Durante la segunda jornada, expertos en ciberseguridad mostraron ataques a Mercado Pago, Getnet, Ualá Bis y Naranja X.
Las billeteras virtuales han ganado mucha popularidad en los últimos años. la comodidad de no lleves dinero en efectivo Además de eso, la velocidad de las transacciones y la facilidad para descargar las aplicaciones hicieron que millones de usuarios las adoptaran. Sin embargo, como todo lo digital, Siempre están expuestos a ser violados.
Dos investigadores de ciberseguridad expusieron una serie de vulnerabilidades en los medios de pago electrónico durante la segunda jornada de Ekoparty, una de las convenciones de hackers y seguridad informática en América Latina.
Según Dan Borgogno e Ileana Barrionuevo en su charla “Convirtiendo mi teléfono en un dispositivo de estafa”, los terminales de pago (MPos) que utilizan aplicaciones como Mercado Pago, Getnet, Ualá Bis y Naranja Xentre otros, pueden ser abusados por estafadores expertos en informática.
“El objetivo de la charla fue mostrar cómo ciertos temas mal implementados permiten a los delincuentes abusar y lograr, por ejemplo, realizar compras que el usuario no realizó”, dijo a Clarín Borgogno.
Aunque detrás de los ataques hay mucha ingeniería social, es decir, engañar a los usuarios o el famoso “cuento del tío” digital, las plataformas pueden verse comprometidas de diversas formas. Y en la exposición contaron casos específicos con detalles técnicos para los asistentesentre los que se encuentran expertos en seguridad informática y hackers de toda la región.
los ataques
“En uno de los ataques mostramos cómo con un teléfono rooteado [alterado] una transacción de Mercado Pago puede ser intervenida: haciendo lo que se llama ‘tampering’, el atacante puede quedarse con toda la información del usuario y replícalo en otra compra para tu beneficioexplicó Borgoño.
“De hecho, puedes manipular la cantidad, los datos, todo. En más o menos 33 horas podrás adivinar el código de la tarjeta con fuerza bruta”, es decir, una forma de ataque que prueba repetidamente una clave hasta lograr descifrarla, agrega Barrionuevo.
“En otro tratamos de mostrar cómo con Todo Pago estaba mal implementado el uso de Bluetooth, e incluso detectamos un caso de fraude donde se usaba el dispositivo para poder adivinar el código de seguridad, el CVV de las tarjetas para luego realizar un pago”, desarrollan los expertos.
Seamos claros: no es fácil de hacer. Pero Borgogno y Barrionuevo funcionan como “equipos rojos” (equipo rojo), es decir, son contratados para intentar explotar plataformas para descubrir problemas antes que los delincuentes. “Estamos usuarios ávidos de estas plataformas, pero también trabajamos para que sean más seguras”, explican.
Si existe la posibilidad de que una de estas billeteras virtuales se vea comprometida, su trabajo es detectarlo.
Consejos para evitar estafas
Además de advertir sobre las vulnerabilidades, los autores de la charla dijeron que los usuarios pueden tener ciertas precauciones para no ser vulnerados.
“No te conectes a redes wifi desconocidas nunca: mucho menos al realizar un pago. No compartas las contraseñas, no las tengas anotadas en una aplicación de notas o documentos en la nube y siempre activa el factor de doble autenticación”, aconsejó Barrionuevo.
Y añadió un detalle no menor: pide el posnet en la mesa al realizar un pago con tarjeta, ya que si la perdemos de vista, podrían clonarla o extraer sus datos para realizar compras.
Sin embargo, el punto central de la charla que dieron fue precisamente que las aplicaciones mejorar sus medidas de seguridad.
“En el lado de la aplicación, todos deberían ofrecer factor doble autenticación a los usuarios. E incluso deberían dejar que el usuario elija cuál usar. Y también deben avisar siempre al usuario cuando haya una transacción o cualquier movimiento, para que pueda notar cualquier anomalía”, cierra Barrionuevo.
En total, Ekoparty reúne a más de 40 charlas entre ponentes internacionales y locales en el Centro de Convenciones de Buenos Aires (Figueroa Alcorta XXX). La entrada es gratuita y la agenda completa se puede consultar aquí.
