Pagar desde el celular: ¿es seguro?

TECNOLOGÍA 

"Muchas. Suficientes como para que enumerarlas no sea práctico”, reconoció Hugo Köncke, experto en seguridad informática en DATASEC, cuando Revista Domingo le consultó qué herramientas han demostrado tener los ciberdelincuentes para intervenir en una práctica que se volvió habitual durante la pandemia por COVID-19: pagar con el celular. Esto es cómodo, por supuesto, y también ha ayudado a limitar la interacción entre las personas en tiempos de contagio, pero genera riesgos que hay que saber cómo prevenir para no lamentar.

Este año, entre el avance tecnológico y la emergencia sanitaria, el surgimiento de métodos de pago sin efectivo, el aumento de las compras en línea y el uso de smartphones para comprar llevó a una mayor adopción de los métodos de pago móviles. Según un comunicado de la empresa de seguridad informática ESET, a nivel global, Apple Pay, Google Pay, PayPal, Venmo y WeChat Pay se encuentran entre las aplicaciones de pago móvil más popular. Una que se utiliza en la región es Mercado Pago.

La Reserva Federal de los Estados Unidos divulgó en una encuesta reciente que los pagos en efectivo solo representan el 26% del total de todos los pagos; mientras que las tarjetas de crédito y de débito y los métodos de pago electrónico cubren el 65%. Una cantidad más que apetecible para los cibercriminales.

Un usuario que usa su móvil para pagar una cuenta se enfrenta “a los mismos riesgos cuando accede a su cuenta bancaria mediante una app diseñada a esos efectos”, apuntó Köncke. “La línea de fondo es que, dependiendo de muchos factores, un delincuente podría llegar a robar dinero de la cuenta asociada para pagar con el celular. ¿Cómo podría hacerlo? Depende de las características de la implementación específica. No hay una única forma para esto”, agregó.

Lo que hay es una lista larga poco práctica. Pero, si hay que resumir, se puede decir esto: los ciberdelincuentes buscarán la forma de introducirse en el celular de la víctima sin que esta lo advierta para tomar el control parcial o total del dispositivo. “Así, podrán escuchar llamadas, el sonido ambiente, encender la cámara, leer y enviar mensajes, instalar programas y usar los que están instalados. De esa forma, una aplicación de pago mediante el celular, igual que una de acceso a una cuenta bancaria, dependiendo de sus características de seguridad, podría llegar a ser usada sin que el usuario legítimo se diese cuenta a tiempo”, analizó el experto.

En un comunicado, ESET recuerda que los cibercriminales podrían acumular cargos en las tarjetas, vaciar cuentas o sobrecargar el saldo; este incidente puede dañar la calificación crediticia del usuario con el banco, con otro tipo de consecuencias, como la dificultad para la obtención de un préstamo o hipoteca en el futuro.

A modo de ejemplo, los investigadores de ESET descubrieron un troyano que se hacía pasar por una app para optimizar el rendimiento de la batería, que apuntaba a los usuarios de la aplicación oficial de PayPal e intentaba transferir US$ 1.200 a las cuentas del atacante.

Lo primero que según ESET se debe hacer para proteger “el dinero de teléfono” y las billeteras digitales es habilitar todas las medidas de seguridad: desbloqueo biométrico (escaneo facial, escaneo de retina, escaneo de huellas dactilares) y patrón de bloqueo. De esta manera, es más difícil (no imposible) que alguien pueda ingresar al teléfono o usar las aplicaciones de pago ya que estas requieren que el usuario verifique su identidad.

Köncke enseñó otras maniobras defensivas: “Asegurarse que el desarrollador o proveedor de la aplicación utilizada haya adoptado las medidas necesarias para que, aun en el caso que el celular resulte atacado e infectado con software malicioso, la app de pago (o de gestión bancaria) no resulte afectada”. En este sentido, el experto de DATASEC indicó que es “responsabilidad social” de los bancos o servicios de ofrecer apps seguras, al tiempo que los usuarios “deben exigirles” que así sea. Y, como siempre, verificar qué es lo que se va a instalar antes de otorgarles permisos.