Investigadores revelan vulnerabilidades en pagos contactless de alto valor

Un reciente estudio liderado por la Universidad de Surrey, en colaboración con la Universidad de Birmingham, reveló que las características de conveniencia incorporadas en los sistemas de pago contactless están socavando silenciosamente su seguridad. Este análisis expuso debilidades ocultas que permitieron a los investigadores realizar transacciones no autorizadas de alto valor con algunos de los dispositivos de pago contactless más modernos.

La investigación, que se publicará como parte del 34º Simposio de Seguridad de USENIX y se presentará en DEFCON 2025 en Baréin el 5 y 6 de noviembre, detalla cómo la creciente complejidad de los pagos contactless EMV, utilizados en el 90% de las transacciones en tiendas a nivel mundial, ha descubierto nuevos agujeros que los defraudadores podrían explotar.

Los investigadores revelaron fallas graves en ciertos tipos de pagos EMV contactless, mostrando nuevas formas de eludir las salvaguardias y habilitar transacciones fraudulentas de alto valor. EMV es el estándar global detrás de todos los tipos de tarjetas de débito y crédito de Visa, Mastercard y Europay, que ahora también están integradas en billeteras móviles como Apple Pay, Google Pay y Samsung Pay, así como en relojes y otros dispositivos portátiles. En un caso, un terminal de pago aceptó un pago fraudulento de £25,000.

En la última década, los proveedores de pagos, las redes de tarjetas, los fabricantes de terminales y las plataformas móviles han agregado de manera independiente características adicionales sobre el estándar EMV. Estas incluyen restringir los lectores de tarjetas que están fuera de línea (es decir, no conectados a Internet o a la red de pagos) para transaccionar solo con dispositivos móviles, modos de transporte que permiten a los viajeros pasar rápidamente por barreras sin desbloquear sus teléfonos, así como reglas específicas de la región sobre cómo se ingresa un PIN para transacciones de alto valor.

Estas nuevas características están diseñadas para mejorar la conveniencia o cumplir con regulaciones locales establecidas por los Servicios de Pago, o para soportar características propietarias de Google, Apple o proveedores de pagos PoS (punto de venta). Sin embargo, el estudio encontró que estas características, solas o a menudo en interacción, pueden llevar a inseguridades y, a su vez, a la posibilidad de realizar pagos fraudulentos.

En la práctica, los investigadores demostraron formas de engañar a los terminales para que aceptaran una tarjeta de plástico cuando solo se debería haber permitido un teléfono, o procesar pagos por encima del límite contactless de £100 sin controles de PIN o biométricos.

La profesora Ioana Boureanu comentó: "Los pagos contactless se han convertido en una práctica estándar para millones de nosotros, aparentemente explotando en popularidad de la noche a la mañana durante la pandemia. Desde entonces, hemos visto un mosaico de nuevas características añadidas por diferentes proveedores de pagos, a menudo por las razones correctas, pero no siempre considerando cómo interactúan entre sí.

"Nuestra investigación muestra que esta prisa por agregar nuevas características para mejorar la experiencia de compra o para apoyar nuevos casos de uso a veces ha tenido un costo en la seguridad. En cuanto a nuestros hallazgos, la industria ya ha realizado correcciones prometedoras, pero aún hay necesidad de una mejor coordinación entre los proveedores para asegurar que la conveniencia no cree nuevas oportunidades para el fraude."

El estudio es el primero de su tipo en revelar debilidades críticas específicamente en los PoS fuera de línea, ampliamente utilizados en tiendas, restaurantes y taxis por su conveniencia. Los investigadores encontraron que, para algunos lectores, tanto las restricciones propietarias como las salvaguardias regulatorias podrían ser eludidas, abriendo la puerta a transacciones fraudulentas. En un ejemplo impactante, demostraron que los PoS fuera de línea facilitan mucho más de lo esperado los pagos fraudulentos con Mastercard de alto valor.

Algunos de los ataques destacaron una posibilidad preocupante: los llamados ataques de "almuerzo gratis", donde los defraudadores podrían salir con bienes de alto valor mientras los comerciantes quedan con la factura cuando los pagos son posteriormente rechazados.

El equipo de investigación reportó sus hallazgos a varias partes en 2024 y ayudó a desarrollar soluciones compatibles con EMV para algunas de las vulnerabilidades más serias.

"Los problemas que encontramos no se deben a que las empresas se equivoquen, sino a cómo un sistema tan complejo como EMV puede desarrollar grietas ocultas cuando se agregan nuevas características de manera independiente. Trabajando juntos, podemos cerrar esas brechas y hacer que los pagos contactless sean más seguros para todos", afirmó Tom Chothia.

En el mundo de los pagos contactless en rápida expansión, y con los modernos PoS móviles introduciendo nuevos modelos operativos, los hallazgos subrayan la urgente necesidad de examinar las características de pago adicionales, planteando preocupaciones sobre los riesgos ocultos en un sistema del que millones dependen todos los días.