Gamers ahora disponen en Latam de SSD más fría
El hackaton global realizado en Buenos Aires, Ekoparty, mostró hallazgos de los investigadores sobre wallets, así como hackeos y vulnerabilidades.
Qué no cunda el pánico. Precisamente la función de los hackers éticos y los eventos de ciberseguridad tipo hackaton como Ekoparty es mostrar a personas y empresas cómo y dónde pueden ser atacados por ciberdelincuentes.
Así, en el el marco de la conferencia de ciberseguridad más grande de Latinoamérica que cierra este 3 de noviembre, el encuentro “Convirtiendo mi teléfono en un dispositivo de estafa”, puso al descubierto las vulnerabilidades más comunes en los dispositivos de cobro para realizar ciberestafas.
Estas posibilidad se han hecho más cercanas – y graves – en la mm edida en que las billeteras virtuales se han hecho populares, y con ellas, los dispositivos de cobro o MPos.
La combimación de estas tres tecnologías ha proporcionado comodidad para sustituir el uso de efectivo, sumando eso a la rapidez y practicidad.
Por otra parte, su vinculación con algunas de las plataformas de comercio electronico más populares ha contribuido a su adopción por un número creciente de usuarios.
Más popularidad, más riesgo
Hasta allí llegan las buenas noticias. Los investigadores argentinos Dan Borgogno e Ileana Barrionuevo expusieron en el marco de Ekoparty las vulnerabilidades más comunes descubiertas en los dispositivos de cobro.
Durante su intervención mostraron:
- Cómo funcionan estos dispositivos que se conectan al teléfono para hacer un cobro en distintas plataformas
- Se mostraron los protocolos y las distintas soluciones disponible ds:esde el lector que está integrado con el teléfono y funciona por Bluetooth
- Hasta otro similar que ya viene con una pantalla y es más seguro
Los investigadores mostraron también como han rastreado:
- Qué tipo de datos extraen de la tarjeta estos dispositivos cada vez que hacen un cobro
- Cuáles son las vulnerabilidades en los distintos procesos causadas por una inadecuada implementación, por un lado
- Y, por otro, a las conexiones de los lectores de Bluetooth
Dan Borgogno señaló que:
“Una vez que el atacante toma el control del smartphone que maneja la interacción con los periféricos puede realizar inyección de datos, manipulación de tráfico y hasta cobros a futuro”.
Prevención posible
Tanto Dan Borgogno como Ileana Barrionuevo señalaron durante su intervención que los dispositivos que acceden a nuestra billeteras digitales pueden sufrir ataques de reenvío de información para hacer un cobro a futuro si la persona que está cobrando tiene control total del teléfono.
Esto es posible, por ejemplo, con un teléfono rooteado, sin el consentimiento ni contando con la tarjeta física del usuario.
Los especialistas evidenciaron en su conferencia vulnerabilidades entre los datos que se intercambian entre el frontend y el backend, lo cual también permite reconstruir los datos de una tarjeta para hacer un cobro futuro.
“Contaremos cómo detectamos un caso de fraude donde se utilizó el dispositivo para poder adivinar el código de seguridad, el CVV de las tarjetas para después hacer un cobro”, explica Borgogno.
Por fortuna, Borgogno y Barrionuevo señalaron que todos estos son ataques que se pueden detectar fácilmente.
“Esto es una buena noticia si pensamos que los negocios no quieren verse envueltos en este tipo de fraude o estafas, ya que lógicamente perjudican su reputación en las distintas plataformas”, destacaron.
