Ser\u00e1 un gesto cada vez m\u00e1s cotidiano: al pagar, ya no meteremos la tarjeta de cr\u00e9dito por la ranura del dat\u00e1fono, sino que la acercaremos unos cent\u00edmetros al dispositivo de pago y, sin contacto f\u00edsico (de ah\u00ed lo de ‘contactless’), v\u00eda comunicaci\u00f3n inal\u00e1mbrica, pagaremos. Si la compra es menor de 20\u20ac no tendremos ni que poner el PIN. R\u00e1pido, f\u00e1cil, indoloro pero… \u00bfseguro? No tanto como parece.
\n\u00abAlrededor del 80% de nuestras tarjetas ya son ‘contactless’ y el objetivo es que a finales de 2016 sea el 100%\u00bb, asegura a Teknautas un portavoz de ING Direct. La misma situaci\u00f3n se comparte en el resto de entidades financieras espa\u00f1olas, decididas a acabar el a\u00f1o con esta nueva forma de pago convertida en est\u00e1ndar. Pero algunos no lo ven tan claro, como el profesor de la Universidad de Zaragoza, Ricardo J. Rodr\u00edguez, quien lleva a\u00f1os investigando los posibles fallos del ‘contactless’.<\/p>\n
El a\u00f1o pasado, Rodr\u00edguez y su alumno Jos\u00e9 Vila demostraron en diversas conferencias de seguridad inform\u00e1tica c\u00f3mo una ‘app’ maliciosa en el m\u00f3vil, con capacidad para \u00ableer\u00bb de forma inal\u00e1mbrica los datos de nuestra tarjeta, podr\u00eda robarlos. Por ejemplo, si m\u00f3vil y tarjeta estuviesen en el mismo bolsillo. Despu\u00e9s, la ‘app’ mandar\u00eda los datos a otro ‘smartphone’, desde el que se pagar\u00edan compras por cantidades que no necesitan PIN.<\/p>\n
Expertos en seguridad consiguieron pagar en un TPV en Madrid con una tarjeta de cr\u00e9dito ‘contactless’ ubicada en Nueva York, a m\u00e1s de 8.000 km<\/p><\/blockquote>\n
En una prueba de concepto, consiguieron pagar en un terminal punto de venta (TPV) TPV en Madrid con una tarjeta de cr\u00e9dito ubicada f\u00edsicamente en Nueva York, a m\u00e1s de 8.000 km, donde Rodr\u00edguez estaba dando la charla. La demostraci\u00f3n provoc\u00f3 expectaci\u00f3n mundial y, aunque algunos fabricantes de tarjetas trabajan en solucionarlo, a d\u00eda de hoy el ataque sigue siendo viable. \u00abLas tarjetas de cr\u00e9dito NFC son parcialmente seguras\u00bb, explica a Teknautas el investigador. El problema reside en el protocolo de comunicaci\u00f3n de la tarjeta, llamado NFC por ser las siglas en ingl\u00e9s de \u00abComunicaci\u00f3n en el Campo Cercano\u00bb.<\/p>\n
Miguel Herrero, del Instituto Nacional de Ciberseguridad (INCIBE), lo explica muy bien: \u00abEn el campo cercano se produce un fen\u00f3meno de inducci\u00f3n magn\u00e9tica entre las dos antenas de los elementos que se desean comunicar\u00bb, en este caso el TPV y la tarjeta. Esta tiene la antena embutida dentro, no se ve a simple vista, s\u00f3lo a trav\u00e9s de rayos X. La antena NFC se puede meter tambi\u00e9n en tel\u00e9fonos m\u00f3viles o pulseras, dispositivos que ya est\u00e1n bastante maduros para funcionar como m\u00e9todos de pago\u00bb.<\/p>\n
Delincuentes a 10 cent\u00edmetros<\/p>\n
El campo de acci\u00f3n de una tarjeta NFC se limita, seg\u00fan Herrero, a unos 20 cent\u00edmetros, \u00ab10 cent\u00edmetros en la pr\u00e1ctica\u00bb. Esto obliga al delincuente que quiera robar datos de la tarjeta a acercarse mucho a la v\u00edctima, en entornos de masificaci\u00f3n como el tren en hora punta o una discoteca. Pero, si lo consigue, tiene v\u00eda libre porque el problema de estas tarjetas es que \u00abson simp\u00e1ticas con los desconocidos\u00bb, bromea Ricardo J. Rodr\u00edguez. O sea: sus datos no viajan cifrados y los dan a cualquier ‘app’ o dispositivo que se los pidan.
