Vulnerabilidades en Square y PayPal comprometen puntos de venta móviles

Cerrados sitios web falsos PayPal

Se revela la existencia de bugs en puntos de venta que impactan a los sistemas de pago móvil

Diversas vulnerabilidades en el software de dispositivos de punto de venta móviles(mPOS) han reveladas. Estos servicios se utilizan en lectores de tarjetas móviles que han surgido como un controlador de pagos alternativo y menos costoso para las pequeñas y medianas empresas.

Investigadores en seguridad en redes informáticas han revelado fallas de seguridad en diferentes dispositivos mPOS de proveedores como Square, SumUp, iZettle y PayPal que comprometerían la privacidad de los datos de los usuarios.

El jueves pasado, expertos en seguridad en redes informáticas discutieron sobre las vulnerabilidades presentes en las máquinas de mPOS que podrían permitir a comerciantes inescrupulosos atacar las cuentas de los clientes o para extraer datos de tarjetas de crédito.

Según los investigadores, los atacantes que operen estos dispositivos de cobro no sólo podían cambiar la cantidad cargada en una tarjeta de crédito, sino que también podrían forzar a los clientes a usar otros métodos de pago, como la banda magnética, método que puede verse comprometido más fácilmente que un chip para extraer datos de una tarjeta.

El equipo de expertos en seguridad en redes informáticas descubrió un conjunto de vulnerabilidades en los sistemas de los dispositivos mPOS, incluidos fallos de seguridad que permitían a hackers realizar variantesd de ataque Man-in-The-Middle (MiTM), transferencias de código arbitrario a través de Bluetooth y aplicaciones móviles, y la opción de manipular los valores de pago para las transacciones de banda magnética.

Estos ataques fueron posibles debido a cómo funcionan los sistemas mPOS. Estos dispositivos se conectan vía Bluetooth con las aplicaciones móviles, que luego envían datos de pago a los servidores del sistema de pagos; al interceptar las transacciones, es posible manipular valores, así como también obtener acceso al tráfico de transacciones.

Por si fuera poco, los atacantes también pueden ejecutar remotamente código en sistemas comprometidos. Investigadores en seguridad en redes informáticas del Instituto Internacional de Seguridad Cibernética dicen que a través de este defecto de seguridad, los hackers pueden obtener acceso al sistema operativo completo de un lector de tarjetas, así como alterar la información de una compra.

Las vulnerabilidades han sido reportadas a las empresas involucradas. Consultores de seguridad en redes informáticas ya están trabajando con las empresas comprometidas para solucionar los problemas de seguridad.

Se cree que estas fallas de seguridad habrían permitido a los atacantes realizar extracciones de cajeros automáticos.