{"id":498,"date":"2018-04-25T09:15:45","date_gmt":"2018-04-25T14:15:45","guid":{"rendered":"http:\/\/si.uniblog.uo.edu.cu\/?p=498"},"modified":"2018-05-07T19:14:56","modified_gmt":"2018-05-07T19:14:56","slug":"ataques-sistemas-pago-movil","status":"publish","type":"post","link":"https:\/\/blogs.uo.edu.cu\/seginf\/?p=498","title":{"rendered":"Ataques a los sistemas de pago con m\u00f3viles."},"content":{"rendered":"

\"pago-mst\"<\/a>A partir de que el comercio electr\u00f3nico toma auge en nuestro pa\u00eds y los trabajadores de la UO tienen tarjetas magn\u00e9ticas con las que pueden efectuar pagos, es conveniente alertar sobre el cuidado al utilizar estos medios de pago, pues los \u00abpost\u00bb existente en nuestras tiendas no requieren del uso de la clave, por tal motivo, pueden producirse casos de robo o estafa. Unido a esto se est\u00e1 promoviendo por el sistema bancario un software (\u00abTransfermovil\u00bb) que permite utilizar en los tel\u00e9fonos m\u00f3viles con tecnolog\u00eda Android para operar cuentas bancarias vinculadas a tarjetas magn\u00e9ticas por lo que los riesgos en este sentido se hacen cada vez mayores. Por ello reproducimos el art\u00edculo aparecido en el Blog Segu-Info de Argentina como v\u00eda de elevar la percepci\u00f3n de riesgo al respecto ante posibles acciones de tipo sniffer.<\/p>\n

<\/p>\n

El pago en comercios a trav\u00e9s del m\u00f3vil se est\u00e1 popularizando gracias a las actualizaciones tanto en los smartphones como en los dat\u00e1fonos de las tiendas. Facilita el pago pero hay que saber que tampoco es 100% seguro seg\u00fan la investigaci\u00f3n \u00abAll your payment tokens are mine: Vulnerabilities of mobile payment systems\u00bb presentada en Black Hat Asia [PDF].<\/p>\n

Los pagos m\u00f3viles se est\u00e1n convirtiendo en una buena alternativa para pagar en diferentes locales y comercios que son compatibles con estos, y es que, al fin y al cabo es la forma de pagar m\u00e1s c\u00f3moda que hay, basta con sacar el terminal, desbloquearlo y ponerlo junto al dat\u00e1fono.<\/p>\n

Zhe Zhou, de la Universidad Fudan (China), experto en seguridad inform\u00e1tica de la Universidad Fudan, explicaba hace poco en una charla c\u00f3mo funciona el pago mediante este sistema. Sustituye al pago en efectivo y con tarjeta pero presenta vulnerabilidades que pueden derivar en que los datos del usuario sean robados, seg\u00fan explican en The Register.<\/p>\n

El profesor explic\u00f3 el funcionamiento de estos pagos m\u00f3viles. Cuando el usuario introduce su tarjeta en una aplicaci\u00f3n para realizar los pagos, se genera un n\u00famero identificativo de la tarjeta llamado \u00abtoken\u00bb<\/i>, que es el que llega al banco para cargarlo a la cuenta.<\/p>\n

Cada pago utiliza un token \u00fanico por lo que la forma de poder utilizar ese token es que la persona que quiere robar los datos impida que el susodicho llegue al servidor de pagos. Cada transacci\u00f3n usa un \u00fanico token que s\u00f3lo se puede usar una vez, y por ello, la \u00fanica manera de poder usar el de otra persona fraudulentamente es impedir que llegue al servidor de pagos. Y hay smartphones con transmisi\u00f3n magn\u00e9tica segura que pueden hacer esto, emitiendo energ\u00eda electromagn\u00e9tica a trav\u00e9s de la bobina de la carga inal\u00e1mbrica.<\/p>\n

