Pagar con el móvil en establecimientos se ha ido popularizando en los últimos años gracias a las actualizaciones introducidas tanto en smartphones como en los datáfonos de diferentes comercios. Facilita el pago, haciéndolo mucho más cómodo y rápido, pero tampoco es seguro al 100% como muchos piensan.
Este tipo de pago sustituye al efectivo y a la tarjeta, pero también presenta vulnerabilidades que pueden llevar a que los datos del usuario sean robados, tal y como explican desde Andro4All.
Zhe Zhou, experto en seguridad informática de la Universidad Fudan de China, contaba recientemente en una charla cómo funcionan este tipo de pagos móviles. Cuando el usuario introduce su tarjeta en la app para realizar estos pagos, se genera un número identificativo de dicha tarjeta (llamado token), que es el llega al banco junto con el pago para cargarlo a la cuenta, recogen en The Register.
Zhou explica que cada pago usa un token único por lo que la forma que tiene la persona que quiera robar tus datos de poder usar ese token es impedir que este llegue al servidor de pagos. Existen móviles que pueden hacer esto emitiendo energía electromagnética a través de la bobina de la carga inalámbrica a una distancia que podría llegar a varios metros de distancia si se utilizan los aparatos indicados para ellos. De hecho, y como recogen en The Register, existen kits a la venta para ello en diferentes portales de Estados Unidos por 25 dólares.
Estos móviles usados para robar tokens son capaces de emular tarjetas de banda magnética y pueden realizar el robo gracias a una tecnología llamada «transmisión magnética segura» (MST) que los hace emitir energía electromagnética de la bobina utilizada para la carga inalámbrica. Los teléfonos equipados de este modo envían a los dispositivos de punto de venta los mismos datos que esperan detectar cuando se pasa una tarjeta. De esa forma se hacen con el token antes de que lleguen al servidor de pagos.