Descubierta una vulnerabilidad FeliCa de Sony en las tarjetas de transporte IC anteriores a 2017

Algunas tarjetas IC FeliCa de Sony anteriores a 2017, incluidas las tarjetas Suica utilizadas en las estaciones de tren JR East, son vulnerables a la piratería informática. (Fuente de la imagen: Sony)

Sony ha anunciado que terceros han encontrado una vulnerabilidad en las tarjetas IC sin contacto FeliCa enviadas antes de 2017, incluidas las populares tarjetas Suica utilizadas en Tokio para viajar en la red de trenes JR East. Esta brecha permite a los piratas informáticos leer y modificar los datos de las tarjetas.

David Chien (traducido por Ninh Duy), Publicado 09/01/2025 🇺🇸

Sony ha revelado que algunas de sus tarjetas IC sin contacto FeliCa enviadas antes de 2017 son vulnerables a la lectura y modificación no autorizada de datos. Las tarjetas basadas en FeliCa son populares en Japón y se utilizan ampliamente como tarjetas de tren, de identificación y de pago. Otros países, como Estados Unidos, Bangladesh, Hong Kong, Indonesia y Tailandia, también han utilizado el sistema.

Los viajeros a Japón se encuentran a menudo con FeliCa como tarjetas de transporte público, como la Suica o Pasmo tarjetas utilizadas en el JR East de Tokio https://www.jreast.co.jp/en/multi/traininformation/ y Pasmo de Tokio. Estas tarjetas NFC sin contacto pueden precargarse con dinero y utilizarse para realizar viajes. También pueden utilizarse para comprar bebidas, alimentos y productos en máquinas expendedoras, restaurantes y tiendas que admitan este sistema de pago.

Sony no ha revelado los detalles de la vulnerabilidad, pero terceras partes la descubrieron y notificaron a Sony en virtud de las "Directrices de asociación para la alerta temprana de seguridad de la información" de la Agencia de Promoción de la Tecnología de la Información (IPA), un marco de asociación de seguridad japonés diseñado para minimizar los daños.

La vulnerabilidad de estas tarjetas IC permite a los piratas informáticos leer y modificar los datos a pesar de la encriptación AES/DES, lo que abre la puerta al robo del saldo de las cuentas, por lo que los propietarios de tarjetas anteriores a 2017 deben transferir el saldo de sus cuentas a una nueva tarjeta lo antes posible. Los monederos electrónicos, como los almacenados en teléfonos o smartwatches, no corren peligro.

El descubrimiento de la vulnerabilidad demuestra una vez más que cualquier cosa electrónica es susceptible de ser pirateada algún día. Los lectores que tengan Bitcoins en un monedero o cuenta en línea deberían considerar un monedero fuera de línea, como éste de Amazon, para salvaguardar su dinero porque los piratas informáticos han robado millones en cibermonedas de diversas cuentas en línea.