Zhe dijo que es posible hacerlo para los tel\u00e9fonos inteligentes que pueden emular tarjetas de banda magn\u00e9tica. Los tel\u00e9fonos inteligentes pueden llevar a cabo ese truco gracias a una tecnolog\u00eda llamada \u00abtransmisi\u00f3n magn\u00e9tica segura\u00bb (MST) que los ve emitir energ\u00eda electromagn\u00e9tica de la bobina utilizada para la carga inal\u00e1mbrica. Los tel\u00e9fonos equipados de este modo env\u00edan a los dispositivos de punto de venta los mismos datos que esperan detectar cuando se pasa una tarjeta. Zhe dijo que se espera que el MST tenga un rango de siete cent\u00edmetros, pero el kit comercial que cuesta US$ 25 pudo detectar la onda desde una distancia de dos metros. Al hacerlo, tambi\u00e9n detuvieron la se\u00f1al llegando al punto de venta de terminales y obtuvieron el token no utilizado.<\/p>\n

\"post_pago\"<\/a><\/p>\n

Los pagos con sonido, una t\u00e9cnica utilizada por el sistema \u00abTez\u00bb de Google India, pueden ser secuestrados de manera similar. Zhe dijo que los pagos de sonido se usan a menudo en las m\u00e1quinas expendedoras y que no es dif\u00edcil registrar los c\u00f3digos, ya sea cerca de la m\u00e1quina o con modificaciones inesperadas. Si la m\u00e1quina expendedora utiliza una conexi\u00f3n inal\u00e1mbrica para verificar el token, un jammer lo detiene. De nuevo, el atacante termina con un token v\u00e1lido.<\/p>\n

El ataque m\u00e1s astuto de Zhe se enfoc\u00f3 en los c\u00f3digos QR utilizados como tokens para algunos pagos. Su t\u00e1ctica para tales tokens fue encender subrepticiamente la c\u00e1mara frontal de un tel\u00e9fono inteligente para fotografiar el reflejo de un c\u00f3digo QR en una cubierta protectora del esc\u00e1ner de punto de venta. Este ataque tambi\u00e9n detecta la configuraci\u00f3n del c\u00f3digo QR y cambia sutilmente su apariencia para hacerla ilegible. El malware que ejecuta el ataque en el tel\u00e9fono inteligente, sin embargo, logra conservar un c\u00f3digo QR perfecto y utilizable. La t\u00e9cnica tambi\u00e9n se puede usar para elaborar c\u00f3digos QR maliciosos que, cuando se utilizan para pagos de tel\u00e9fonos inteligentes a tel\u00e9fonos inteligentes, se ve la m\u00e1quina de la v\u00edctima dirigida para descargar y ejecutar malware.<\/p>\n

El investigador dijo que revel\u00f3 sus descubrimientos al proveedor de pagos m\u00f3viles m\u00e1s grande de China, y que revoc\u00f3 r\u00e1pidamente las versiones de sus aplicaciones y prometi\u00f3 asegurarse de que sus productos busquen y destruyan cualquier proceso utilizando las c\u00e1maras frontales de los tel\u00e9fonos.<\/p>\n

Concluyo recomendando que todos los intercambios de tokens para pagos m\u00f3viles deben cifrarse y a\u00f1adir un mecanismo de desaf\u00edo y respuesta. Tambi\u00e9n dijo que los tokens de pago m\u00f3vil siempre est\u00e1n vinculados a una sola transacci\u00f3n, por lo que los tokens no se pueden reutilizar.<\/p>\n

Fuente:http:\/\/blog.segu-info.com.ar\/2018\/04\/ataques-los-sistemas-de-pago-con-moviles.html<\/p>\n

Im\u00e1genes Relacionadas:<\/h3>","protected":false},"excerpt":{"rendered":"

A partir de que el comercio electr\u00f3nico toma auge en nuestro pa\u00eds y los trabajadores de la UO tienen tarjetas magn\u00e9ticas con las que pueden efectuar pagos, es conveniente alertar sobre el cuidado al utilizar estos medios de pago, pues … Sigue leyendo →<\/span><\/a><\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"footnotes":""},"categories":[2,5,6,11,13,14,15,18,19,20,21,24,28],"tags":[],"class_list":["post-498","post","type-post","status-publish","format-standard","hentry","category-amenazas","category-claves-de-acceso","category-codigos-malignos","category-dispositivos-moviles","category-hackers","category-incidentes","category-informaciones","category-password","category-percepcion-de-riesgo","category-phishing","category-piratas-informaticos","category-prevencion","category-seguridad-informatica"],"_links":{"self":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts\/498","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=498"}],"version-history":[{"count":2,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts\/498\/revisions"}],"predecessor-version":[{"id":632,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts\/498\/revisions\/632"}],"wp:attachment":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=498"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=498"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=498"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}