Las aplicaciones de pago móvil están de moda en estos días. Ya sea que esté cenando, comprando ropa o pagando a un amigo, no hay nada más conveniente que presionar algunos botones en su teléfono para enviar efectivo en un instante. Cuando surgieron estas aplicaciones por primera vez, su uso generalmente se limitaba a comerciantes más pequeños e independientes. Ahora, son una parte importante del ecosistema minorista, y la forma preferida para que las personas envíen dinero localmenteyen línea.
Debido a su popularidad y facilidad de uso, las aplicaciones de pago móvil se están convirtiendo en un objetivo principal para los cibercriminales. De hecho, se descubrió una vulnerabilidad de seguridad reciente dentro de una de las aplicaciones de pago más populares del mundo. Con la autenticación cero, un pirata informático puede descargar fácilmente información sobre miles de usuarios en cuestión de minutos, ¡incluidos el historial de transacciones y los contactos!
Aunque no es una violación de seguridad en el sentido tradicional, esta falla de seguridad arroja una gran sombra sobre un mercado de software en rápido crecimiento. Sin disposiciones de seguridad razonables, ¿podrían estas aplicaciones financieramente sensibles plantearnos más riesgos que recompensas?
Cómo la infraestructura de Venmo deja sus datos abiertos
Venmo, propiedad del gigante del comercio electrónico PayPal, es una de las aplicaciones de pago entre pares más populares en el mercado hoy en día. Debido a esto, cuenta con un mayor número de usuarios y transacciones diarias que su competencia.
Esto también lo convierte en un objetivo potencial para los piratas informáticos y los ciberdelincuentes, que podrían aprovechar fácilmente la información personal y financiera que fluye libremente entre los usuarios.
Con Venmo, los usuarios pueden adjuntar información detallada sobre las circunstancias de su transacción. Esta información se comparte con todos sus contactos en un formato de 'línea de tiempo'. En cierto modo, es casi una 'red social' para las finanzas.
Es donde podrás ver si tu hermano, por ejemplo, pagó boletos de baloncesto o si tu madre pagó por una cita para el cabello. Además de esto, el destinatario de pago muestra automáticamente su nombre, por lo que incluso si un usuario evita escribir una descripción de la transacción, las partes involucradas siguen siendo claramente visibles.
Relacionado: No use estas palabras marcadas en Venmo
En respuesta a la popularidad de Venmo, investigador de seguridad Dan Salmon se encargó de investigar un poco. Como investigador de seguridad y 'cazador de recompensas de errores', intentó descargar registros de millones de transacciones de usuarios (como lo había hecho otro investigador de seguridad en el último año).
Sorprendentemente, el software de desarrollo de la compañía le dio fácil acceso a la información, lo que le permitió ver transacciones individuales, así como los nombres de usuario y la cantidad de efectivo intercambiado.
¿Estoy en riesgo de usar Venmo? ¿Me han robado mis datos?
Afortunadamente, el Sr. Salmon es lo que se llama un 'sombrero blanco'. Estas personas conocedoras de la informática se introducen intencionalmente en los sistemas sin causar ningún daño, generalmente para ilustrar un punto más fino sobre la seguridad o para ayudar a los desarrolladores a mejorar sus defensas.
En este caso, quería ilustrar el hecho de que la API de Venmo (el kit de desarrollo de software de la plataforma) no requiere ninguna autenticación para acceder a transacciones no privadas. De hecho, ni siquiera necesita la aplicación oficial para hacerlo, ¡solo la API!
Su esperanza es que los usuarios ahora sean más conscientes de qué tipo de datos no están protegidos por los sistemas de Venmo. En sus perfiles personales de redes sociales, ha instado a las personas a cambiar la configuración de su cuenta Venmo a privada. De esa manera, alguien que haga lo que hizo no podrá acceder a su información.
En este momento, Venmo no ha dado ninguna indicación de que planea cambiar sus sistemas a la luz de este descubrimiento.
Mientras tanto, sin embargo, puede cambiar fácilmente su cuenta de Venmo a privada tocando el Icono de 'tres líneas' en la esquina superior izquierda de la aplicación, tocando Configuracionesy luego abriendo Intimidad en la siguiente pantalla. En el menú Privacidad, puede cambiar la configuración de su cuenta a 'Privado, 'Que mantendrá sus transacciones visibles solo entre usted y su destinatario.
Con suerte, dado que las finanzas están involucradas, veremos que compañías como Venmo hacen de la privacidad del usuario una prioridad en el futuro. Hasta entonces, todo lo que podemos hacer es ser inteligentes sobre lo que elegimos compartir en línea. Después de todo, podría marcar la diferencia entre una cuenta bancaria completa y una vacía.
