NYC Subway desactiva la función de historial de viajes debido a preocupaciones de privacidad con el sistema de pago sin contacto

-


La decisión de la Autoridad Metropolitana de Transporte de Nueva York (MTA) se produce tras un informe que mostró lo fácil que es para alguien acceder al historial de viajes de otra persona durante los últimos siete días a través del sitio web One Metro New York (OMNY). 

La Autoridad Metropolitana de Transporte de Nueva York (MTA) ha desactivado una función asociada con su sistema de pago sin contacto para el metro de la ciudad, siguiendo un informe que mostraba lo fácil que alguien podría abusar de ella para acceder al historial de viajes de otra persona durante los últimos siete días.

El informe de 404 Media describió cómo cualquiera con acceso al número de tarjeta de crédito que otra persona podría haber utilizado para pagar viajes en el metro podría usar la tarjeta para rastrear los movimientos de esa persona en el sistema de metro. Todo lo que alguien necesitaba hacer era ingresar el número de la tarjeta en el sitio web OMNY de la MTA para acceder al historial de viajes del titular de la cuenta correspondiente durante la semana anterior, sin ninguna verificación adicional.

Además de alguien que tenga acceso físico a la billetera de otra persona, los números de tarjetas de crédito también están fácilmente disponibles en mercados clandestinos para cualquiera dispuesto a comprarlos. Un informe que Comparitech publicó en agosto mostró que el precio promedio en la Dark Web para información básica de tarjetas de crédito, incluido el número de tarjeta, CVV, fecha de vencimiento y nombre del titular, es de $17.36. Los precios están vinculados al crédito disponible en una tarjeta robada y llegan a cientos de dólares para tarjetas con altos límites de crédito. Sin embargo, comprar solo un número es probablemente mucho más asequible.

Amenaza de acoso

La información del historial de viajes de OMNY muestra solo el punto de entrada al sistema de metro, no el punto de salida. Aun así, los datos son suficientes para que un abusador acose a las víctimas o para que alguien rastree a un individuo o reduzca el lugar donde podrían vivir, advirtió el artículo de 404 Media. El informe citó a un experto en privacidad que expresó su preocupación por cómo la MTA parecía haber utilizado el número de tarjeta de crédito de un individuo como el identificador principal y no requería ni siquiera un PIN para autenticar esa identidad.

En un comunicado enviado por correo electrónico a Dark Reading, el portavoz de la MTA, Eugene Resnick, dijo que la autoridad de tránsito ha suspendido temporalmente la función de historial de viajes en su sitio web OMNY. "Esta función estaba destinada a ayudar a nuestros clientes que desean acceder a sus historiales de viajes sin contacto, tanto pagados como gratuitos, sin tener que crear una cuenta OMNY", dijo Resnick. "Como parte del compromiso continuo de la MTA con la privacidad del cliente, hemos desactivado esta función mientras evaluamos otras formas de atender a estos clientes".

Mientras tanto, la MTA continúa dando a los usuarios del metro la opción de pagar sus viajes en efectivo y está dispuesta a considerar las opiniones de los expertos en seguridad sobre posibles mejoras en la opción de pago sin contacto, señaló.

La MTA introdujo formalmente su opción de pago sin contacto para viajes en metro hace cuatro años, en junio de 2019. La opción permite a los usuarios pagar los viajes utilizando sus tarjetas de crédito o débito sin contacto. Los usuarios también tienen la opción de usar billeteras móviles como Google Pay y Apple Pay para pagar los viajes simplemente tocando sus dispositivos inteligentes en los lectores OMNY instalados en el sistema de metro de la ciudad.

La MTA en sí misma no almacena ni ve el número de tarjeta real. Más bien, todos los números de tarjeta están tokenizados, o enmascarados, como una precaución de seguridad adicional. Según la MTA, esto permite que las transacciones se procesen y se generen historiales de viajes sin que la MTA conozca nunca el número de tarjeta de crédito real.

La experiencia de la MTA destaca algunos de los posibles contratiempos que las organizaciones probablemente encontrarán a medida que adopten modelos de pago sin contacto en los próximos años.

Preocupaciones de seguridad silenciadas por el momento

Las tecnologías de pago sin contacto han existido durante años, pero su uso realmente explotó durante la pandemia y ha seguido creciendo desde entonces. Una publicación de blog a principios de este mes de un alto ejecutivo de Fair, Isaac and Company (FICO), el principal servicio de calificación crediticia en los EE. UU., estima que el valor global del mercado de pagos sin contacto alcanzará los $6.3 billones para 2028, con el Reino Unido y Europa liderando el camino. La publicación identificó los pagos sin contacto como una forma de permitir a los bancos y comerciantes proporcionar transacciones más rápidas y sin fricciones, al tiempo que fomentan más comodidad y facilidad para los consumidores.

