Bien es cierto que las actualizaciones de Android pueden a veces provocar problemas, pero la gran mayoría de las veces ayudan a evitar que los ciberdelincuentes lo tengan fácil para aprovechar vulnerabilidades y así obtener nuestros datos más privados o nuestro dinero. Una de estas vulnerabilidades es el fallo que permite robarte la tarjeta de crédito mediante NFC.
Esta vulnerabilidad recién encontrada y mostrada en la National Vulnerability Database hace posible que un lector NFC sea capaz de leer el número completo de una tarjeta bancaria y su fecha de caducidad cuando el dispositivo está con una app anclada en la pantalla y otra serie de coincidencias que explicaremos más adelante.
Puede que no sepas lo que son las apps ancladas en pantalla, pero son una función que está desactivada por defecto en Android. Su cometido es hacer que el usuario solo pueda interactuar con una o varias apps, excluyendo a todas las demás. Esto es útil cuando le vas a prestar a alguien tu móvil, pero no quieres curiosee en apps tuyas que no debe mirar.
Esta se activa en Ajustes -> Datos biométricos y seguridad -> Otros ajustes de seguridad -> Fijar ventanas.
Cuando activas esta opción, se desplegará otra llamada "Desbloquear para desanclar", gracias a la cual puedes desactivar esta función introduciendo un PIN que solo tú conoces.
Pues bien, ahora que conoces esta función, verás que por sí sola no es maliciosa ni nada por el estilo, pero sí que deja un "hueco abierto" en tu dispositivo, el cual puede ser aprovechado por los cibercriminales.
¿Y cómo se crea este "hueco" o vulnerabilidad? Pues se tienen que dar todas estas condiciones:
- Que hayas activado la ya mencionada fijación de ventanas.
- Que hayas habilitado la opción "Desbloquear para desanclar".
- Que tengas activada la función NFC.
- Que hayas habilitado la opción "Requerir desbloqueo del dispositivo para NFC" en Ajustes.
- Tener la app de Google Wallet para pagar con el móvil.
Si este cóctel de coincidencias llega a concurrir, tu móvil está expuesto a esta vulnerabilidad. Esto es realmente peligroso, ya que el atacante no necesitaría ningún otro privilegio adicional, solamente saber explotar dicha vulnerabilidad, aunque bien es cierto que, como puedes ver, tendrían que coincidir demasiadas cosas para que esto ocurra.
Aunque la sociedad en general aún no es del todo cauta ante los fraudes y amenazas online, ya hay un alto porcentaje de usuarios que sí conocen las técnicas más comunes de los ciberdelincuentes para extraer datos o dinero a través de Internet.
No obstante, está siendo habitual la presencia de ciberdelincuentes en las calles dejando cebos silenciosos, como los códigos QR falsos en las bicicletas de BiciMad o los códigos QR que roban 20.000 euros. Esta nueva forma de actuar es aún más sutil, y si se encuentran más vulnerabilidades como esta sin resolver, podríamos ver ciberdelincuentes usando lectores NFC para extraer datos bancarios.
Debido a la gravedad que todo esto conlleva, Google ya se ha puesto manos a la obra y ya ha incluido un parche en la actualización de seguridad de este mes, que irá dirigida a los dispositivos que tienen desde Android 11 a Android 13.
Los pagos NFC no necesitarán poner el móvil en contacto tras este cambio
- Ver Comentarios