Si bien Apple Pay está habilitado para Chile, aún no se activan los bancos que operan en el país para así poder funcionar con el sistema y mientras ello ocurre, lo que se espera con una inusitada ansiedad por parte de los usuarios nacionales, es bueno tener en cuenta algunos aspectos relacionados con la seguridad.
Anticiparse a lo que está ocurriendo en países donde efectivamente opera.
Y es por el hecho que de un tiempo a esta parte, los delincuentes han descubierto que Apple Pay es una de las formas más fáciles de usar la información de tarjetas de crédito robadas, gracias a la facilidad de engañar a los clientes desprevenidos para que entreguen sus códigos de confirmación.
Según un nuevo informe de Motherboard Vice, los delincuentes están utilizando la comodidad y el relativo anonimato de Apple Pay como escudo para “seguir gastando en fiestas con números de tarjetas de crédito y débito robados”.
Un estafador incluso describió Apple Pay como «la forma más fácil de ganar dinero» ahora que los piratas informáticos han desarrollado y distribuido una herramienta diseñada para robar los tokens de autenticación de múltiples factores de las víctimas.
Cuando agrega una nueva tarjeta de crédito o débito a Apple Pay, la aplicación iPhone Wallet lo guía a través de un proceso de verificación para confirmar que la tarjeta le pertenece. Los bancos administran este proceso por completo, por lo que puede diferir significativamente según la compañía que emitió su tarjeta.
En muchos casos, esto implica recibir un mensaje de texto, una llamada telefónica o un correo electrónico con un código de confirmación. Luego, el cliente ingresa ese código de confirmación directamente en la aplicación Wallet y la tarjeta se activa para su uso.
Sin embargo, los delincuentes han comenzado a usar bots diseñados específicamente para robar estos códigos, lo que les permite activar las tarjetas en Apple Pay casi sin esfuerzo y en vez de llamar a una víctima potencial directamente y tratar de «ingeniería social» de su código, estos bots usan scripts de texto a voz con un historial comprobado.
Por ejemplo, el bot podría llamar a la víctima con lo que parece ser un sistema automatizado de su banco, diciéndole que se ha detectado un problema con su cuenta. Luego se le pide a la persona que ingrese el código que el banco le envió a su dispositivo móvil a través de un mensaje de texto.
(Ese método en Chile es usado por delincuentes que simulan ser de un banco o del retail)
Un bot como este se usaría cuando el delincuente agrega una tarjeta robada a Apple Pay que activa un mensaje de texto del banco de la víctima. La persona desprevenida que recibe la llamada puede suponer que el mensaje de texto se generó por otro motivo y proporcionar el código sin darse cuenta de que está dando la información de su tarjeta de crédito.
Este truco no funcionará con todas las tarjetas de crédito y débito, ya que algunos bancos utilizan otros métodos de verificación que son considerablemente más seguros.
Según el reporte, bancos serios de EE.UU han sido burlados en el apartado de seguridad de sus tarjetas.
Lo que hace que esto sea tan atractivo para los delincuentes es que Apple Pay casi no requiere verificación adicional en el punto de venta. Las tarjetas de crédito y débito físicas tienen un riesgo mucho mayor, ya que a menudo requieren que el usuario ingrese un PIN en la terminal o entregue la tarjeta física a un cajero que podría verificar el nombre y sospechar si no coincide con la persona que tiene la tarjeta.
Hay que tener en cuenta que para usar Apple Pay solo se pide la autenticación Touch ID o Face ID del iPhone para verificar la transacción. El cajero no ve un nombre y, en la mayoría de los casos, no se requiere una firma o PIN.
Desafortunadamente, el eslabón débil es el proceso por el cual se agrega una tarjeta a Apple Pay en primer lugar.
MEDIDAS DE RESGUARDO
Esto no es una falla de seguridad por parte de Apple o incluso de los bancos y emisores de tarjetas (en el caso de Chile, doble cuidado pues varias instituciones financieras del país han sufrido ataques serios de ciberdelicuentes)
Un delincuente que ha obtenido información de una tarjeta de crédito robada aún debe pasar por el mismo proceso que un titular de tarjeta legítimo para agregar esa tarjeta a Apple Pay. Nadie ha encontrado una manera de piratear o eludir ese proceso.
Esto es completamente lo que se conoce como un ataque de «ingeniería social y se basa completamente en engañar a las víctimas potenciales para que entreguen sus códigos de verificación con demasiada facilidad.
Lo que lo hace lucrativo para los estafadores, y peligroso para todos los demás, es que estos nuevos bots automatizados permiten contactar a cientos de víctimas potenciales más rápido y sin esfuerzo que nunca.
PREVENCIÓN DE SEGURIDAD
No le dé códigos de verificación a alguien que lo llame por teléfono, sin importar quién diga ser. Si es necesario, ofrezca devolverle la llamada a la persona, pero solo a un número legítimo y publicado para la organización desde la que está llamando.
No llame a un número de teléfono desconocido para proporcionar códigos de verificación. En caso de duda, busque el número legítimo de su banco o compañía de tarjeta de crédito y llame l ellos directamente.
No haga clic en los enlaces de los mensajes de texto a menos que esté absolutamente seguro de que el mensaje proviene de una fuente legítima.
Los códigos de verificación nunca se envían al azar. Si recibe un código de verificación que no ha hecho nada para activar, suponga que se trata de alguien que intenta piratear su cuenta. No le des esa información a nadie.
Un código de verificación nunca es necesario para «asegurar aún más su cuenta». Si le preocupa la seguridad de una cuenta en línea, cambie su contraseña; Si le preocupa la seguridad de su tarjeta de crédito o débito, comuníquese directamente con su banco o emisor de la tarjeta.
La buena noticia es que muchas tarjetas de crédito y débito dependen de métodos de verificación mucho más seguros antes de poder inscribirse en Apple Pay.
Algunos solo se pueden agregar a través de la aplicación iOS del banco, lo que requiere que primero pueda iniciar sesión en su cuenta. Otros requieren que haga una llamada a un ser humano real y verifique la información de su cuenta, luego de lo cual activan un interruptor en su extremo para activar la tarjeta de forma remota.
Tenga en cuenta que Apple está aumentando sus protecciones contra el fraude en Apple Pay. El seguimiento de los detalles, como la ubicación de las transacciones, puede garantizar que, incluso si un estafador logra agregar una de sus tarjetas de pago a su iPhone, rápidamente se marcará como fraudulenta, ya que es poco probable que el ladrón la use cerca de su ubicación actual. .
0
0
44
