Al parecer, la culpa la tiene una vulnerabilidad en la integración de PayPal en Google Pay. A través de este fallo, un atacante puede realizar compras y hacer cargos no autorizados en nuestra cuenta de PayPal. Todo empezó el pasado viernes, cuando muchos usuarios empezaron a llenar Reddit, Twitter o los foros de la propia PayPal de quejas de pagos no autorizados hechos a través de su cuenta de Google Pay.
El ataque ha afectado sobre todo a usuarios de Estados Unidos y de Alemania, donde en el primer país muchas de las compras se están haciendo en la tienda Target. De momento se estima que se han producido robos por valor de decenas de miles de euros, con transacciones que han llegado a superar los 1.000 euros.
PayPal hizo caso omiso a un investigador que les comunicó la vulnerabilidad
PayPal se encuentra actualmente investigando la situación según han confirmado, pero Google no ha dicho nada al respecto todavía. Un investigador de seguridad alemán llamado Markus Fenske afirma que el fallo es similar al que encontró en febrero de 2019 en PayPal, y cuando se lo comunicó a PayPal, la plataforma le dijo que no era un fallo de seguridad. Después de discutir, le dieron la recompensa por encontrar el fallo, pero PayPal no comunicó si lo habían arreglado. Finalmente, parece que no lo hicieron.
Reported a critical issue to PayPal ONE YEAR AGO.
— iblue (@iblueconnection) February 24, 2020
"Not an issue. Please self-close". Lots of discussion. Finally got a bounty. Asked several times if its fixed. No response. Gave up.
Found that it's actively exploited by now. Sorry PP, you suck.https://t.co/48IVszRqlb
Según Fenske, el fallo consiste en que PayPal permite realizar pagos sin contacto a través de Google Pay. Si tienes configurado PayPal en Google Pay, puedes leer los datos de la tarjeta virtual almacenada en el móvil si pasas un lector cerca de él. Cuando asociamos nuestra cuenta de PayPal, la plataforma crea una tarjeta virtual para Google Pay con su número de tarjeta, fecha de caducidad y CVC único, y es esa la que pueden robar. De esa forma, cuando realizamos un pago con Google Pay sin contacto usando fondos de PayPal, se usa esa tarjeta virtual.
Si las transacciones sólo pudieran realizarse en un punto de venta físico, no habría problema. Sin embargo, PayPal permite usar estas tarjetas virtuales para transacciones online, y es de este sistema del que se están aprovechando los hackers. No saben exactamente cómo está produciéndose el robo, ya que pueden hacerlo obteniendo los datos que ven en la pantalla del móvil, por contacto, por malware, o adivinándolo por fuerza bruta.
PayPal de momento no sabe cuál es la causa del ataque, aunque la vulnerabilidad de 2019 es una gran candidata a ello. En cuanto determinan la causa de los fallos, afirman que tomarán las acciones apropiadas para proteger a los consumidores. Sobre las devoluciones del dinero robado a los usuarios no han dicho nada.
Actualización: PayPal ha confirmado que no se ha accedido a cuentas personales de los usuarios, y reembolsará cualquier transacción no autorizada a los clientes afectados.
