¿Son seguros los pagos con tarjetas sin contacto?

Una tarjeta bancaria sin contacto es algo muy conveniente. Sin embargo, su facilidad de uso podría hacerte dudar si el robo de tu dinero es igual de fácil.

“Su total a pagar es de $12.95 dólares”, me dice el cajero de la tienda. Saco mi cartera para pagar en la terminal, luego escucho un bip y – ¡hecho! – ¡transacción completa!

Una tarjeta sin contacto es muy conveniente. No necesitas deslizar tu tarjeta, o recordar el PIN, poner una firma, ni sacar la cartera para buscar efectivo o buscar monedas en el fondo de tu bolsa. Simplemente un toque y listo.

Los cajeros de las tiendas también están contentos del pago sin contacto: hace que el proceso de compra sea más rápido, incrementando el “ancho de banda” del cajero, conocido como el cuello de la botella en los procesos de venta.

Sin embargo, su facilidad de uso te hace dudar si te pueden robar de la misma manera. ¿Un criminal podría tocar tu bolsillo con un lector clandestino y robar todo tu dinero?

Para poder saberlo, estudié muchos informes de conferencias de hackeo y hablé con varios representantes de bancos. Las respuestas fueron muy positivas, pero no sin tener pequeñas desventajas.

Alcance

Las tarjetas sin contacto operan con NFC (comunicación de campo cercano, en español). Una tarjeta tiene un chip y una antena integrada que responden a la solicitud de la terminal, utilizando 13.56 MHz de frecuencia. Cada sistema de pago tiene sus propios estándares llamados Visa payWave, MasterCard PayPass, American Express ExpressPay, etc. Pero todos emplean el mismo enfoque y la misma tecnología.

El alcance de la transmisión NFC es pequeña – menos de una pulgada. Entonces, la primera línea de defensa es física. De hecho, el lector debería ser colocado a una proximidad inmediata a la tarjeta, que difícilmente podía hacerse clandestinamente.

Al mismo tiempo, se podría montar un lector personalizado para operar a largo alcance. Por ejemplo, los investigadores de la universidad de Surrey demostraron que un escáner compacto es capaz de leer datos NFC a una distancia de 80cm.

Este tipo de dispositivos tienen la capacidad de emitir solicitudes de tarjetas sin contacto en tránsito público como en centros comerciales, aeropuertos y otros lugares “poblados”. En muchos países las tarjetas compatibles con NFC se encuentran en 1 de cada 2 carteras, por lo tanto, un lugar con mucha gente puede significar una alberca de víctimas para los criminales.

Básicamente, alguien podría hacerlo sin una proximidad física o un escáner personalizado. Los hackers españoles, Ricardo Rodrigues y José Villa desarrollaron un método elegante de “eliminar distancia” y lo presentaron en la conferencia Hack in the Box.

 

La mayoría de los smartphones de hoy en día están equipados con un módulo NFC. Aparentemente, los smartphones se localizan frecuentemente cerca de la cartera, o en un bolso o bolsillo. Rodrigues y Villa idearon el concepto de un Troyano de Android, el cual puede convertir al smartphone de objetivo en un transpondedor de NFC.

Tan pronto un smartphone comprometido se coloque cerca de una tarjeta sin contacto, esto señala una posibilidad para los hackers de hacer una transacción. Después, los estafadores activan una terminal POS y colocan su smartphone con NFC cerca de ésta. De esta manera, se crea un tipo de puente entre la tarjeta NFC y la terminal, independientemente del alcance.

El troyano puede ser distribuido a través de métodos estándar como el que involucra un paquete de malware y una aplicación de pago hackeada. El único requisito para esto es tener a partir de Android 4.4. De hecho no es necesario el acceso root, aunque es una opción conveniente para que el troyano pueda trabajar cuando la pantalla del smartphone está bloqueada.

Cifrado

Conseguir una tarjeta al alcance de un lector es solo la mitad de la tarea. Hay otra, más seria, la línea de defensa – el cifrado.

Las transacciones sin contacto están protegidas por el mismo estándar EMV, el cual protege a las tarjetas de plástico normales equipadas con un chip EMV. Las bandas magnéticas son fáciles de clonar, a diferencia de los chips. Al recibir una solicitud de una terminal POS, su chip interno genera una clave de un solo uso. Esta clave podría ser interceptada, pero no sería válida para una próxima transacción.

Los investigadores han mencionado varias veces su preocupación por la seguridad EMV; sin embargo, en la vida real, aún no se han escuchado casos de hackeo de tarjetas EMV.

Pero hay algo más. En una implementación estándar, el concepto de seguridad de la tarjeta EMV está basado en la combinación de claves de cifrado y un código PIN introducido por el usuario. En el caso de transacciones sin contacto, el código PIN no es requerido, por lo tanto los medios de protección están limitados a claves de cifrado generadas por una tarjeta y una terminal.

