Una oleada de compras y transacciones fraudulentas ha salpicado a Apple Pay, el flamante sistema de pagos móviles de Apple. Realizadas con lo que parecen números de tarjeta de crédito robados en alguna de las recientes brechas de seguridad que se han producido en Estados Unidos, se calcula que el 80% de estos fraudes, además, han tenido lugar en tiendas de la compañía de la manzana y han involucrado a compras de alto valor.
Apple Pay permite que sus usuarios introduzcan nuevos datos bancarios en su cuenta tomando una fotografía de la tarjeta de crédito en cuestión o de forma manual. Después los bancos se encargan de verificar la identidad de quienes usan esos datos, utilizando distintos procedimientos para comprobarla, como pedirles otros datos adicionales, solicitarles que inicien sesión en su banca online o incluso que llamen a un teléfono de atención personal.
Una vez el sistema acepte los datos introducidos por los usuarios, éstos estarán capacitados para pagar en los establecimientos que admitan este sistema con el simple movimiento de acercar su dispositivo al TPV. Cuando verifiquen el pago -pueden hacerlo mediante el lector de huellas de su teléfono-, el aparato compartirá con el TPV la información de pago necesaria para finalizar la transacción.
La teoría que se maneja respecto al modus operandi de estos delincuentes es que han encontrado agujeros de seguridad, precisamente, en esos procedimientos de seguridad utilizados por los bancos, por los que les ha resultado fácil colarse sin tener que desplegar grandes medios tecnológicos.
“Apple Pay está diseñado para resultar extremadamente seguro y proteger la información personal de los usuarios”, ha asegurado, en referencia al sistema de pagos móviles de la compañía de Cupertino uno de sus portavoces, en declaraciones recogidas por el Wall Street Journal. Pero, aunque Apple Pay no ha detectado que su sistema se haya visto comprometido, sí ha servido de canal a delincuentes que deseaban realizar compras con datos de tarjetas de crédito robados, de lo cual se deduce que quizá no todo el mundo –por ejemplo, las víctimas de un robo masivo de datos- está tan protegido.
El incidente demuestra, además, el amplio período de validez que los datos bancarios robados en una brecha de seguridad tienen para los ciberdelincuentes, que pueden utilizarlos cuando su usuario menos se lo espera. En los últimos años dos robos masivos de datos de tarjetas de crédito han destacado en EEUU por encima de todos: el sufrido por Target en 2013, en el que se calcula que se vieron afectados 40 millones de clientes, y el de Home Depot, un año después, en el que se robó la información de unos 56 millones de tarjetas.
Tras su lanzamiento en Estados Unidos el pasado mes de octubre, Apple Pay se topó con la decisión de algunas importantes cadenas de comercio minorista estadounidenses de “bloquear” su sistema de pagos. No obstante, en sus tres primeros días de vida de este nuevo sistema de pago recibió la información de más de un millón de tarjetas de crédito o débito, lo que representa un alto número de usuarios que decidieron confiar en este servicio, pensado para agilizar los pagos en los establecimientos mediante la tecnología NFC y liberar a sus clientes de billeteras y tarjetas.