Seguridad

Pagos sin contacto: ESET analiza la seguridad de los pagos NFC

Hace aproximadamente dos décadas, las tarjetas de crédito con banda magnética ya se utilizaban de forma habitual. No obstante, su seguridad era débil y el requisito de la firma complicaba a menudo las transacciones, por no mencionar que carecían de cifrado de datos, lo que las hacía vulnerables a la sustracción y clonación por parte de delincuentes.

La evolución hacia las tarjetas con chip representó un avance significativo al introducir cifrado de datos, autenticación mediante PIN y mayor seguridad en comparación con las tarjetas que solo disponían de banda magnética. Pese a que las tarjetas con chip mejoraron la seguridad al requerir autenticación, aún presentaban riesgos de clonación o robo de información, aunque ahora más desafiantes para los criminales en comparación con las tarjetas únicamente magnéticas.

En este panorama, la “comunicación de campo cercano”, o NFC (Near Field Communication), derivada de la identificación por radiofrecuencia (RFID), surgió como nuevo estándar de pago en los últimos años. Con esta tecnología, las tarjetas con chip se han vuelto aún más útiles, ya que en lugar de tener que introducirlas en terminales de pago y cajeros automáticos, basta con tocar un dispositivo de pago habilitado para NFC para realizar un pago. Aparte de las tarjetas sin contacto, llamadas “contactless”, ahora los teléfonos y otros dispositivos también pueden cumplir esta función a través de servicios como Apple Pay o Google Pay, que, tras cargar los datos de la tarjeta en el servicio, permiten utilizar el teléfono para realizar pagos.

Sin embargo, debido al corto alcance de NFC, este método no es útil para grandes transferencias de datos. “A diferencia del Wi-Fi o del Bluetooth, es más lento y requiere que los dos dispositivos que se comunican estén muy cerca. Esto tiene cierto parecido con las transferencias de archivos por infrarrojos del pasado, que funcionaban de forma similar, pero eran mucho menos cómodas y no funcionaban bien todas las veces. Había que ser muy preciso con la colocación de los teléfonos, y los sensores tenían que casi tocarse”, explica Josep Albors, director de Investigación y Concienciación de ESET España.

¿Es segura la tecnología NFC?

Dado que su principal aplicación es facilitar las transacciones sin contacto, cabría suponer que la tecnología NFC debe ser totalmente segura. Aunque en comparación con otros métodos de comunicación inalámbrica, es mucho más difícil de interceptar debido a la gran proximidad necesaria para que funcione, eso no significa que sea imperceptible para algunas formas de ciberataques, recuerda ESET.

Según la compañía líder en ciberseguridad, uno de los métodos de ataque más comunes cuando se trata de comunicaciones inalámbricas son los ataques man-in-the-middle (MITM). “Para que funcionen, tiene que haber alguna herramienta (equipo, sitio web falso, correos electrónicos) que intercepte la comunicación entre dos dispositivos/usuarios, que luego descifre y transmita los datos necesarios al atacante. Esta es una de las razones por las que el uso de Wi-Fi públicas puede resultar peligroso. No cuesta mucho montar un punto de acceso falso con el mismo nombre que la ubicación de una empresa/ciudad, y como la gente tiende a conectarse a ellos, un delincuente puede comprometer fácilmente la comunicación procedente de los dispositivos que utilicen esos puntos de acceso”, añade Albors.

Aunque técnicamente los ataques MITM existen como amenaza en los pagos NFC, no son tan viables, por varias razones, explica ESET. En primer lugar, para «burlar» la comunicación NFC, un lector tiene que acercarse bastante a la tarjeta/teléfono para poder leer los datos necesarios. En segundo lugar, el delincuente también necesita alguna herramienta especial para hacerlo. Por otro lado, potencialmente, los terminales de pago pueden verse comprometidos. Sin embargo, a diferencia de las tarjetas normales, la comunicación NFC está cifrada y tokenizada, lo que significa que una tarjeta difícilmente puede duplicarse gracias a que su información está oculta.

La seguridad no debe darse por sentada

Si bien es cierto que la tecnología NFC es más segura, especialmente cuando se trata de realizar pagos, no significa que sea infalible, ya que los actores maliciosos pueden explotar fácilmente ciertas vulnerabilidades para conseguir lo que quieren. Los fallos del sistema y los agujeros de seguridad siempre existirán, razón por la cual incluso los proveedores de seguros cibernéticos a menudo subrayan la aplicación de parches de vulnerabilidad como requisito para la cobertura.

Además, dado que los pagos NFC se basan intrínsecamente en la comodidad que representan para el usuario, carecen de la autenticación adicional hasta ciertas cantidades de dinero o número de transacciones (como un PIN) que requeriría, por ejemplo, una tarjeta normal basada en chip. Así, si alguien te roba la tarjeta de crédito, puede realizar pagos fraudulentos fácilmente sin necesidad de introducir un código (hasta un determinado valor) y, en función de los límites de pago establecidos, las sumas pueden ser bastante elevadas.

Por otro lado, ESET analiza la seguridad de las funciones NFC que también están presentes en los teléfonos móviles. Dado que Apple Pay, Google Pay y otros sistemas requieren seguridad añadida en forma de PIN, huella dactilar, escáner facial u otros métodos, la compañía afirma que sí que hay cierta seguridad añadida en los pagos NFC a través de los smartphones. Además, ambos servicios de pago solo funcionan cuando están activados, por lo que hay menos posibilidades de que alguien inicie un pago tuyo sin más. Además, al utilizar Apple o Google Pay no se transmiten los datos de tu cuenta y, en caso de que pierdas el dispositivo, es bastante fácil desactivar estos servicios de forma remota.

Cómo hacer más seguros los pagos sin contacto

Para terminar, ESET, recuerda algunas de las principales medidas a tener en cuenta para que los pagos contactless sean más seguros:

  1. Prueba los bloqueadores RFID: se trata de pequeñas fundas para tarjetas o carteras que crean una barrera entre su tarjeta y el mundo exterior, mitigando los posibles ataques de skimming.
  2. Establezca límites de pago bajos: Esto puede hacerse a través de su banco o de su software, en el que puede establecer un límite máximo sobre cuánto puede comprar a través de pagos sin contacto.
  3. Utiliza los pagos por teléfono: aunque estas aplicaciones pueden tener sus defectos, siguen siendo un poco más seguras que las tarjetas sin contacto, gracias a los requisitos adicionales de autenticación.
  4. Omita los smartwatches: Debido a su menor seguridad, habilitar los pagos en los smartwatches podría plantear problemas potenciales dependiendo del modelo utilizado.
  5. Obtén una tarjeta de viaje: Si te preocupa el tema de los pagos exprés, obtén una tarjeta de viaje recargable, si es posible, en lugar de utilizar su propia tarjeta de crédito/teléfono como medio de pago de los billetes.

Márk Szabó. Accede al post en inglés aquí.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.