Pueden leerse desde un móvil con una 'app' maliciosa

Por qué las nuevas tarjetas 'contactless' no son tan seguras como crees

Las tarjetas 'contactless' de débito y crédito ya están entre nosotros. Sin embargo, varias pruebas y estudios han demostrado que son mucho más inseguras de lo que parecen
Foto: Una tarjeta de crédito 'contactless'
Una tarjeta de crédito 'contactless'

Será un gesto cada vez más cotidiano: al pagar, ya no meteremos la tarjeta de crédito por la ranura del datáfono, sino que la acercaremos unos centímetros al dispositivo de pago y, sin contacto físico (de ahí lo de 'contactless'), vía comunicación inalámbrica, pagaremos. Si la compra es menor de 20€ no tendremos ni que poner el PIN. Rápido, fácil, indoloro pero... ¿seguro? No tanto como parece.

"Alrededor del 80% de nuestras tarjetas ya son 'contactless' y el objetivo es que a finales de 2016 sea el 100%", asegura a Teknautas un portavoz de ING Direct. La misma situación se comparte en el resto de entidades financieras españolas, decididas a acabar el año con esta nueva forma de pago convertida en estándar. Pero algunos no lo ven tan claro, como el profesor de la Universidad de Zaragoza, Ricardo J. Rodríguez, quien lleva años investigando los posibles fallos del 'contactless'.

El año pasado, Rodríguez y su alumno José Vila demostraron en diversas conferencias de seguridad informática cómo una 'app' maliciosa en el móvil, con capacidad para "leer" de forma inalámbrica los datos de nuestra tarjeta, podría robarlos. Por ejemplo, si móvil y tarjeta estuviesen en el mismo bolsillo. Después, la 'app' mandaría los datos a otro 'smartphone', desde el que se pagarían compras por cantidades que no necesitan PIN.

Expertos en seguridad consiguieron pagar en un TPV en Madrid con una tarjeta de crédito 'contactless' ubicada en Nueva York, a más de 8.000 km

En una prueba de concepto, consiguieron pagar en un terminal punto de venta (TPV) TPV en Madrid con una tarjeta de crédito ubicada físicamente en Nueva York, a más de 8.000 km, donde Rodríguez estaba dando la charla. La demostración provocó expectación mundial y, aunque algunos fabricantes de tarjetas trabajan en solucionarlo, a día de hoy el ataque sigue siendo viable. "Las tarjetas de crédito NFC son parcialmente seguras", explica a Teknautas el investigador. El problema reside en el protocolo de comunicación de la tarjeta, llamado NFC por ser las siglas en inglés de "Comunicación en el Campo Cercano".

Miguel Herrero, del Instituto Nacional de Ciberseguridad (INCIBE), lo explica muy bien: "En el campo cercano se produce un fenómeno de inducción magnética entre las dos antenas de los elementos que se desean comunicar", en este caso el TPV y la tarjeta. Esta tiene la antena embutida dentro, no se ve a simple vista, sólo a través de rayos X. La antena NFC se puede meter también en teléfonos móviles o pulseras, dispositivos que ya están bastante maduros para funcionar como métodos de pago".

Delincuentes a 10 centímetros

El campo de acción de una tarjeta NFC se limita, según Herrero, a unos 20 centímetros, "10 centímetros en la práctica". Esto obliga al delincuente que quiera robar datos de la tarjeta a acercarse mucho a la víctima, en entornos de masificación como el tren en hora punta o una discoteca. Pero, si lo consigue, tiene vía libre porque el problema de estas tarjetas es que "son simpáticas con los desconocidos", bromea Ricardo J. Rodríguez. O sea: sus datos no viajan cifrados y los dan a cualquier 'app' o dispositivo que se los pidan.

(Foto: Corbis)
(Foto: Corbis)

En un informe reciente, el CERT gubernamental español avisa claramente sobre este problema: "La tecnología NFC es insegura tal y como se ha demostrado en multitud de trabajos científicos, en donde se han relatado sus problemas de seguridad inherentes que son, básicamente, la escucha secreta o a escondidas, la alteración de la información transmitida y los ataques de retransmisión".

Según el informe, un dispositivo equipado con antena NFC puede leer y copiar los siguientes datos de una tarjeta de crédito también NFC: "Número de tarjeta, fecha de expiración, titular de la tarjeta e histórico de transacciones realizadas con la tarjeta, no sólo mediante NFC sinó también las verificadas con el chip de la tarjeta", algo que entra ya en el terreno no sólo del robo sino también de la violación de la privacidad.

Con esta información es posible clonar la tarjeta y usarla en compras menores, como sugiere Rodríguez: "Una tarjeta clónica para sacar el café en la máqina, subir al metro o fichar en la oficina". Cabe aclarar, dice el informe, que "los fabricantes de tarjetas están limitando al máximo la información que se filtra por NFC, evitando que las nuevas tarjetas emitan el titular y el histórico".

Otro ataque sería la modificación de la información que se transmite entre la tarjeta y el TPV: se podrían abortar la transacción o bloquear la tarjeta

Por contra, las nuevas 'apps' que están emitiendo las entidades bancarias, que permiten que nuestro móvil funcione como un TPV con tecnología NFC, aumentan el parque de teléfonos con capacidad para espiar los datos de las tarjetas de las personas que tienen más cerca. Ahora bien: estas 'apps' llevan los datos del dueño del móvil asociados, incluído su número de cuenta, por lo que si hubiese un robo por esta vía sería muy fácil localizar al ladrón.

Otro tipo de ataque que detalla el informe del CCN-CERT español sería la modificación de la información que se transmite entre la tarjeta y el TPV: algunas triquiñuelas podrían conseguir abortar la transacción o bloquear la tarjeta.

