Hace un par de días advertía a una amiga de lo peligrosas que pueden llegar a ser las tecnologías inalámbricas, concretamente el uso de las tarjetas contactless. Le comentaba que el contactless es un sistema de pago inseguro, si bien es cierto que no más que cualquier otro, a lo que ella respondía enérgicamente… “Es completamente seguro, puesto que hemos probado a cargar un importe a una tarjeta visa a  cierta distancia, con el datáfono de la tienda, y no lo hemos conseguido“.

Bueno, es cierto que con un datáfono y los conocimientos de un pez sobre aeronáutica nuestra seguridad está garantizada, pero sí, aunque parezca inverosímil hay gente mala que sabe mucho de informática, incluso más que nosotros.

Por ello he decidido dedicar un artículo a este tema. Sin querer obtener un doctorado sobre el asunto, vamos a ver algunos aspectos de la tecnología contactless y sus vulnerabilidades.

En primer lugar debemos conocer ciertos términos::

Qué es contactless:

contasoloLos sistemas de pago contactless permiten realizar compras tan solo acercando la tarjeta al terminal punto de venta de los comercios (TPV/datáfonos).

Gracias al nuevo sistema de pago, los consumidores ahorran tiempo, ya que acercar la tarjeta al datáfono es mucho más fácil y ágil que el pago convencional.

La tecnología necesaria para poder operar contactless es el NFC y requiere tarjetas contactless, datáfonos contactless y cajeros contactless.”

CaixaBank.

Qué es NFC:

nfcsoloLas siglas NFC (Near Field Communication). lo que podemos traducir como comunicación de campo cercano.

Esta tecnología inalámbrica dispone de una cobertura aproximada de entre 10 y 15 centímetros.

Su funcionamiento está basado en la creación de un campo electromagnético en el que, mediante inducción, se genera una transferencia de información entre dispositivos.

El estándar NFC dispone de dos modos: activo y pasivo.

  • Modo activo, ambos dispositivos disponen de una conexión eléctrica o fuente de energía, en consecuencia ambos son capaces de generar su propio campo electromagnético y por tanto utilizarlo para intercambiar información.
  • Modo pasivo, uno de los dispositivos no dispone de energía propia y, por tanto, necesita que el segundo dispositivo genere el campo electromagnético (Visa/Datafono).

Aclaradas los dos puntos principales tenemos que la tecnología que nos permite operar con Contactless es el estándar NFC, en consecuencia podemos decir que NFC requiere tarjetas contactless, datáfonos contactless y cajeros contactless, entre otros.

La tecnología NFC la incorporan muchos dispositivos como son tarjetas de créditos, el nuevo DNI, Smartphones, etc… y la verdad facilita enormemente la vida. Ya no es necesario sacar la tarjeta e introducirla en el lector de banda magnética, ahora sólo con acercarla al datáfono, o cualquier lector NFC, podemos incrementar nuestra cesta de la compra.

NFC opera en la frecuencia de 13.56 MHz, banda que no necesita de ninguna licencia administrativa para transmitir, y que permite la operación a una distancia inferior a 10 centímetros con velocidades de transmisión de 106 Kbit/s, 212 Kbit/s y 424 Kbit/.

Vulnerabilidades conocidas

Como cualquier tecnología inalámbrica NFC nos proporciona un riesgo elevado puesto que, el mero hecho de acercar un equipo de cobro NFC, puede suponerse un cargo de hasta 20 Euros sin necesidad de introducir el PIN.

  1. En 2014 la universidad de Newcastle (NewcastleUniversity) encontró una vulnerabilidad bastante importante. Los investigadores llegaron a demostrar que cuando el importe de una compra se solicitaba en moneda extranjera, el sistema aprobaba transacciones en efectivo ilimitadas sin un PIN, mientras que la tarjeta se encontraba en el bolsillo o bolsa de la víctima. Más concretamente, las transacciones podían ser aceptadas hasta 999.999.99 en cualquier moneda extranjera.
  2. En 2012 Renaud Lifchitz (ingeniero de seguridad en BT) mostró nuevas vulnerabilidades de la tecnología NFC. Equipado con una antena dedicada y un amplificador podía captar una tarjeta Contactless a 1.5 metros e incluso con una equipo de radio (USRP) y una antena telescópica podía mantenerse a una distancia de 15 metros y ser igual de eficiente que a 5 centímetros.
  3. José Vila y Ricardo J. Rodríguez (Universidad de Zaragoza). Estos dos investigadores descubrieron que es posible que un ‘smartphone’ detecte una tarjeta NFC y transmita la información a otro teléfono para que se pueda hacer pasar por ella. Se podría robar información de carácter personal, desde el número de la tarjeta hasta el titular de la misma, e incluso la fecha de caducidad, que son los datos que se transmiten por defecto cuando tú estás leyendo una tarjeta en NFC”, explica Ricardo.

Podríamos seguir con más ejemplos de la vulnerabilidades detectadas en torno a los sistemas de pago Contactless, si bien es cierto que los bancos dispones de muchos métodos de protección contra dichos ataques, como por ejemplo: el número de cobros consecutivos, límites en los pagos diarios, la posibilidad de deshabilitar o bajar el crédito de pagos Contactless, la huella digital de los dispositivos, etc…

Conclusiones

Después de haber leído mucho, creo que la mejor opción para evitar robos no deseados es sencillamente no tener dinero, en cualquier caso, si no os gusta la idea, un amigo me habló de las carteras y fundas de protección, que disponen de un mallado (Jaula de Faraday) que atenúa la señal NFC, dejándola sin efecto, además de proteger nuestras tarjetas contra campos magnéticos.

ant-nfc.jpgOs dejo algunas referencias muy interesantes y sobre las cuales he basado en este artículo.

Anuncios