¿Son seguras las nuevas tarjetas de crédito "contactless"?

21/03/2016
Publicat a: El Confidencial

Será un gesto cada vez más cotidiano: al pagar, ya no meteremos la tarjeta de crédito por la ranura del TPV, sino que la acercaremos unos centímetros al dispositivo de pago y, sin contacto físico (de ahí lo de "contactless"), vía comunicación inalámbrica, pagaremos. Si la compra es menor de 20€ no tendremos ni que poner el PIN. Rápido, fácil, indoloro pero... ¿seguro?

"Alrededor del 80% de nuestras tarjetas son "contactless" y el objetivo es que a finales de 2016 sea el 100%", nos explican en ING Direct. La misma situación se comparte en el resto de entidades financieras españolas, decididas a acabar el año con esta nueva forma de pago convertida en estándar. Pero algunos no lo ven tan claro, como el profesor de la Universidad de Zaragoza, Ricardo J. Rodríguez, quien lleva años investigando los posibles fallos del "contactless".

El año pasado, Rodríguez y su alumno José Vila demostraron en diversas conferencias de seguridad informática http://www.eldiario.es/hojaderouter/seguridad/Ricardo_J-_Rodriguez-Jose_Vila-Rooted_CON-tarjeta-credito-NFC_0_363613845.html cómo una app maliciosa en nuestro móvil, con capacidad para "leer" de forma inalámbrica los datos de nuestra tarjeta, podría robarlos. Por ejemplo, si móvil y tarjeta estuviesen en el mismo bolsillo. Después, la app mandaría los datos a otro móvil, desde el que se pagarían compras por cantidades que no necesitan PIN.

En una prueba de concepto, consiguieron pagar en un TPV en Madrid con una tarjeta de crédito ubicada físicamente en Nueva York, a más de 8.000 km, donde Rodríguez estaba dando la charla. La demostración provocó expectación mundial y, aunque algunos fabricantes de tarjetas trabajan en solucionarlo, a día de hoy el ataque sigue siendo viable. "Las tarjetas de crédito NFC son parcialmente seguras", asegura el investigador. El problema reside en el protocolo de comunicación de la tarjeta, llamado NFC por ser las siglas en inglés de "Comunicación en el Campo Cercano".

Miguel Herrero, de INCIBE, lo explica muy bien https://www.incibe.es/blogs/post/Seguridad/BlogSeguridad/Articulo_y_comentarios/tecnologia_NFC: "En el campo cercano se produce un fenómeno de inducción magnética entre las dos antenas de los elementos que se desean comunicar", en este caso el terminal de venta (TPV) y la tarjeta. Esta tiene la antena embutida dentro, no se ve a simple vista, sólo a través de rayos X. La antena NFC se puede meter también en teléfonos móviles o pulseras, dispositivos que ya están bastante maduros para funcionar como métodos de pago.

El campo de acción de una tarjeta NFC se limita, según Herrero, a unos 20 centímetros, "10 centímetros en la práctica". Esto obliga al delincuente que quiera robar datos de la tarjeta a acercarse mucho a la víctima, en entornos de masificación como el tren en hora punta o una discoteca. Pero, si lo consigue, tiene vía libre porque el problema de estas tarjetas es que "son simpáticas con los desconocidos", bromea Ricardo J. Rodríguez. O sea: sus datos no viajan cifrados y los dan a cualquier "app" o dispositivo que se los pidan.

El "Informe de Amenazas CCN-CERT IA-05/16 Comunicación de campo cercano (Near Field Communication-NFC)" https://www.ccn-cert.cni.es/informes/informes-ccn-cert-publicos/1378-ccn-cert-ia-05-16-comunicacion-de-campo-cercano-near-field-communication-nfc-vulnerabilidades/file.html, del CERT gubernamental español avisa claramente sobre este problema: "La tecnología NFC es insegura tal y como se ha demostrado en multitud de trabajos científicos, en donde se han relatado sus problemas de seguridad inherentes que son, básicamente, la escucha secreta o a escondidas, la alteración de la información transmitida y los ataques de retransmisión".

Según el informe, un dispositivo equipado con antena NFC puede leer y copiar los siguientes datos de una tarjeta de crédito también NFC: "Número de tarjeta, fecha de expiración, titular de la tarjeta e histórico de transacciones realizadas con la tarjeta, no sólo mediante NFC sinó también las verificadas con el chip de la tarjeta", algo que entra ya en el terreno no sólo del robo sino también de la violación de la privacidad.

Con esta información es posible clonar la tarjeta https://n0where.net/clone-contactless-payment-devices/ y usarla en compras menores, como sugiere Rodríguez: "Una tarjeta clónica para sacar el café en la máqina, subir al metro o fichar en la oficina". Cabe aclarar, dice el informe, que "los fabricantes de tarjetas están limitando al máximo la información que se filtra por NFC, evitando que las nuevas tarjetas emitan el titular y el histórico".

Por contra, las nuevas apps que están emitiendo las entidades bancarias, que permiten que nuestro móvil funcione como un TPV con tecnología NFC, aumentan el parque de teléfonos con capacidad para espiar los datos de las tarjetas de las personas que tienen más cerca. Ahora bien: estas apps llevan los datos del dueño del móvil asociados, incluído su número de cuenta, por lo que si hubiese un robo por esta vía sería muy fácil localizar al ladrón.

Otro tipo de ataque que detalla el informe del CCN-CERT español sería la modificación de la información que se transmite entre la tarjeta y el TPV: algunas triquiñuelas podrían conseguir abortar la transacción o bloquear la tarjeta.

