Por qué las nuevas tarjetas 'contactless'
no son tan seguras como crees
no son tan seguras como crees
Las tarjetas 'contactless' de débito y crédito ya están entre nosotros. Sin embargo, varias pruebas y estudios han demostrado que son mucho más inseguras de lo que parecen.
Será un gesto cada vez más cotidiano: al pagar, ya no meteremos la tarjeta de crédito por la ranura del datáfono, sino que la acercaremos unos centímetros al dispositivo de pago y, sin contacto físico (de ahí lo de 'contactless'), vía comunicación inalámbrica, pagaremos. Si la compra es menor de 20€ no tendremos ni que poner el PIN. Rápido, fácil, indoloro pero... ¿seguro? No tanto como parece. "Alrededor del 80% de nuestras tarjetas ya son 'contactless' y el objetivo es que a finales de 2016 sea el 100%", asegura a Teknautas un portavoz de ING Direct. La misma situación se comparte en el resto de entidades financieras españolas, decididas a acabar el año con esta nueva forma de pago convertida en estándar. Pero algunos no lo ven tan claro, como el profesor de la Universidad de Zaragoza, Ricardo J. Rodríguez, quien lleva años investigando los posibles fallos del 'contactless'. El año pasado, Rodríguez y su alumno José Vila demostraron en diversas conferencias de seguridad informática cómo una 'app' maliciosa en el móvil, con capacidad para "leer" de forma inalámbrica los datos de nuestra tarjeta, podría robarlos. Por ejemplo, si móvil y tarjeta estuviesen en el mismo bolsillo. Después, la 'app' mandaría los datos a otro 'smartphone', desde el que se pagarían compras por cantidades que no necesitan PIN.
Expertos en seguridad consiguieron pagar en un TPV en Madrid con una tarjeta de crédito 'contactless' ubicada en Nueva York, a más de 8.000 km
En una prueba de concepto, consiguieron pagar en un terminal punto de venta (TPV) TPV en Madrid con una tarjeta de crédito ubicada físicamente en Nueva York, a más de 8.000 km, donde Rodríguez estaba dando la charla. La demostración provocó expectación mundial y, aunque algunos fabricantes de tarjetas trabajan en solucionarlo, a día de hoy el ataque sigue siendo viable. "Las tarjetas de crédito NFC son parcialmente seguras", explica a Teknautas el investigador. El problema reside en el protocolo de comunicación de la tarjeta, llamado NFC por ser las siglas en inglés de "Comunicación en el Campo Cercano". Miguel Herrero, del Instituto Nacional de Ciberseguridad (INCIBE), lo explica muy bien: "En el campo cercano se produce un fenómeno de inducción magnética entre las dos antenas de los elementos que se desean comunicar", en este caso el TPV y la tarjeta. Esta tiene la antena embutida dentro, no se ve a simple vista, sólo a través de rayos X. La antena NFC se puede meter también en teléfonos móviles o pulseras, dispositivos que ya están bastante maduros para funcionar como métodos de pago". Delincuentes a 10 centímetros El campo de acción de una tarjeta NFC se limita, según Herrero, a unos 20 centímetros, "10 centímetros en la práctica". Esto obliga al delincuente que quiera robar datos de la tarjeta a acercarse mucho a la víctima, en entornos de masificación como el tren en hora punta o una discoteca. Pero, si lo consigue, tiene vía libre porque el problema de estas tarjetas es que "son simpáticas con los desconocidos", bromea Ricardo J. Rodríguez. O sea: sus datos no viajan cifrados y los dan a cualquier 'app' o dispositivo que se los pidan.
MÉS INFORMACIÓ A: EL CONFIDENCIAL
