarjeta de transporte, se recomienda actuar ahora.
El video completo de Veritasium, con la demostración en vivo y la explicación técnica detallada de cómo funciona el ataque, está justo debajo.
