La próxima versión de iOS 26 de Apple incluye una innovadora pero potencialmente riesgosa función en la aplicación Wallet que está generando preocupación entre profesionales de la ciberseguridad. La actualización permite a los usuarios de iPhone almacenar digitalmente los datos de tarjetas de pago físicas simplemente escaneándolas con la cámara del dispositivo, creando lo que algunos expertos denominan un 'botín' para hackers.
La implementación técnica muestra que el sistema captura automáticamente los números de tarjeta, fechas de expiración y, en algunos casos, incluso los códigos CVV cuando los usuarios optan por la 'copia de seguridad completa'. Aunque Apple enfatiza que estos datos están encriptados y protegidos por la tecnología Secure Element, investigadores de seguridad han identificado varios aspectos preocupantes:
- Brechas de autenticación: No se requiere verificación adicional al añadir tarjetas físicas si el teléfono está desbloqueado, a diferencia de Apple Card que exige confirmación de identidad
- Agregación de datos: Crea un único repositorio para todos los métodos de pago, aumentando el daño potencial de un único compromiso
- Riesgos conductuales: Fomenta que los usuarios fotografíen tarjetas que normalmente no almacenarían digitalmente
Instituciones financieras estarían divididas respecto a esta función. Se espera que bancos importantes como Chase y Citi la soporten, mientras que bancos regionales y cooperativas de crédito dudan debido a preguntas sobre cumplimiento con PCI DSS. 'Esto convierte esencialmente cada iPhone en un almacén de datos de tarjetas', señaló un director de seguridad bancaria que pidió anonimato.
Los profesionales de ciberseguridad deberían recomendar varias medidas de mitigación:
- Desactivar la captura automática de CVV en políticas de dispositivos empresariales
- Implementar controles MDM más estrictos para dispositivos corporativos
- Educar a los usuarios sobre los riesgos de almacenar tarjetas corporativas
- Monitorear nuevas estrategias de phishing dirigidas a esta función
La función se encuentra actualmente en fase beta con lanzamiento masivo esperado para septiembre. Los equipos de seguridad deberían preparar advisories ahora, ya que el lanzamiento centrado en la conveniencia podría superar la adecuada concienciación sobre riesgos.
Comentarios 0
Comentando como:
¡Únete a la conversación!
Sé el primero en compartir tu opinión sobre este artículo.
¡Inicia la conversación!
Sé el primero en comentar este artículo.