En el mundo de la tecnología, solemos dar por sentado que nuestros dispositivos son fortalezas inexpugnables, especialmente cuando están bloqueados. Sin embargo, una reciente demostración realizada por el canal de divulgación científica Veritasium en YouTube, en colaboración con el reconocido experto en tecnología Marques Brownlee (MKBHD), ha encendido las alarmas. Mediante un sofisticado ataque de “hombre en el medio” (Man-in-the-Middle), lograron extraer hasta $10,000 dólares de un iPhone bloqueado sin que el dueño tuviera que interactuar con el dispositivo.

¿Cómo es posible que roben dinero de un iPhone bloqueado?

El problema no es un fallo generalizado del iPhone, sino una vulnerabilidad específica que surge al combinar el "Abordar Express" de Apple Pay con tarjetas de la red Visa. Este modo fue diseñado para facilitar el pago en transportes públicos, permitiendo que el usuario simplemente acerque su teléfono a la terminal sin necesidad de usar FaceID, TouchID o un código.

Los investigadores descubrieron que pueden engañar al iPhone simulando que el cobro proviene de una terminal de transporte. Al interceptar la señal, modifican ciertos bits de información para hacerle creer al teléfono que una transacción de miles de dólares es, en realidad, un pago de bajo valor para el metro o el autobús. De esta manera, el iPhone autoriza el pago automáticamente, saltándose todas las capas de seguridad biométrica.

¿Por qué este ataque afecta principalmente a usuarios de Visa?

La diferencia radica en cómo cada red financiera gestiona sus protocolos de seguridad. Mientras que Mastercard exige una verificación criptográfica asimétrica en cada transacción —lo que detectaría cualquier manipulación en los datos—, Visa no siempre requiere esta firma digital cuando la terminal está conectada a internet.

Punto clave: El ataque engaña al teléfono para que actúe como si estuviera en una terminal de transporte (offline), pero envía la información a una terminal de cobro real que está conectada (online). Al no coincidir las exigencias de seguridad de ambos lados, el dinero fluye sin restricciones.

¿Qué pueden hacer los usuarios para protegerse?

Aunque los voceros contactados por el divulgador de Apple y Visa han minimizado el riesgo argumentando que es un ataque difícil de replicar de forma masiva en el “mundo real”, la vulnerabilidad existe desde 2021 y sigue sin corregirse a nivel técnico. Para los usuarios, la solución más inmediata y efectiva es revisar la configuración de su cartera digital.

Si utilizas un iPhone con una tarjeta Visa configurada para el pago de transporte, lo más recomendable es desactivar el “Abordar Express” en los ajustes de Apple Wallet. Al hacer esto, el dispositivo siempre solicitará tu autorización antes de procesar cualquier cobro, eliminando la posibilidad de que un atacante cercano con el equipo adecuado pueda vaciar tu cuenta mientras caminas por la calle o te encuentras en un lugar concurrido.