¿Son seguros los sistemas de pago sin contacto?

Tener una tarjeta bancaria sin contacto es algo muy útil. Sin embargo, su facilidad de uso nos hace pensar que también puede ser igual de sencillo que nos roben.

“Son 12,95 euros”, me dice la cajera del supermercado. Saco mi cartera y paso la tarjeta por el TPV, ese gesto tan familiar, espero un momento, oigo el pitido y… ¡voilá!, ¡se ha completado el pago!

Tener una tarjeta bancaria sin contacto es algo muy útil. No tienes que pasar la tarjeta, acordarte del número PIN, intentar firmar con un boli que nunca funciona, por no hablar del momento de sacar la cartera, buscar el dinero o intentar encontrar algo suelto en el fondo del bolsillo. Sólo un gesto y ya puedes irte.

Para las personas que trabajan en la caja, el pago sin contacto también es una ventaja: esto hace que el proceso de compra sea mucho más rápido y aumente su nivel de venta, disminuyendo las largas colas que se producen en este tipo de negocios.

Sin embargo, su facilidad de uso nos hace pensar que también puede ser igual de sencillo que nos roben.

Para poder comprobarlo, he estudiado una gran cantidad de informes de conferencias sobre hackeos, además de hablar con un gran número de representantes bancarios. La información recopilada es bastante positiva, pero no deja de presentar algunos inconvenientes.

Alcance

Las tarjetas sin contacto funcionan con la tecnología NFC (Near field communication, comunicación de campo cercano en español), una tecnología basada en la RFID (Radio Frequency IDentification, es decir, identificación por radiofrecuencia). Las tarjetas tienen un microchip integrado y una antena que responde a las órdenes del terminal de pago mediante una gama de frecuencia de 13.56 MHz. Existen diversos sistemas de pago que usan sus propios patrones como: Visa payWave, MasterCard PayPass, American Express ExpressPay, etc. Pero todos ellos emplean el mismo enfoque y la misma tecnología de base.

El alcance en la transmisión NFC es muy corto, menor de una pulgada, por lo que la primera línea de defensa es física. El lector, en esencia, debería encontrarse al lado de la tarjeta, por lo que no se podría hacer de forma clandestina.

Además, se podría montar un lector personalizado para operar a largo alcance. Por ejemplo, los investigadores de la universidad de Surrey demostraron que un escáner compacto es capaz de leer datos NFC a una distancia de 80cm.

Este tipo de dispositivos tienen la capacidad de gestionar solicitudes de tarjetas sin contacto en entornos públicos como los centros comerciales, aeropuertos y otros lugares concurridos. En muchos países las tarjetas compatibles con NFC están en todas las carteras, por lo tanto, los lugares con mucha masificación de gente pueden ser una gran fuente de posibles víctimas para los criminales.

Básicamente, alguien podría llegar más lejos y conseguir realizar un ataque sin contar con una proximidad física o un escáner personalizado. Los hackers españoles, Ricardo Rodriguez y José Vila, desarrollaron un método elegante para “eliminar la distancia” y lo presentaron en la conferencia Hack in the Box.

La mayoría de los smartphones hoy en día están equipados con un módulo NFC. Aparentemente, solemos colocar los smartphones cerca de la cartera, en un bolso o en el bolsillo. Rodriguez y Vila idearon el concepto de un Troyano de Android, el cual puede convertir al smartphone en un lector de NFC.

En cuanto un smartphone comprometido se coloque cerca de una tarjeta sin contacto, los hackers pueden tener la posibilidad de realizar una transacción. Después, los estafadores activan el TPV y colocan su smartphone con NFC cerca de éste. De esta manera, se crea una especie de puente entre la tarjeta NFC y la terminal, independientemente del alcance.

El troyano puede ser distribuido a través de métodos estándar como el que involucra un paquete de malware y una aplicación de pago hackeada. El único prerrequisito que existe es el de es tener un Android 4.4 o superior. De hecho, no es necesario el acceso root, aunque es una opción conveniente para que el troyano pueda trabajar cuando la pantalla del smartphone está bloqueada.

Cifrado

Conseguir una tarjeta al alcance de un lector es solo la mitad de la tarea. Hay otra, más seria, línea de defensa: el cifrado.

Las transacciones sin contacto están protegidas por el mismo estándar EMV que protege a las tarjetas de plástico normales que están equipadas con un chip EMV. Las bandas magnéticas son fáciles de clonar, a diferencia de los chips. Al recibir una solicitud de un TPV, su chip interno genera una clave de un solo uso. Esta clave podría ser interceptada, pero no sería válida para la siguiente transacción.

Los investigadores han mencionado varias veces su preocupación por la seguridad del sistema EMV; sin embargo, en la vida real, aún no se han escuchado casos de hackeo de tarjetas EMV.

Pero hay algo más. En una implementación estándar, el concepto de seguridad de la tarjeta EMV está basado en la combinación de claves de cifrado y un código PIN introducido por el usuario. En el caso de las transacciones sin contacto, no es necesario el código PIN, por lo tanto los sistemas de protección están limitados a claves de cifrado generadas por una tarjeta y una terminal.

