El éxito de PayPal como uno de los métodos de pago y transferencia de dinero más usados en Internet se debe tanto a su sencillez de uso como a su seguridad. En este sentido, PayPal presume de aceptar y premiar los descubrimientos de los hackers que intentan buscar fallos en su plataforma.

Sin embargo, dos casos recientes han revelado que en realidad PayPal podría no estar escuchando a estos expertos en seguridad; y las consecuencias pueden ser desastrosas.

Esta semana Forbes advierte a los usuarios de una nueva táctica para robar dinero en las cuentas de PayPal, aprovechándose de una vulnerabilidad que la compañía supuestamente ya conocía. Todo empezó el pasado febrero de 2019, cuando el investigador Markus Fenske descubrió una vulnerabilidad en la manera en la que la app de PayPal realizaba pagos usando el chip NFC de nuestro smartphone. Inmediatamente, contactó con la compañía a través de la plataforma HackerOne, pero su sugerencia fue rechazada; fue sólo después de «varias discusiones» que PayPal aceptó pagar 4.400 dólares por el descubrimiento del bug.

Varios usuarios alemanes de PayPal afirman haberse encontrado con transferencias fradulentas desde su cuenta a tiendas estadounidenses; estos pagos pueden ser de hasta 1.000 € por cada transacción, pero según los investigadores no hay límite en la cantidad de dinero y operaciones que se pueden realizar con esta vulnerabilidad. Para retirar dinero de nuestra cuenta de esta manera, sólo es necesario que el atacante esté cerca de nuestro móvil. El problema se encuentra en la manera en la que PayPal implementó los pagos por NFC; cuando queremos pagar en un punto de venta, por ejemplo.

Como el punto de venta espera una tarjeta, la app crea una «tarjeta de crédito virtual», que sirve de interfaz hacia la cuenta de PayPal. El fallo está en que esta tarjeta virtual no solo puede ser usada para pagos presenciales, sino también para pagos online; y en este último caso, los únicos datos necesarios son el número de la tarjeta y su fecha de caducidad. Ni el CVC como el nombre del titular son necesarios.

Un atacante tiene dos opciones; puede obtener el número de la tarjeta y la fecha de caducidad acercando un lector NFC al móvil, por ejemplo. Pero es incluso más probable que eso no sea necesario, y que sea posible adivinar los números de la tarjeta simplemente probándolos todos.

Estos ataques de «fuerza bruta» normalmente no funcionan porque es necesario dar datos como el CVC o el nombre del titular para realizar un pago con tarjeta de crédito; pero en el caso de la app de PayPal, sólo con adivinar el número es suficiente. No solo eso, sino que el número generado por la app no es aleatorio, y los primeros dígitos siempre se repiten, lo que simplifica mucho las cosas.

Tanto, que es posible que uno o varios atacantes lo esté aprovechando para vaciar las cuentas de los usuarios. Además, también cabe la posibilidad de que Google Pay esté involucrada, ya que algunas de las víctimas habían asociado su cuenta de PayPal con la de Google para hacer compras en su móvil Android.

Ante estos problemas, PayPal ha explicado que «rápidamente abordamos y solucionamos el problema, que afectó a un número muy pequeño de clientes de PayPal que usaban Google Pay en Alemania. En ningún momento se vio comprometida ninguna información personal y financiera y tampoco se accedió a ninguna cuenta de PayPal por parte de terceros. Dicho esto, siguiendo nuestra política habitual, le comunicamos también que PayPal reembolsará cualquier transacción no autorizada a los clientes afectados». De la misma manera, Google ha elogiado a PayPal por la «rápida acción», sin hacer mención a los doce meses que habrían pasado entre el descubrimiento del bug.

Este no es el único problema similar descubierto en PayPal sólo este mes. La semana pasada los investigadores de CyberNews sorprendieron al afirmar que habían descubierto seis vulnerabilidades en PayPal; pero que lejos de agradecérselo, la compañía les castigó. En vez de aceptar que las vulnerabilidades existen, PayPal otorgó puntuaciones negativas a los investigadores en la plataforma HackerOne; por lo que su reputación se ha visto dañada y pueden no ser tenidos en cuenta en futuros descubrimientos.

Fuente: seguinfo.com.ar

Compartir