Por último, las tarjetas NFC son vulnerables a ataques de "relay" como el demostrado por Rodríguez y Vila. En un convención en Nueva York, Ricardo robó en directo los datos de una tarjeta NFC con una app en su móvil y los mandó al móvil de Pepe, en Madrid, quien con este móvil realizó un pago de un euro en el TPV de su oficina. Así, una tarjeta que teóricamente sólo puede pagar a 10 cm de distancia, pagó a 8.000 km.

Este ataque, aún vigente, sólo es posible usando móviles Android pues, a partir de la versión 4.4 de este sistema operativo se incorporó la "mejora" de que el móvil pueda emular una tarjeta. En este contexto se entiende que, hace un par de semanas, corriese como la pólvora en las redes sociales la foto de una persona en el metro, con un terminal de punto de venta (TPV) en la mano.https://www.facebook.com/photo.php?fbid=1565841057075425&set=a.1435581710101361.1073741828.100009486361635&type=3&theater

El texto que acompañaba la foto aseguraba que el ladrón se acercaba a las personas que tuviesen tarjetas NFC en su cartera y, al ser la distancia entre ellos menor a 10cm, podía cobrarles compras por menos de 20€, sin PIN. Investigadores de seguridad, fuerzas de la ley y bancos https://www.blogbbva.es/tecnologia-contactless-seguridad/ se apresuraron a desmentir la información, entre ellos Carlos García, quien aseguraba en su blog https://www.webmip.es/nfc-contactless-y-fraude-bancario-mitos-y-verdades/: "No podemos decir que sea falso, pero personalmente sí me atrevería a afirmar que es poco probable que algún delincuente realice el fraude de este modo".

Los motivos que aduce García son el hecho de que ir con un TPV en la mano "canta", aunque cantaría menos si fuese un móvil con una app que lo convierte en TPV. Por otra parte, asegura García, gran experto en ondas, hay dispositivos como los Proxmark3, pensados para espiar y clonar señales de radio frecuencia (RFID), cuya antena aumentaría mucho el alcance del TPV o del móvil que funcionase como tal: "Su coste puede parecer elevado (400€ aprox.), pero si se valora el beneficio que un cibercriminal puede obtener, la cosa cambia. Además de este dispositivo existen otros con capacidades técnicas superiores a las de un TPV y un precio no superior a los 50€".

Pero el argumento más convincente para nuestra tranquilidad es, como asegura Carlos García, que ni la policía ni VISA aseguran haber detectado robos usando esta técnica. Fuentes bancarias nos lo confirman: "Tras haber migrado una importante cifra de nuestras tarjetas a NFC no ha aumentado el fraude; más bien ha disminuido respecto de aquellos tiempos en que se llevaban nuestras tarjetas y nuestro DNI en un platillo para cobrarnos".

No hay banco consultado que no asegure que estamos ante una tecnología "madura y segura". Así lo afirman en ING Direct: "Se trata de buscar un balance entre la ventaja que se ofrece al cliente, su experiencia, la mejora de un servicio, y el posible fraude". O en el blog de BBVA: "La tecnología contactless es segura y además existen mecanismos para aumentar la seguridad de tus tarjetas".

Estos mecanismos serían la posibilidad de que el banco ponga a 0 el monto de compras que se pueden hacer sin PIN o, lo que es lo mismo, que todas las compras con NFC requieran PIN, también las de menos de 20€, posibilidad que algunos bancos permiten, como BBVA, y otros no, como ING Direct, por razones logísticas.

En todo caso, la mayoría de bancos bloquearán nuestra tarjeta NFC si durante un mismo día se han realizado demasiadas compras sin PIN, siendo el número tope entre 5 y 7. Otra medida es que no se permiten realizar dos compras sin PIN muy seguidas. Hay bancos cuyas apps nos avisan cuando hemos hecho una compra y que incluso nos permiten configurar la tarjeta para que se "apague" temporalmente o en determinadas circunstancias, como compras en una tienda o vía datáfono. En todo caso, seamos clientes del banco que seamos, si somos víctimas de un fraude el banco nos devolverá el dinero, previa presentación de denuncia a la policía.

Para no llegar a este extremo existen estrategias de protección que evitan que alguien "chupe" los datos de nuestra tarjeta: llevarla dentro de una funda de papel de aluminio o en un billetero creado especialmente para este menester. Desde INCIBE añaden: "La mejor medida para nuestras tarjetas NFC es la prevención, no descuidarlas y desconfiar de la gente que se arrime demasiado a tus bolsillos".

Nuestro investigador zaragozano Ricardo J. Rodríguez añade, respecto a los ataques de "relay" que demostró que eran posibles: "Las tarjetas nuevas, al menos de Mastercard, están empezando a incorporar mecanismos de protección, como los protocolos de acotamiento de distancia que permitirían poder detectar cuando una tarjeta NFC se está leyendo de manera ilegítima. Sin embargo, esto puede ser complicado de llevar a la práctica ante la cantidad de dispositivos móviles NFC que abundan en el mercado, o las propias apps de determinados móviles que "realmente" están haciendo ellas mismas un relay con el banco".

¿Usa Ricardo J. Rodríguez tarjetas de crédito NFC? "Sí, me parecen muy útiles y es una tecnología que ha venido a quedarse, e irá a más en los próximos años. Quizá hasta desaparezcan las tarjetas de crédito y llevemos únicamente el móvil con capacidades NFC o... ¿el reloj inteligente con NFC?". Seguro que lo veremos.



Mercè Molist