No ha sido un buen día para Air Europa: La aerolínea española ha admitido a sus clientes que ha sido víctima de un ciberataque. No hablamos de nada leve, porque la compañía ha pedido a sus clientes que directamente cancelen las tarjetas de crédito que hayan sido utilizadas en sus pagos.
Eso es una señal clara que han conseguido datos suficientes como para utilizar esas tarjetas en nombre sus propietarios, cosa que es lo peor que puede ocurrir en un ataque de este tipo. Ante lo ocurrido, es la hora de repasar porqué esto puede haberse evitado con algo tan sencillo como usar Apple Pay.
Nadie puede robarte el número de la tarjeta si no lo usas al pagar
La razón por la que se puede decir esto radica en lo que compartes en el momento de la transacción. Si en una página web pagas usando una tarjeta de crédito (o débito), introduces ese número en la página web junto con su número de seguridad de tres cifras. Lo que probablemente ha ocurrido según el Security Evangelist de Avast Luis Corrons es un ataque de tipo formjacking, que introduce código malicioso en webs como la de Air Europa para interceptar esos datos y enviarlos al atacante.
Apple Pay evita este tipo de datos porque el número de la tarjeta de crédito que usas a través de este servicio no se comparte en ninguna transacción. Este dato queda protegido bajo una capa de cifrado que ni siquiera Apple puede descifrar por sí sola. Sólo el sitio web que recibe la compra puede verificarlo todo. En las propias palabras que Apple nos ofrece en sus documentos de soporte:
Apple Pay recibe tu transacción encriptada y la vuelve a encriptar con una clave específica del desarrollador antes de que la información se envíe al desarrollador o procesador del pago. Esta clave ayuda a garantizar que solamente la app o el sitio web al que compras puedan acceder a tu información de pago encriptada.
En el caso de los sitios web, deberán verificar su dominio cada vez que ofrezcan Apple Pay como opción de pago. Como ocurre con los pagos realizados en la tienda, Apple envía tu número de cuenta de dispositivo al sitio web o la app junto con el código de seguridad dinámico específico de la transacción. En ningún caso Apple o el dispositivo envían el número de tu tarjeta de pago a la app.
Si no se envía ningún número de tarjeta, no se envía ningún dato que pueda poner en peligro nuestra seguridad. Puede que un ataque de tipo formjacking robe esos datos de la transacción, pero el atacante obtiene algo cifrado con lo que no puede hacer absolutamente nada.
Esto también puede trasladarse a los cajeros: si utilizamos Apple Pay en vez de nuestra tarjeta para sacar dinero, ninguna técnica para clonar esa tarjeta o interceptar datos de la transacción servirá para que alguien saque dinero en nuestro nombre. De ahí a que, simple y llanamente, usar Apple Pay desde Cartera es más seguro que usar una tarjeta de débito o crédito directamente.
Desde Air Europa ya han tomado medidas para solucionar la vulnerabilidad que ha permitido este ataque, pero eso no es garantía de que algo así pueda suceder otra vez. Sin ir más lejos, la misma aerolínea sufrió otro ataque hace unos años por el que tuvo que pagar una multa de 600.000 euros.
Imagen | Wikimedia
En Applesfera | Los cajeros automáticos cambian para siempre y tu iPhone está preparado
En Applesfera | La Banca española dispara sus beneficios y Apple tiene una oportunidad de oro para aprovecharlos
Ver 9 comentarios