\nEn un informe reciente, el CERT gubernamental espa\u00f1ol avisa claramente sobre este problema: \u00abLa tecnolog\u00eda NFC es insegura tal y como se ha demostrado en multitud de trabajos cient\u00edficos, en donde se han relatado sus problemas de seguridad inherentes que son, b\u00e1sicamente, la escucha secreta o a escondidas, la alteraci\u00f3n de la informaci\u00f3n transmitida y los ataques de retransmisi\u00f3n\u00bb.<\/p>\nSeg\u00fan el informe, un dispositivo equipado con antena NFC puede leer y copiar los siguientes datos de una tarjeta de cr\u00e9dito tambi\u00e9n NFC: \u00abN\u00famero de tarjeta, fecha de expiraci\u00f3n, titular de la tarjeta e hist\u00f3rico de transacciones realizadas con la tarjeta, no s\u00f3lo mediante NFC sin\u00f3 tambi\u00e9n las verificadas con el chip de la tarjeta\u00bb, algo que entra ya en el terreno no s\u00f3lo del robo sino tambi\u00e9n de la violaci\u00f3n de la privacidad.<\/p>\n
Con esta informaci\u00f3n es posible clonar la tarjeta y usarla en compras menores, como sugiere Rodr\u00edguez: \u00abUna tarjeta cl\u00f3nica para sacar el caf\u00e9 en la m\u00e1qina, subir al metro o fichar en la oficina\u00bb. Cabe aclarar, dice el informe, que \u00ablos fabricantes de tarjetas est\u00e1n limitando al m\u00e1ximo la informaci\u00f3n que se filtra por NFC, evitando que las nuevas tarjetas emitan el titular y el hist\u00f3rico\u00bb.<\/p>\n
Otro ataque ser\u00eda la modificaci\u00f3n de la informaci\u00f3n que se transmite entre la tarjeta y el TPV: se podr\u00edan abortar la transacci\u00f3n o bloquear la tarjeta<\/p>\n
Por contra, las nuevas ‘apps’ que est\u00e1n emitiendo las entidades bancarias, que permiten que nuestro m\u00f3vil funcione como un TPV con tecnolog\u00eda NFC, aumentan el parque de tel\u00e9fonos con capacidad para espiar los datos de las tarjetas de las personas que tienen m\u00e1s cerca. Ahora bien: estas ‘apps’ llevan los datos del due\u00f1o del m\u00f3vil asociados, inclu\u00eddo su n\u00famero de cuenta, por lo que si hubiese un robo por esta v\u00eda ser\u00eda muy f\u00e1cil localizar al ladr\u00f3n.<\/p>\n
Otro tipo de ataque que detalla el informe del CCN-CERT espa\u00f1ol ser\u00eda la modificaci\u00f3n de la informaci\u00f3n que se transmite entre la tarjeta y el TPV: algunas triqui\u00f1uelas podr\u00edan conseguir abortar la transacci\u00f3n o bloquear la tarjeta.<\/p>\n
Por \u00faltimo, las tarjetas NFC son vulnerables a ataques de \u00abrelay\u00bb como el demostrado por Rodr\u00edguez y Vila. En un convenci\u00f3n en Nueva York, Ricardo rob\u00f3 en directo los datos de una tarjeta NFC con una ‘app’ en su m\u00f3vil y los mand\u00f3 al m\u00f3vil de Pepe, en Madrid, quien con este m\u00f3vil realiz\u00f3 un pago de un euro en el TPV de su oficina. As\u00ed, una tarjeta que te\u00f3ricamente s\u00f3lo puede pagar a 10 cent\u00edmetros de distancia, pag\u00f3 a 8.000 kil\u00e9metros.