Por el momento, las preocupaciones de seguridad en torno al uso de la tecnología de pago sin contacto son algo moderadas y, cuando existen, principalmente tienen que ver con el potencial de fraude con tarjetas de pago. Como señaló el blog de FICO: "El tipo de fraude que ocurre en el ámbito de los pagos sin contacto es actualmente bastante poco sofisticado: la pérdida accidental o el robo deliberado de una tarjeta de débito o crédito. Los delincuentes pueden realizar varias compras hasta el límite antes de que se necesite un PIN".


Contenido traducido al español con fines informativos, cualquier cambio en la publicación original no será reflejada en esta entrada, favor referirse a la fuente para obtener el acceso a cualquier actualización del contenido. Para la traducción se utilizó ChatGPT, al ser una traducción automática puede contener errores gramaticales o de otro tipo, favor enviar comentarios al moderador para corregir.

Comentarios

Publicar un comentario

Entradas más populares de este blog

DeepSeek: Ciberataque expone vulnerabilidades críticas en su modelo de IA R1 y reaviva debates sobre seguridad global

-
Imagen
La empresa china de inteligencia artificial DeepSeek enfrenta una tormenta de críticas tras revelar que un ciberataque masivo interrumpió sus servicios de registro de usuarios este lunes. El incidente coincide con hallazgos alarmantes de investigadores de seguridad: su modelo de IA *R1*, promocionado como una alternativa económica a ChatGPT y Gemini, presenta vulnerabilidades que permiten generar contenido malicioso y evadir controles éticos.   Detalles del ataque y fallos técnicos  Ataque DDoS sospechado : Aunque DeepSeek no confirmó detalles técnicos, expertos sugieren que el ataque fue de denegación de servicio (DDoS), saturando sus servidores para bloquear nuevos registros. La empresa aseguró que los usuarios existentes no se vieron afectados.   Falsas cuentas y riesgos de suplantación : DeepSeek alertó sobre perfiles falsos en redes sociales que imitan su marca, un movimiento que podría vincularse a campañas de phishing o desinformación.   Vulner...
Leer más

Resumen de los Principales Acontecimientos en Ciberseguridad de 2024

-
Imagen
El año 2024 ha sido testigo de eventos significativos en el ámbito de la ciberseguridad, marcados por avances tecnológicos, amenazas emergentes y respuestas regulatorias. Aumento de los Ataques de Ransomware  The Verge El ransomware continuó siendo una amenaza predominante. Grupos como LockBit llevaron a cabo ataques a gran escala, afectando a más de 2,500 entidades en al menos 120 países, incluyendo 1,800 en los Estados Unidos. Estos ataques resultaron en pérdidas financieras significativas y comprometieron datos sensibles de diversas organizaciones. Avances en la Regulación y Responsabilidad de las Empresas Tecnológicas  The Verge La propuesta de la Ley de Seguridad en Línea para Niños (KOSA) en los Estados Unidos buscó aumentar la responsabilidad de las empresas de redes sociales en la protección de los menores en línea. Aunque enfrentó desafíos legislativos, reflejó una tendencia global hacia una mayor regulación de las plataformas digitales para salvaguardar a los usuario...
Leer más

Microsoft Reemplaza Aplicación de Escritorio Remoto por Windows App: Implicaciones en Ciberseguridad

-
Imagen
Microsoft ha anunciado que, a partir del 27 de mayo de 2025, la aplicación Remote Desktop disponible en la Microsoft Store dejará de ser compatible y será reemplazada por la nueva Windows App. Esta transición busca unificar y mejorar las experiencias de escritorio remoto en sus plataformas, pero también plantea consideraciones importantes en términos de ciberseguridad. ​   Mejoras en Seguridad con Windows App La Windows App, lanzada en septiembre de 2024, ofrece varias mejoras significativas en comparación con la antigua aplicación de Escritorio Remoto:​ Acceso Unificado y Seguro : Proporciona acceso consolidado a múltiples servicios de Windows, incluyendo Windows 365, Azure Virtual Desktop y Microsoft Dev Box, desde una interfaz simplificada. Esta unificación reduce la superficie de ataque al centralizar los puntos de acceso. ​ Soporte Multimonitor y Resoluciones Dinámicas : Facilita una experiencia más fluida y adaptable, permitiendo a los usuarios trabajar de manera más efi...
Leer más