Un experimento impactante: Así 'robaron' 10.000 dólares a un famoso Youtuber

Imagina la escena: tu iPhone está sobre la mesa, completamente bloqueado. No has usado Face ID, ni has introducido tu código. A su lado, un dispositivo desconocido se acerca y, en cuestión de segundos, una notificación confirma un pago de 10.000 dólares. No es una película de espías, es un experimento real que le hicieron al gigante tecnológico Marques Brownlee (MKBHD), y demuestra una peligrosa vulnerabilidad que afecta a millones de usuarios de tarjetas Visa con Apple Pay.

El investigador de Veritasium, Derek Muller, demostró en directo cómo se puede explotar una debilidad en la comunicación entre el iPhone y los terminales de pago. El truco no consiste en 'hackear' el cifrado de Apple, sino en engañar al sistema de una manera ingeniosa y alarmante, ejecutando un sofisticado ataque de tipo 'man-in-the-middle'.

El Engaño Maestro en Tres Pasos

La clave de este ataque reside en una funcionalidad pensada para la comodidad: el 'Modo Transporte Exprés' de Apple Pay. Esta opción, disponible en varias ciudades del mundo, permite pagar en el transporte público sin necesidad de autenticar la transacción, agilizando el acceso. Sin embargo, esa comodidad es la puerta de entrada.

1. El Cebo: Simular un Torno de Metro. El equipo de los atacantes emite una señal que hace creer al iPhone que se está acercando a un lector de transporte público. Esto activa automáticamente el 'Modo Exprés', dejando el chip NFC listo para autorizar un pago sin pedirte la cara o el código.
2. La Manipulación: Convertir Centavos en Miles. Aquí ocurre la magia negra digital. El dispositivo intercepta la comunicación entre el móvil y un terminal de pago real. En ese instante, modifica un bit específico de los datos de la transacción. Este cambio le dice al iPhone que está autorizando un pago de bajo valor (como un billete de metro), por lo que no solicita ninguna verificación adicional.
3. El Golpe Final: Engañar al Datáfono. Una vez que el iPhone ha dado su aprobación (engañado), el dispositivo atacante le comunica al terminal de pago real que la transacción ha sido autenticada por el usuario. El datáfono procesa el pago por el valor real y fraudulento —en el caso del experimento, 10.000 dólares— y el dinero desaparece de la cuenta.

¿Quién tiene la culpa? La batalla silenciosa entre Apple y Visa

Es crucial entender que esto no es un fallo de seguridad del iPhone en sí mismo. El cifrado y las defensas del sistema operativo de Apple permanecen intactos. La vulnerabilidad se encuentra en el protocolo EMV sin contacto, específicamente en cómo Visa gestiona las transacciones realizadas a través del 'Modo Exprés'.

El problema se documentó por primera vez en 2021 por investigadores de las universidades de Birmingham y Surrey. Según ellos, el fallo radica en que Visa permite que las transacciones en modo transporte se procesen sin conexión y sin que el iPhone tenga que verificar la autenticidad del terminal. Apple, por su parte, argumenta que es un problema del sistema de pago de Visa y que ellos no pueden solucionarlo unilateralmente.

¿Y qué pasa con Android?

Esta no es una vulnerabilidad exclusiva del ecosistema de Apple. El mismo principio podría aplicarse a dispositivos Android que utilicen una configuración similar con tarjetas Visa. Sin embargo, algunos fabricantes de Android han implementado capas de seguridad adicionales que podrían detectar y bloquear una manipulación de importe tan drástica, aunque no es una garantía universal.

¿Debes entrar en pánico? Nivel de riesgo real y cómo protegerte

Ver cómo se esfuman 10.000 dólares de un teléfono bloqueado es alarmante, pero hay que poner el riesgo en perspectiva. Para que un ladrón te robe de esta manera en la calle, necesitaría:

• Acercarse físicamente a tu iPhone.
• Tener un hardware especializado y costoso para ejecutar el ataque.
• Que tengas una tarjeta Visa configurada en 'Modo Transporte Exprés'.

Este último punto es clave. En muchos países, como España, esta funcionalidad no está extendida, lo que reduce el riesgo a casi cero para la mayoría de usuarios. Sin embargo, si vives o viajas a ciudades como Londres, Nueva York o Tokio, donde este modo es común, el peligro es real.

La solución definitiva: Un simple ajuste

La protección más efectiva es desactivar el 'Modo Transporte Exprés' para tu tarjeta Visa en la app Cartera. Al hacerlo, cualquier transacción, sin importar el importe, requerirá obligatoriamente tu autenticación mediante Face ID, Touch ID o tu código. Eliminas la puerta de entrada del ataque. Mientras Apple y Visa deciden quién debe solucionar este problema que lleva años sobre la mesa, la seguridad de tu dinero depende de este simple ajuste.