\nAtaques solo posibles con m\u00f3viles Android<\/p>\nEste ataque, a\u00fan vigente, s\u00f3lo es posible usando m\u00f3viles Android pues, a partir de la versi\u00f3n 4.4 de este sistema operativo se incorpor\u00f3 la \u00abmejora\u00bb de que el m\u00f3vil pueda emular una tarjeta. En este contexto se entiende que, hace un par de semanas, corriese como la p\u00f3lvora en las redes sociales la foto de una persona en el metro, con un terminal de punto de venta (TPV) en la mano.<\/p>\n
El texto que acompa\u00f1aba la foto aseguraba que el ladr\u00f3n se acercaba a las personas que tuviesen tarjetas NFC en su cartera y, al ser la distancia entre ellos menor a 10 cent\u00edmetrosm, pod\u00eda cobrarles compras por menos de 20\u20ac, sin PIN. Investigadores de seguridad, fuerzas de la ley y bancos se apresuraron a desmentir la informaci\u00f3n, entre ellos Carlos Garc\u00eda, quien aseguraba en su blog: \u00abNo podemos decir que sea falso, pero personalmente s\u00ed me atrever\u00eda a afirmar que es poco probable que alg\u00fan delincuente realice el fraude de este modo\u00bb.<\/p>\n
Los motivos que aduce Garc\u00eda son el hecho de que ir con un TPV en la mano \u00abcanta\u00bb, aunque cantar\u00eda menos si fuese un m\u00f3vil con una ‘app’ que lo convierte en TPV. Por otra parte, asegura Garc\u00eda, gran experto en ondas, hay dispositivos como los Proxmark3, pensados para espiar y clonar se\u00f1ales de radio frecuencia (RFID), cuya antena aumentar\u00eda mucho el alcance del TPV o del m\u00f3vil que funcionase como tal: \u00abSu coste puede parecer elevado (unos 400 euros), pero si se valora el beneficio que un cibercriminal puede obtener, la cosa cambia. Adem\u00e1s de este dispositivo existen otros con capacidades t\u00e9cnicas superiores a las de un TPV y un precio no superior a los 50 euros\u00bb.
\nPero el argumento m\u00e1s convincente para nuestra tranquilidad es, como asegura Carlos Garc\u00eda, que ni la polic\u00eda ni Visa aseguran haber detectado robos usando esta t\u00e9cnica. Fuentes bancarias nos lo confirman: \u00abTras haber migrado una importante cifra de nuestras tarjetas a NFC no ha aumentado el fraude; m\u00e1s bien ha disminuido respecto de aquellos tiempos en que se llevaban nuestras tarjetas y nuestro DNI en un platillo para cobrarnos\u00bb.<\/p>\nLos bancos tranquilizan: \u00abSe trata de buscar un balance entre la ventaja que se ofrece al cliente, su experiencia de uso y el posible fraude\u00bb<\/p>\n
No hay banco consultado que no asegure que estamos ante una tecnolog\u00eda \u00abmadura y segura\u00bb. As\u00ed lo afirman en ING Direct: \u00abSe trata de buscar un balance entre la ventaja que se ofrece al cliente, su experiencia, la mejora de un servicio, y el posible fraude\u00bb. O en el blog de BBVA: \u00abLa tecnolog\u00eda ‘contactless’ es segura y adem\u00e1s existen mecanismos para aumentar la seguridad de tus tarjetas\u00bb.<\/p>\n
Estos mecanismos ser\u00edan la posibilidad de que el banco ponga a 0 el monto de compras que se pueden hacer sin PIN o, lo que es lo mismo, que todas las compras con NFC requieran PIN, tambi\u00e9n las de menos de 20\u20ac, posibilidad que algunos bancos permiten, como BBVA, y otros no, como ING Direct, por razones log\u00edsticas.
