Comunicado de Prensa
En el marco de Ekoparty, la conferencia de ciberseguridad más grande de Latinoamérica, tiene lugar la charla “Convirtiendo mi teléfono en un dispositivo de estafa”, que pone al descubierto las vulnerabilidades más comunes en los dispositivos de cobro para realizar ciberestafas.
En el último tiempo, las billeteras virtuales presentaron un crecimiento exponencial, y con ellas, los dispositivos de cobro o MPos. La comodidad de no usar efectivo y la rapidez y practicidad, sumado a la vinculación con algunas de las plataformas de e-commerce más populares, hace que sean elegidas cada vez por más usuarios. Pero también, como indica el dicho popular esto “puede fallar”.
Un grupo de investigadores descubrió que estos dispositivos no están exentos de hackeos: una vez que el atacante toma el control del smartphone que maneja la interacción con los periféricos puede realizar inyección de datos, manipulación de tráfico y hasta cobros a futuro.
La charla “Convirtiendo mi teléfono en un dispositivo de estafa”, es dictada por los argentinos Dan Borgogno e Ileana Barrionuevo, en el Centro de Convenciones Buenos Aires (CEC). Otro hallazgo que se revelará en la convención de hackers más grande de habla hispana, que volvió a la presencialidad y espera recibir un total de 10 mil personas este año.
“Investigamos cómo funcionan estos dispositivos que se conectan al teléfono para poder hacer un cobro en distintas plataformas. Mostraremos los protocolos y las distintas soluciones: desde el lector que está integrado con el teléfono y funciona por Bluetooth, hasta otro similar que ya viene con una pantalla y es más seguro. Rastrearemos qué tipo de datos extraen de la tarjeta estos dispositivos cada vez que hacen un cobro y veremos vulnerabilidades en los distintos procesos, que se deben por un lado a la inadecuada implementación, y por otro, a las conexiones de los lectores de Bluetooth”, comenta Dan Borgogno, uno de los expertos a cargo de la investigación.
De esta manera, advierten que estos dispositivos pueden sufrir ataques de reenvío de información para hacer un cobro a futuro si la persona que está cobrando tiene control total del teléfono, por ejemplo, con un teléfono rooteado, sin el consentimiento ni contando con la tarjeta física del usuario.
“También evidenciamos vulnerabilidades entre los datos que se intercambian entre el frontend y el backend, que permiten reconstruir los datos de una tarjeta para hacer un cobro futuro, sin que la persona que haya hecho el pago sea consciente de esto. Contaremos cómo detectamos un caso de fraude donde se utilizó el dispositivo para poder adivinar el código de seguridad, el CVV de las tarjetas para después hacer un cobro”, explica Borgogno.
Si bien son distintas tecnologías según las distintas soluciones, tienen cosas en común. Sobre todo en cómo deben manejar los procesos de cifrado y manejo de contraseñas para que la información salga de forma segura desde la tarjeta hasta el centro de cobro.
“Son ataques que se pueden detectar fácilmente y los negocios no quieren verse envueltos en este tipo de fraude o estafas, ya que lógicamente perjudican su reputación en las distintas plataformas”, finaliza el especialista.
