Tarde o
temprano, todos nos acostumbramos a ver deslizar nuestras tarjetas bancarias
por la hendidura de terminales de pago (TPV/Pos), en todo tipo de comercios y
locales de ocio. Sin darnos cuenta, fuimos seducidos por las facilidades que
nos brindaba la, ya veterana, Banda Magnética, introducida por las entidades
financieras en los años setenta.
Figura 1: Tarjeta de crédito con
banda magnética
Sin embargo,
esta facilidad de uso no estaba exenta de riesgos, y junto a su creciente
popularidad, también se incrementaron los casos de fraude, ocasionados
principalmente por la copia de la información contenida en la banda magnética y
posterior clonación de la tarjeta, haciendo uso de la misma suplantando a su legítimo
titular.
Para contrarrestar
las debilidades de la banda magnética, en
el año 2000 las entidades financieras y los intermediarios de medios de pago,
impulsaron la incorporación a las tarjetas de un “chip” basado en el
estándar EMV de interoperabilidad
de tarjetas, que incrementa notablemente la seguridad en las transacciones, ya
que además de no poder ser duplicado, posibilita la autenticación del titular
mediante su PIN, tecleado en el momento de realizar cualquier pago.
La transición
al “chip”
se realizó de manera gradual, ya que este podía coexistir con la banda
magnética. Durante varios años se mantuvieron en funcionamiento terminales y tarjetas
en formato dual, los cuales podían operar tanto con banda magnética como con
chip, prevaleciendo este último si estaba disponible por ambas partes.
No obstante, la
picaresca de los clonadores de tarjetas, o simplemente una mala práctica de los
comercios, llevaba a deslizar la banda magnética en primer lugar, antes de introducir
la tarjeta para la lectura del chip, prologando así la posibilidad de fraude,
tal y como se explica detalladamente en el “Fraude en Puntos de Venta”.
Figura 2: TPV/PoS lector de chip
EMV
Aunque parece
un gesto sencillo, pasar de deslizar la tarjeta a introducirla en el TPV supuso
un cambio radical, tanto para los usuarios, como para las infraestructuras que
soportan los procesos transaccionales entre los diferentes actores: entidad
emisora, entidad receptora e intermediaros del pago.
Pero cuando
apenas acabábamos de adaptarnos al “chip”, llegó la auténtica
revolución, la tecnología NFC, gracias a la cual,
no es necesario introducir la tarjeta en el TPV, basta con situarla a una
pequeña distancia, para que la comunicación se realice de forma inalámbrica,
“sin contacto” o “contactless” por su denominación inglés.
Tecnología NFC en los medios de pago
NFC es una
tecnología de comunicación inalámbrica por radio frecuencia análoga a RFID,
cuyo protocolo está estandarizado bajo la norma ISO/IEC 14443.
Además de las
tarjetas bancarias, la tecnología NFC se ha incorporado también en los
smartphones de última generación, e incluso las operadoras
de telefonía más innovadoras la
incluyen en sus SIMs, habilitando así cualquier teléfono móvil como medio de
pago.
De forma
similar a como ocurrió con el chip y la banda magnética, la tecnología NFC
cohabita con ambas, pero a diferencia del chip, que expone visiblemente sus
terminales de contacto, el NFC queda oculto en el interior de la tarjeta, por
lo que deberemos localizar su logotipo, para reconocer una tarjeta capaz de
realizar un pago “sin contacto”, con
tan solo acercarla a escasos cinco centímetros de un terminal de pago que
cuente también con NFC.
Figura 3: Logotipo de NFC
NFC funciona
mediante el acoplamiento inductivo en un campo electromagnético creado entre
dos dispositivos dotados de una antena de radiofrecuencia a tal efecto. A través
de este acoplamiento se realiza la comunicación de datos bidireccional entre
ambos dispositivos, pudiendo efectuarse a diferentes velocidades, 106, 212, 424
ó 848 Kbit/s.
De forma
similar a otras tecnologías RFID, NFC utiliza la banda ISM de 13.56 MHz, la
cual no requiere de una licencia específica, aunque está fuertemente regulada
tanto técnicamente, como en sus condiciones de uso. La utilización de las bandas
ISM es tratada en este artículo.
Tarjetas NFC “Contactless”
Las tarjetas
NFC incorporan en su interior un transpondedor pasivo, junto con una antena en
espiral, capaz de captar la energía proporcionada por un dispositivo lector NFC
activo, al mismo tiempo que efectúan la comunicación de datos con el chip EMV.
Figura 4: Tarjeta de crédito con
chip EMV y antena pasiva NFC
Las tarjetas
plásticas, al igual que otros dispositivos pasivos conocidos como “antenas”,
necesitan obtener energía del campo electromagnético generado por un
dispositivo activo, como un lector NFC, el cual actúa como iniciador de la
comunicación.
Existen también
dispositivos NFC activos, los cuales cuentan con una pequeña batería, gracias a
la cual pueden generar su propio campo electromagnético sin necesidad de una
iniciación externa.
Lectores NFC “Contactless”
Los
dispositivos encargados de interactuar con las tarjetas NFC se conocen como
“lectores”, aunque estrictamente pueden realizar operaciones tanto de lectura,
como de escritura, ya que ambas están soportadas por el protocolo ISO/IEC
14443.
Están compuestos
por una antena, un transceptor y un decodificador, requiriendo de una fuente de
energía externa y continua para permanecer activos, enviando señales en
búsqueda de tarjetas en su radio de acción.