\nEn todo caso, la mayor\u00eda de bancos bloquear\u00e1n nuestra tarjeta NFC si durante un mismo d\u00eda se han realizado demasiadas compras sin PIN, siendo el n\u00famero tope entre 5 y 7. Otra medida es que no se permiten realizar dos compras sin PIN muy seguidas. Hay bancos cuyas ‘apps’ nos avisan cuando hemos hecho una compra y que incluso nos permiten configurar la tarjeta para que se \u00abapague\u00bb temporalmente o en determinadas circunstancias, como compras en una tienda o v\u00eda dat\u00e1fono. En todo caso, seamos clientes del banco que seamos, si somos v\u00edctimas de un fraude el banco nos devolver\u00e1 el dinero, previa presentaci\u00f3n de denuncia a la polic\u00eda.<\/p>\nPara no llegar a este extremo existen estrategias de protecci\u00f3n que evitan que alguien \u00abchupe\u00bb los datos de nuestra tarjeta: llevarla dentro de una funda de papel de aluminio o en un billetero creado especialmente para este menester. Desde INCIBE a\u00f1aden: \u00abLa mejor medida para nuestras tarjetas NFC es la prevenci\u00f3n, no descuidarlas y desconfiar de la gente que se arrime demasiado a tus bolsillos\u00bb.<\/p>\n
El investigador zaragozano Ricardo J. Rodr\u00edguez a\u00f1ade, respecto a los ataques de \u00abrelay\u00bb que demostr\u00f3 que eran posibles: \u00abLas tarjetas nuevas, al menos las de Mastercard, est\u00e1n empezando a incorporar mecanismos de protecci\u00f3n, como los protocolos de acotamiento de distancia que permitir\u00edan poder detectar cu\u00e1ndo una tarjeta NFC se est\u00e1 leyendo de manera ileg\u00edtima. Sin embargo, esto puede ser complicado llevar a la pr\u00e1ctica ante la cantidad de dispositivos m\u00f3viles NFC que abundan en el mercado, o las propias apps de determinados m\u00f3viles que \u00abrealmente\u00bb est\u00e1n haciendo ellas mismas un relay con el banco\u00bb.<\/p>\n","protected":false},"excerpt":{"rendered":"
Ser\u00e1 un gesto cada vez m\u00e1s cotidiano: al pagar, ya no meteremos la tarjeta de cr\u00e9dito por la ranura del dat\u00e1fono, sino que la acercaremos unos cent\u00edmetros al dispositivo de pago y, sin contacto f\u00edsico (de ah\u00ed lo de ‘contactless’), v\u00eda comunicaci\u00f3n inal\u00e1mbrica, pagaremos. Si la compra es menor de 20\u20ac no tendremos ni que […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[32],"tags":[],"_links":{"self":[{"href":"https:\/\/regardemoi.cl\/wp\/wp-json\/wp\/v2\/posts\/1183"}],"collection":[{"href":"https:\/\/regardemoi.cl\/wp\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/regardemoi.cl\/wp\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/regardemoi.cl\/wp\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/regardemoi.cl\/wp\/wp-json\/wp\/v2\/comments?post=1183"}],"version-history":[{"count":0,"href":"https:\/\/regardemoi.cl\/wp\/wp-json\/wp\/v2\/posts\/1183\/revisions"}],"wp:attachment":[{"href":"https:\/\/regardemoi.cl\/wp\/wp-json\/wp\/v2\/media?parent=1183"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/regardemoi.cl\/wp\/wp-json\/wp\/v2\/categories?post=1183"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/regardemoi.cl\/wp\/wp-json\/wp\/v2\/tags?post=1183"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}