“En teoría, es posible producir una terminal que lea datos de una tarjeta NFC de un bolsillo. Sin embargo, esta terminal personalizada debe emplear claves de cifrado obtenidas desde un banco y un sistema de pago. Las claves son emitidas por un banco, por lo que sería muy fácil investigar e identificar una estafa”, nos explica Alexander Taratorin, director de soporte de aplicaciones del banco Raiffeisen.

El valor de la transacción

Aún hay otra línea de defensa: la limitación del valor de las transacciones de pagos sin contacto. Este límite se codifica en los ajustes de la TPV, de manera que sea adecuada al banco, basado en recomendaciones obtenidas por los sistemas de pago. En Rusia, la cantidad máxima en las transacciones sin contacto es de 1000 rublos, mientras que en Estados Unidos el límite es de 25 dólares y en Inglaterra es de 20 libras (pronto serán 30 libras), etc.

En caso de que el límite se excediera, la transacción se rechazaría o requeriría una prueba de validez adicional, por ejemplo un código PIN o una firma, dependiendo de los ajustes hechos por el banco emisor. Para prevenir los intentos de cobros continuos de pequeñas cantidades, se solicitaría un mecanismo de seguridad adicional.

Sin embargo, esto tiene un pero. Hace casi un año, otro equipo de investigadores de la universidad de Newcastle (Reino Unido), informó de la existencia de una vulnerabilidad en el sistema de seguridad de las tarjetas sin contacto de Visa. Al elegir otra divisa que no fuera la libra, es posible superar el límite. Si el TPV está desconectado de la red, el valor máximo de transacción puede alcanzar hasta 1 millón de euros.

Sin embargo, los representantes de Visa negaron la viabilidad de este ataque en la vida real, declarando que una transacción de tal magnitud sería rechazada por los sistemas de seguridad de los bancos.

Según Taratorin, del bano Raiffeisen, los TPV controlan el valor máximo de la transacción, independientemente de la moneda.

Elegiremos un camino diferente

Entonces, ¿con esto se puede asegurar la improbabilidad de que falle el sistema de pago de un banco para prevenir un fraude a través de una transacción sin contacto? La respuesta es sí, siempre que los estafadores no trabajen para el mismo banco.

Además, existe otro descubrimiento desagradable. El sistema NFC puede facilitar el robo de credenciales de tarjeta de pago, en caso de que la transacción no pueda ser hackeada.

El estándar EMV presupone que algunos datos se almacenan sin cifrar en la memoria del chip; hablamos dedatos como el número de tarjeta, últimas transacciones, etc., dependiendo de las políticas del banco emisor o del sistema de pago. Los datos podría ser leídos a través de un smartphone con NFC y una aplicación legítima (como Banking card reader NFC), puedes comprobarlo por ti mismo.

Hasta ahora, la información en juego era considerada abierta e insuficiente para comprometer la seguridad de la tarjeta. Sin embargo, un medio de comunicación de consumo británico importante, sorprendentemente, acabó con el mito.

Los expertos de Which?, probaron con diferentes tarjetas sin contacto emitidas por bancos británicos. Con la ayuda de un lector asequible y un software gratuito, pudieron descifrar el número de la tarjeta y la fecha de caducidad de todas las tarjetas participantes.

Se puede pensar que no hay  de lo que preocuparse. ¿No son necesarios los dígitos del código de seguridad CVV para realizar una compra por Internet?

La triste realidad es que muchas tiendas virtuales no piden el CVV. Los expertos de Which?, pidieron una televisión de 3 mil libras a uno de los principales minoristas online.

El resultado final

Aunque la tecnología de pago sin contacto presupone varias capas de protección, esto no significa que tu dinero esté 100% seguro. Muchos elementos de las tarjetas bancarias están basados en tecnologías obsoletas como las bandas magnéticas, la posibilidad de realizar pagos online sin una autenticación adicional, etc.

En muchos aspectos, la seguridad depende de los ajustes utilizados por las instituciones financieras y por las tiendas online. Éstas, en la búsqueda de la compra rápida y de tener menos “carritos de compra abandonados”, prefieren sacrificar la seguridad del pago por obtener mayores  ingresos.

Es por eso que las recomendaciones de seguridad básicas siguen estando a la orden del día incluso en el caso de los pagos sin contacto. Evita que otras personas vean tu número PIN o la información de tu tarjeta, no enseñes tu tarjeta, ten cuidado al descargar alguna aplicación en tu smartphone, instala un antivirus, activa las notificaciones de tus movimientos bancarios por mensaje de texto y avisa a tu banco en cuanto observes alguna actividad sospechosa.

Si quieres asegurarte de que nadie lea tu tarjeta NFC, considera la compra de un sistema de protección para tu  cartera. De todas maneras no se puede engañar a las leyes de la física.

Consejos