Un grupo de investigadores en ciberseguridad demostró que, bajo determinadas condiciones, es posible realizar pagos desde un iPhone bloqueado sin necesidad de desbloquear el dispositivo ni utilizar Face ID, huella digital o contraseña.
La demostración consistió en interceptar la comunicación entre un iPhone y una terminal de pago utilizando equipos especializados. De esta manera, lograron que el teléfono autorizara transacciones incluso cuando permanecía completamente bloqueado.
Según los expertos, el ataque aprovecha una característica conocida como «Modo Transporte Express», una función diseñada para que los usuarios puedan pagar el transporte público sin necesidad de desbloquear el teléfono.
Los investigadores descubrieron que podían engañar al iPhone haciéndole creer que estaba frente a una terminal de transporte público legítima. Una vez logrado esto, manipularon la información intercambiada entre los dispositivos para que el teléfono autorizara pagos mucho mayores de los que normalmente se realizan en sistemas de transporte.
Durante las pruebas llegaron a procesar transacciones de hasta 10,000 dólares sin que el propietario del dispositivo tuviera que realizar ninguna verificación adicional.
## La combinación que hace posible el ataque
Los investigadores explicaron que la vulnerabilidad afecta específicamente a determinadas configuraciones que combinan iPhone, Apple Pay y tarjetas Visa configuradas para el modo de transporte exprés.
Según el análisis realizado, otros sistemas de pago implementan mecanismos adicionales de verificación que dificultan este tipo de manipulación.
Además, el ataque requiere equipos especializados, conocimientos avanzados de ciberseguridad y la proximidad física al dispositivo de la víctima, por lo que no se trata de una estafa sencilla de ejecutar en la vida cotidiana.
## ¿Existe un riesgo real para los usuarios?
Tanto Apple como Visa fueron informados sobre esta vulnerabilidad desde 2021. Sin embargo, ambas compañías consideran que se trata de un escenario poco probable en condiciones reales debido a la complejidad técnica necesaria para llevarlo a cabo.
Visa ha señalado que los usuarios cuentan con políticas de protección y reembolso frente a transacciones fraudulentas. No obstante, los investigadores sostienen que el hecho de que el dinero pueda salir temporalmente de la cuenta sigue siendo motivo de preocupación.
## Cómo protegerse
Los expertos recomiendan revisar la configuración de Apple Pay y desactivar el Modo Transporte Express si no se utiliza con frecuencia.
También aconsejan monitorear regularmente los movimientos bancarios, activar las notificaciones de transacciones y reportar de inmediato cualquier cargo sospechoso.
Aunque el ataque requiere condiciones muy específicas para funcionar, el caso demuestra que incluso los sistemas de pago más avanzados pueden presentar vulnerabilidades cuando interactúan múltiples tecnologías y proveedores financieros.