Por último, las tarjetas NFC son vulnerables a ataques de "relay" como el demostrado por Rodríguez y Vila. En un convención en Nueva York, Ricardo robó en directo los datos de una tarjeta NFC con una 'app' en su móvil y los mandó al móvil de Pepe, en Madrid, quien con este móvil realizó un pago de un euro en el TPV de su oficina. Así, una tarjeta que teóricamente sólo puede pagar a 10 centímetros de distancia, pagó a 8.000 kilémetros.

Ataques solo posibles con móviles Android

Este ataque, aún vigente, sólo es posible usando móviles Android pues, a partir de la versión 4.4 de este sistema operativo se incorporó la "mejora" de que el móvil pueda emular una tarjeta. En este contexto se entiende que, hace un par de semanas, corriese como la pólvora en las redes sociales la foto de una persona en el metro, con un terminal de punto de venta (TPV) en la mano.

El investigador zaragozano Ricardo J. Rodríguez
El investigador zaragozano Ricardo J. Rodríguez

El texto que acompañaba la foto aseguraba que el ladrón se acercaba a las personas que tuviesen tarjetas NFC en su cartera y, al ser la distancia entre ellos menor a 10 centímetrosm, podía cobrarles compras por menos de 20€, sin PIN. Investigadores de seguridad, fuerzas de la ley y bancos se apresuraron a desmentir la información, entre ellos Carlos García, quien aseguraba en su blog: "No podemos decir que sea falso, pero personalmente sí me atrevería a afirmar que es poco probable que algún delincuente realice el fraude de este modo".

Los motivos que aduce García son el hecho de que ir con un TPV en la mano "canta", aunque cantaría menos si fuese un móvil con una 'app' que lo convierte en TPV. Por otra parte, asegura García, gran experto en ondas, hay dispositivos como los Proxmark3, pensados para espiar y clonar señales de radio frecuencia (RFID), cuya antena aumentaría mucho el alcance del TPV o del móvil que funcionase como tal: "Su coste puede parecer elevado (unos 400 euros), pero si se valora el beneficio que un cibercriminal puede obtener, la cosa cambia. Además de este dispositivo existen otros con capacidades técnicas superiores a las de un TPV y un precio no superior a los 50 euros".

Pero el argumento más convincente para nuestra tranquilidad es, como asegura Carlos García, que ni la policía ni Visa aseguran haber detectado robos usando esta técnica. Fuentes bancarias nos lo confirman: "Tras haber migrado una importante cifra de nuestras tarjetas a NFC no ha aumentado el fraude; más bien ha disminuido respecto de aquellos tiempos en que se llevaban nuestras tarjetas y nuestro DNI en un platillo para cobrarnos".

Los bancos tranquilizan: "Se trata de buscar un balance entre la ventaja que se ofrece al cliente, su experiencia de uso y el posible fraude"

No hay banco consultado que no asegure que estamos ante una tecnología "madura y segura". Así lo afirman en ING Direct: "Se trata de buscar un balance entre la ventaja que se ofrece al cliente, su experiencia, la mejora de un servicio, y el posible fraude". O en el blog de BBVA: "La tecnología 'contactless' es segura y además existen mecanismos para aumentar la seguridad de tus tarjetas".

Estos mecanismos serían la posibilidad de que el banco ponga a 0 el monto de compras que se pueden hacer sin PIN o, lo que es lo mismo, que todas las compras con NFC requieran PIN, también las de menos de 20€, posibilidad que algunos bancos permiten, como BBVA, y otros no, como ING Direct, por razones logísticas.

En todo caso, la mayoría de bancos bloquearán nuestra tarjeta NFC si durante un mismo día se han realizado demasiadas compras sin PIN, siendo el número tope entre 5 y 7. Otra medida es que no se permiten realizar dos compras sin PIN muy seguidas. Hay bancos cuyas 'apps' nos avisan cuando hemos hecho una compra y que incluso nos permiten configurar la tarjeta para que se "apague" temporalmente o en determinadas circunstancias, como compras en una tienda o vía datáfono. En todo caso, seamos clientes del banco que seamos, si somos víctimas de un fraude el banco nos devolverá el dinero, previa presentación de denuncia a la policía.

Para no llegar a este extremo existen estrategias de protección que evitan que alguien "chupe" los datos de nuestra tarjeta: llevarla dentro de una funda de papel de aluminio o en un billetero creado especialmente para este menester. Desde INCIBE añaden: "La mejor medida para nuestras tarjetas NFC es la prevención, no descuidarlas y desconfiar de la gente que se arrime demasiado a tus bolsillos".

(Foto: Corbis)
(Foto: Corbis)

El investigador zaragozano Ricardo J. Rodríguez añade, respecto a los ataques de "relay" que demostró que eran posibles: "Las tarjetas nuevas, al menos las de Mastercard, están empezando a incorporar mecanismos de protección, como los protocolos de acotamiento de distancia que permitirían poder detectar cuándo una tarjeta NFC se está leyendo de manera ilegítima. Sin embargo, esto puede ser complicado llevar a la práctica ante la cantidad de dispositivos móviles NFC que abundan en el mercado, o las propias apps de determinados móviles que "realmente" están haciendo ellas mismas un relay con el banco".

¿Usa Ricardo J. Rodríguez tarjetas de crédito 'contactless'? "Sí, me parecen muy útiles y es una tecnología que ha venido a quedarse, e irá a más en los próximos años. Quizá hasta desaparezcan las tarjetas de crédito y llevemos únicamente el móvil con capacidades NFC o... ¿el reloj inteligente con NFC?". Seguro que lo veremos.

Tecnología

El redactor recomienda

Escribe un comentario... Respondiendo al comentario #1
9 comentarios
Por FechaMejor Valorados
Mostrar más comentarios

ºC

ºC