Descubren puntos débiles en la seguridad de billeteras digitales

Se estima que los monederos electrónicos, también conocidos como billeteras digitales, serán utilizados por más de 5.300 millones de personas para el año 2026.

Estos sistemas ofrecen una seguridad mayor que la disponible en las formas tradicionales de pago, pero se basan en métodos de autentificación un tanto anticuados.

Según un nuevo y polémico estudio, esos métodos de autentificación y una cierta tendencia de los bancos a relajar un poco la seguridad de las transacciones a cambio de hacer mucho más fácil su gestión, han conducido a la aparición de puntos débiles en la seguridad de diversos monederos electrónicos.

El estudio lo ha realizado un equipo de ingenieros informáticos encabezado por Raja Hasnain Anwar, de la Universidad de Massachusetts en Amherst, Estados Unidos, y se ha centrado en entidades bancarias y de monederos electrónicos de Estados Unidos.

El principal problema que ha permitido la existencia de esos puntos débiles es, en palabras de Taqi Raza, del equipo de investigación, que para los monederos electrónicos se tiene una confianza incondicional entre el titular de la tarjeta de crédito, el monedero electrónico y el banco.

Y no hay suficiente coordinación entre las partes implicadas.

En los escenarios típicos investigados por el equipo, los usuarios empiezan introduciendo en el monedero digital el número de su tarjeta de crédito o débito, denominado número de cuenta principal (PAN, por sus siglas en inglés).

La identidad del usuario se autentifica como el titular legítimo de la tarjeta de crédito o débito con un dato, como un código postal o los cuatro últimos dígitos de su número de la seguridad social.

Después, cada vez que se realiza una compra, el monedero electrónico oculta el PAN y comparte un “token” (unidad de valor) con el sistema del vendedor.

El sistema del vendedor adjunta el token a la transacción.

Esta información vuelve a pasar por la red de pagos del banco, que convierte el token de nuevo en el PAN.

A continuación, el banco liquida el pago al vendedor en nombre del cliente sin revelar nunca el PAN al vendedor.

Los autores del estudio comprobaron que, por desgracia, hay maneras en que gente desaprensiva puede eludir pasos de este sistema y conseguir hacer compras con tarjetas de crédito ajenas.

Para comprobar esos puntos débiles y lo que permiten hacer, los investigadores emplearon sus propias tarjetas de crédito y no realizaron ningún acto catalogable de ilegal durante esas pruebas de seguridad.

Los bancos y empresas de monederos electrónicos, en Estados Unidos, que resultaron tener esos puntos débiles, fueron alertados en privado por los autores del estudio, mucho antes de que este se hiciera público.

Esto ha permitido darles a esas entidades tiempo suficiente para eliminar esos puntos débiles.

La mayoría de los problemas que condujeron a esos puntos débiles surgieron de nuevas características ofrecidas por bancos, como por ejemplo la de poder añadir una misma tarjeta de crédito a varios teléfonos móviles.

Aunque estos puntos débiles específicos ya han sido resueltos, los autores del estudio siguen recomendando a los usuarios de monederos electrónicos que mantengan una buena vigilancia de estos y de todo lo asociado a ellos:

Que tengan activadas las notificaciones por correo electrónico avisando de cuando se añade o se elimina una tarjeta de su monedero electrónico, que tengan activadas las alertas que, mediante mensaje de texto por teléfono móvil o de otras maneras, avisan de la realización de cada transacción, que regularmente revisen los extractos de sus tarjetas de crédito y que también verifiquen periódicamente qué dispositivos están enlazados a sus tarjetas de crédito.

Fuente: Usenix