descubren y exponen nuevas vulnerabilidades en billeteras virtuales


Durante el segundo día, expertos en ciberseguridad mostraron ataques a Mercado Pago, Getnet, Ualá Bis y Naranja X.

Las billeteras virtuales ganaron mucha popularidad durante estos últimos años. La comodidad de no llevar efectivo encima, la velocidad de las transacciones y la facilidad para descargar las apps hicieron que millones de usuarios las adopten. Sin embargo, como todo lo digital, siempre están expuestas a ser vulneradas.

Dos investigadores en ciberseguridad expusieron una serie de vulnerabilidades en medios de pago electrónicos durante el segundo día de Ekoparty, una de las convenciones de hackers y seguridad informática más grandes de América Latina.

Según contaron Dan Borgogno e Ileana Barrionuevo en su charla “Convirtiendo mi teléfono en un dispositivo de estafa”, las terminales de cobro (MPos) que usan aplicaciones como Mercado Pago, Getnet, Ualá Bis y Naranja X, entre otras, pueden ser abusadas por estafadores expertos en informática.

“El objetivo de la charla fue mostrar cómo ciertas cuestiones que se implementan mal le permiten a los delincuentes abusar y lograr, por ejemplo, hacer compras que el usuario no hizo”, contó a Clarín Borgogno.

Si bien hay mucha ingeniería social detrás de los ataques, esto es, engaños a los usuarios o el famoso “cuento del tío” digital, las plataformas pueden ser vulneradas de diversas maneras. Y en la exposición contaron casos puntuales con detalles técnicos para los asistentes, entre los que se encuentran expertos en seguridad informática y hackers de toda la región.

Los ataques

Mercado Pago es una de las aplicaciones más testeadas. Foto Maxi Failla


Mercado Pago es una de las aplicaciones más testeadas. Foto Maxi Failla

“En uno de los ataques mostramos cómo con un teléfono rooteado [alterado] se puede intervenir una transacción de Mercado Pago: haciendo lo que se llama ‘tampering’, el atacante puede quedarse con toda la información del usuario y replicarla en otra compra para su beneficio”, explicó Borgogno.

“De hecho se puede manipular el monto, los datos, todo. Más o menos en 33 horas se puede adivinar el código de la tarjeta con fuerza bruta”, es decir, una forma de ataque que prueba repetidas veces una clave hasta que logra descifrarla, agrega Barrionuevo.

“En otro mostramos cómo con Todo Pago estaba mal implementado el uso de Bluetooth, y hasta detectamos un caso de fraude donde se utilizó el dispositivo para poder adivinar el código de seguridad, el CVV de las tarjetas para después hacer un cobro”, desarrollan los expertos.

Que quede claro: no es simple hacerlo. Pero Borgogno y Barrionuevo trabajan de “red teamers” (equipo rojo), es decir, son contratados para intentar vulnerar plataformas para descubrir problemas antes que los delincuentes. “Nosotros somos ávidos usuarios de estas plataformas, pero también trabajamos para hacerlas más seguras”, explican.

Si existe la posibilidad de que una de estas billeteras virtuales sea vulnerada, el trabajo de ellos es detectarla.

Consejos para evitar estafas

Naranja X , una de las apps testeadas. Foto Clarín


Naranja X , una de las apps testeadas. Foto Clarín

Los expertos contaron además que los usuarios pueden tener ciertos recaudos para no ser vulnerados.

No conectarse a redes de WiFi desconocidas nunca: mucho menos a la hora de hacer un pago. No compartir contraseñas, no tenerlas anotadas en una aplicación de notas o documentos en la nube y siempre activar el doble factor de autenticación”, aconsejó Barrionuevo.

Y agregó un detalle no menor: pedir el posnet a la mesa a la hora de hacer un pago con una tarjeta, ya que si la perdemos de nuestra vista, podrían clonarla o extraer sus datos para hacer compras.

Sin embargo, todo el punto de la charla que dieron apuntó precisamente a que las aplicaciones mejoren sus medidas de seguridad.

“Del lado de las aplicaciones, todas deberían ofrecer doble factor de autenticación a los usuarios. E incluso deberían dejar que el usuario elija cuál usar. Y también deberían notificar siempre al cliente cuando hay una transacción o cualquier movimiento, para que pueda advertir cualquier anomalía”, cierra Barrionuevo.

En total, Ekoparty nuclea más de 40 charlas entre oradores internacionales y locales en el Centro de Convenciones Buenos Aires (Figueroa Alcorta 2099) . La entrada es gratuita y la agenda se puede consultar completa acá.

Ekoparty, edición 2022. Foto Juan Manuel Foglia


Ekoparty, edición 2022. Foto Juan Manuel Foglia

Mirá también