Investigadores de SEC Consult (Eviden) reportaron una vulnerabilidad crítica en parte del ecosistema de tarjetas NFC prepago de KioSoft, proveedor de soluciones de pago para lavanderías de autoservicio, vending, arcades y autolavados. La falla, identificada como CVE-2025-8699, permitía incrementar el saldo de ciertas tarjetas sin realizar un pago legítimo, y su corrección se extendió por más de un año desde el reporte inicial en 2023.
Impacto y alcance: tarjetas prepago en una red global de terminales
KioSoft declara más de 41.000 quioscos instalados y 1,6 millones de terminales de pago en 35 países. Según SEC Consult, el problema afectaba a un subconjunto de tarjetas utilizadas con terminales concretos. La raíz del riesgo fue arquitectónica: el saldo se almacenaba en la propia tarjeta en lugar de validarse contra un servidor seguro, lo que abrió la puerta a manipulación fuera de línea.
Origen técnico: debilidades históricas de MIFARE Classic
Las tarjetas afectadas se basaban en MIFARE Classic, una tecnología conocida por sus fragilidades criptográficas desde investigaciones de 2007–2008 (Radboud University, Karsten Nohl, Henryk Plötz, entre otros). Aquellos trabajos demostraron ataques prácticos a su esquema de autenticación y a la gestión de claves, lo que facilita la lectura y modificación de sectores sin autorización. Al analizar el formato de datos empleado por KioSoft, los investigadores pudieron leer y alterar el campo de saldo directamente.
Explotación de CVE-2025-8699: qué fue posible y con qué límites
Con equipamiento RFID genérico como Proxmark y entendimiento básico de las debilidades de MIFARE Classic, los atacantes podían elevar el saldo hasta un máximo de 655 dólares por operación y repetir el proceso, creando valor sin transacciones válidas. No se requieren conocimientos avanzados ni acceso privilegiado a la infraestructura, lo que incrementa el riesgo de abuso oportunista. Este vector es consistente con incidentes previos en ecosistemas que aún dependen de MIFARE Classic.
Divulgación coordinada y parche: cronología, retrasos y dudas
El primer contacto de SEC Consult con KioSoft data de octubre de 2023. La respuesta del proveedor se produjo tras la intervención de un CERT, con varias solicitudes de prórroga para la divulgación pública. KioSoft comunicó que una actualización de firmware fue liberada en el verano de 2025 y anunció planes de nuevos hardware con medidas reforzadas. No obstante, la compañía no publicó los números de versiones vulnerables o corregidas, indicando que informaría de forma directa a sus clientes. SEC Consult señaló que no pudo verificar de forma independiente la eficacia del parche al perder acceso a los terminales analizados. KioSoft subrayó que la mayoría de sus soluciones no utiliza MIFARE Classic.
Riesgos y mitigación: de la tarjeta-valor al token de acceso
El almacenamiento de saldo en la tarjeta simplifica la operación en entornos sin conectividad, pero incrementa la exposición a fraude y erosiona la confianza del usuario cuando se compromete. El sector migra paulatinamente hacia modelos y tecnologías más robustos, como MIFARE DESFire EV2/EV3 con AES y SL3, gestión de claves segura y validación en servidor. Recomendaciones clave para operadores e integradores:
- Migrar desde MIFARE Classic a DESFire EV2/EV3 con AES y autenticación mutua.
- Centralizar la contabilidad del saldo en un backend; usar la tarjeta como token, no como portador de valor.
- Implementar diversificación de claves por tarjeta/sector, protección anti-tearing, contadores criptográficos y firmas de registros.
- Vincular tarjetas a cuentas, aplicar límites de recarga y analítica de fraude para detectar anomalías (p. ej., picos y repeticiones de máximos).
- Mantener inventario y firmware al día, con pruebas de intrusión periódicas y auditorías de terceros.
Este caso recuerda que las vulnerabilidades de tecnologías legadas conservan valor explotable durante años. Revise de inmediato qué tarjetas y firmware emplea su parque de terminales, priorice la migración a estándares modernos, habilite validación en servidor y fortalezca la detección de anomalías. Actuar hoy reduce pérdidas financieras y acelera la recuperación de la confianza del usuario.