“En teoría, es posible producir una terminal que lea datos de una tarjeta NFC de un bolsillo. Sin embargo, esta terminal personalizada debe emplear claves de cifrado obtenidas desde un banco y un sistema de pago. Las claves son emitidas por un banco, por lo que sería muy fácil investigar e identificar una estafa”, explicó Alexander Taratorin, director de soporte de aplicaciones del banco Raiffeisen.

El valor de la transacción

Aún hay otra línea de defensa: limitación del valor de transacción de pagos sin contacto. Este límite se codifica en los ajustes de la terminal POS, de manera que sea adecuada al banco, basado en recomendaciones obtenidas por los sistemas de pago. En Rusia, el valor máximo de transacciones sin contacto es de 1000RUB, mientras que en Estados Unidos el límite es de $25 y en Inglaterra es de 20 libras (pronto serán 30libras), etc.

En caso de que el límite se excediera, la transacción se rechazaría o requeriría una prueba de validez adicional, por ejemplo un código PIN o una firma, dependiendo de los ajustes hechos por el banco emisor. Para prevenir los intentos de cobros continuos de pequeñas cantidades, se solicitaría un mecanismo de seguridad adicional.

Sin embargo, hay una trampa. Hace casi un año, otro equipo de investigadores de la universidad de Newcastle (Reino Unido), reportaron una vulnerabilidad en el sistema de seguridad de las tarjetas sin contacto de Visa. Al elegir otra plataforma de pago en un valor de moneda diferente, puedes superar el límite. Si una terminal POS está desconectada (offline), el valor máximo de transacción puede alcanzar hasta 1 millón de euros.

Sin embargo, los representantes de Visa negaron la viabilidad de este ataque en la vida real, declarando que una transacción así de grande sería rechazada por los sistemas de seguridad de los bancos.

Según Taratorin, del bano Raiffeisen, una terminal POS controla el valor máximo de la transacción, independientemente del valor de la moneda.

Elegiremos un camino diferente

Entonces, ¿con esto se puede asegurar la improbabilidad de que falle el sistema de pago de un banco para prevenir un fraude a través de una transacción sin contacto? La respuesta es sí, siempre que los estafadores no trabajen para el mismo banco.

Al mismo tiempo, existe otro descubrimiento desagradable. La NFC puede facilitar el robo de credenciales de tarjeta de pago, en caso de que la transacción no pueda ser robada.

El estándar EMV presupone que algunos datos se almacenan sin cifrar en la memoria del chip. Datos como el número de tarjeta, últimas transacciones, etc., dependiendo de las políticas del banco emisor o del sistema de pago. Los datos podría ser leídos a través de un smartphone con NFC y una aplicación legítima (como Banking card reader NFC, lector de tarjeta de banco, en español), véanlo ustedes mismos.

Hasta ahora, la información en juego era considerada abierta e insuficiente para comprometer la seguridad de la tarjeta. Sin embargo, un medio de comunicación de consumo británico importante, sorprendentemente, acabó con el mito.

Los expertos (¿cuáles?), probaron con diferentes tarjetas sin contacto emitidas por bancos británicos. Con la ayuda de un lector asequible y un software gratis, pudieron descifrar el número de la tarjeta y la fecha de expiración de todas las tarjetas participantes.

¿Acaso no se necesita un código CVV para hacer compras online?

La triste realidad es que muchos mercados no requieren el CVV (código de seguridad). Lo expertos (¿quiénes?), pidieron una televisión de 3 mil libras a uno de los principales minoristas online.

El resultado final

Visto que la tecnología de pago sin contacto presupone varias capaz de protección, esto no significa que tu dinero está 100% seguro. Muchos elementos de las tarjetas de banco están basadas en tecnologías obsoletas como la banda magnética, la posibilidad de pagar online sin una autenticación adicional, etc.

En muchos aspectos, la seguridad depende de los ajustes utilizados por instituciones financieras y minoristas. Éstos, en la búsqueda de la compra rápida y de tener menos “carritos de compra abandonados”, prefieren sacrificar la seguridad del pago por mayores ganancias.

Es por eso que las recomendaciones de seguridad básicas siguen estando actualizadas incluso en el caso de pagos sin contacto. Evita que otra gente vea tu PIN o información de tarjeta, no muestres tu tarjeta, ten cuidado al descargar alguna aplicación a tu Smartphone, instala un antivirus, activa las notificaciones por mensaje de texto de tu banco y avisa a tu banco en cuanto veas actividad sospechosa.

Si quieres asegurarte de que nadie lea tu tarjeta NFC, considera la compra de una cartera. De todas maneras no se pueden engañar las leyes de la física.

Consejos