Figura 5: TPV/POS lector NFC
Seguridad de las tarjetas NFC
Si bien es
cierto que el chip EMV proporciona un mayor grado de seguridad, contrariamente
a la creencia generalizada, la información que contiene no se almacena cifrada,
está en texto claro, y de igual forma se transmite al lector, ya sea a través
de los contactos del chip, o por la conexión sin contacto NFC, la cual tampoco incorpora ningún mecanismo de
cifrado.
Las transacciones de pago si se cifran
criptográficamente, por lo que están seguras ante
cualquier tipo de intercepción, manipulación o repetición, pero el resto de la
información de la tarjeta: Número PAN (Primary Access Number), nombre del
titular y fecha de caducidad, podrían ser capturados ilícitamente por un
dispositivo conocido como scanner, ya que con estos datos se podrían efectuar
compras fraudulentas a través de Internet en comercios online que no requieran
introducir como segundo factor de autenticación, el código de tres dígitos
conocido como CVV, serigrafiado en el reverso de las tarjetas bancarias.
Ataque “Cibercartereo”
La ausencia de
cifrado en la comunicación NFC entre la tarjeta y el lector, es aprovechada
para obtener ilícitamente la información
almacenada en el chip EMV, mediante la aproximación sigilosa de un lector
NFC a la tarjeta NCF de una víctima desprevenida. Existen varios precedentes de
estos casos, conocidos como “Cibercartereo”.
Este tipo de
ataques es relativamente fácil de llevar a cabo, ya que hay disponibles
diferentes lectores NFC que se conectan a un computador o Tablet por USB, incluso
se pueden encontrar fácilmente lectores NFC autónomos de pequeño tamaño, los
cuales permiten acercarse discretamente, a menos de cinco centímetros, de una
víctima y leer los datos de su tarjeta NFC.
Una excelente
demostración de este ataque se llevó a cabo por Renaud
Lifchitz durante su ponencia en la conferencia de Seguridad “8.8” realizada
en Santiago de Chile en 2013. En ella se llegaron a obtener hasta la relación
de los pagos realizados, tal y como se muestra a continuación.
Figura 6: Obtención de datos vía
lector NFC en 8.8 2013
Ataque de Replay en NFC
El ataque de Relay en NFC, está basado en el ataque
conocido como de “hombre en el medio”,
o MitM por sus siglas en inglés.
Básicamente
consiste en que el atacante se intercala entre los dos interlocutores de una
conexión NFC, retrasmitiendo los mensajes de una parte a otra, pero capturando
toda la información e incluso manipulándola a su antojo.
Como se puede
apreciar en la siguiente figura, el atacante realiza el ataque de Relay NFC empleando
dos smartphones intercomunicados por bluetooth; uno actúa como “proxy Reader”
para leer los datos de la tarjeta NFC de la víctima y enviarla al “proxy toquen”,
que a su vez la hace llegar al lector NFC legítimo. En este trayecto, toda la
información ha quedado capturada para su posterior utilización fraudulenta.
Figura 7: Ataque de Replay en
NFC.
Ataques de malware NFC
Las
debilidades de la tecnología NFC no han pasado desapercibidas por los desarrolladores
de malware, los cuales desde hace un tiempo están creando aplicaciones
maliciosas, especialmente para dispositivos Android.
Estas
aplicaciones maliciosas suenen pasar desapercibidas, ya que se camuflan
simulando una aplicación legitima conocida, como algún juego de gran
popularidad, pero una vez instalada se activa como lector de NFC en modo
silencioso, capturando toda la información de cuantas tarjetas encuentre a su
alcance.
¿Cómo protegerse?
Aunque pudiera
parecer una broma, la mejor forma de afrontar los ataques de NFC, pasaría por evitar que alguien se nos acercase lo suficiente
para leer nuestras tarjetas; esto resultaría fácil si vamos siempre acompañados
de un perro feroz que lo evitara, pero como esta opción no estará siempre
disponible, deberemos enfocarnos en la seguridad
física de nuestras tarjetas.
Podemos
encontrar fundas para tarjetas bloqueadoras de NFC, en ElevenPaths las
ofrecemos gratuitamente como suvenir,
y recientemente hay una gran oferta billeteras anti NFC. Como último recurso,
podemos forrar con papel de aluminio la cartera donde transportemos nuestras
tarjetas NFC.
Figura 8: Protector de tarjetas
anti NFC.
En nuestros teléfonos
móviles solo deberíamos activar el NFC
cuando vayamos a utilizarlo, y siempre que nuestra entidad financiera o intermediario
lo permita, habilitar un segundo factor de autenticación, como el PIN, incluso
si las operaciones son de importes reducidos.
Encontramos
también aplicaciones de pago o monederos móviles, desarrollados por emisores de
pagos sin elementos seguros (Host Card Emulation - HCE), que implementan tokens
de pago únicos, junto con otras capas de seguridad software, que incrementan la
seguridad en las transacciones.
Finalmente, debemos
proteger la información que almacenamos en nuestros teléfonos móviles, con algún
software antimalware que deberemos mantener actualizado y estableciendo una
contraseña suficiente segura, que evite que el teléfono pueda utilizarse por
una persona ajena en caso de pérdida o robo.
Lo ideal sería
que la industria implementara los protocolos criptográficos adecuados para
establecer un canal seguro de comunicación NFC, que proporcione la confidencialidad,
integridad y autenticidad apropiada para los datos transferidos entre
dispositivos.
Mientras
tanto, los invito a conocer más sobre los #11PathsTalks y cualquier tema
relacionado con la seguridad de la información en nuestra comunidad.
Gabriel Bergel
CSA
- Chief Security Ambassador
@gbergel
gabriel.bergel@global.11paths.com