Hace aproximadamente dos décadas, las tarjetas de crédito con banda magnética
ya se utilizaban de forma habitual. No obstante, su
seguridad era débil
y el requisito de la firma complicaba a menudo las transacciones, por no
mencionar que carecían de cifrado de datos, lo que las hacía vulnerables a la
sustracción y clonación por parte de delincuentes.
La evolución hacia las tarjetas con chip representó un avance significativo al
introducir cifrado de datos, autenticación mediante PIN y mayor seguridad en
comparación con las tarjetas que solo disponían de banda magnética. Pese a que
las tarjetas con chip mejoraron la seguridad al requerir autenticación, aún
presentaban riesgos de clonación o robo de información, aunque ahora más
desafiantes para los criminales en comparación con las tarjetas únicamente
magnéticas.
En este panorama, la «comunicación de campo cercano», o NFC (Near Field Communication), derivada de la identificación por radiofrecuencia (RFID), surgió como
nuevo estándar de pago en los últimos años. Con esta tecnología, las tarjetas
con chip se han vuelto aún más útiles, ya que en lugar de tener que
introducirlas en terminales de pago y cajeros automáticos, basta con tocar un
dispositivo de pago habilitado para NFC para realizar un pago.
Aparte de las tarjetas sin contacto, llamadas «contactless», ahora los
teléfonos y otros dispositivos también pueden cumplir esta función a través de
servicios como Apple Pay o Google Pay, que, tras cargar los datos de la
tarjeta en el servicio, permiten utilizar el teléfono para realizar pagos.
¿Es segura la tecnología NFC?
Dado que su principal aplicación es facilitar las transacciones sin contacto,
cabría suponer que la tecnología NFC debe ser totalmente segura. Según el
informe de ESET, aunque en comparación con otros métodos de comunicación inalámbrica, es
mucho más difícil de interceptar debido a la gran proximidad necesaria para
que funcione, eso no significa que sea imperceptible para algunas formas de
ciberataques, recuerda ESET.
Uno de los métodos de ataque más comunes cuando se trata de comunicaciones
inalámbricas son los ataques
man-in-the-middle (MITM).
«Para que funcionen, tiene que haber alguna herramienta (equipo, sitio web
falso, correos electrónicos) que intercepte la comunicación entre dos
dispositivos/usuarios, que luego descifre y transmita los datos necesarios
al atacante. Esta es una de las razones por las que el uso de Wi-Fi públicas
puede resultar peligroso.
No cuesta mucho montar un punto de acceso falso con el mismo nombre que la
ubicación de una empresa/ciudad, y como la gente tiende a conectarse a ellos,
un delincuente puede comprometer fácilmente la comunicación procedente de los
dispositivos que utilicen esos puntos de acceso».
Aunque técnicamente los ataques MITM existen como amenaza en los pagos NFC, no
son tan viables, por varias razones. En primer lugar, para «burlar» la
comunicación NFC, un lector tiene que acercarse bastante a la tarjeta/teléfono
para poder leer los datos necesarios. En segundo lugar, el delincuente también
necesita alguna herramienta especial para hacerlo. Por otro lado,
potencialmente, los terminales de pago pueden verse comprometidos. Sin
embargo, a diferencia de las tarjetas normales, la comunicación NFC está
cifrada y tokenizada, lo que significa que una tarjeta difícilmente puede
duplicarse gracias a que su información está oculta.
Sin embargo, no asuma que un oportunista no intentaría «chocar» con usted para
obtener los datos de su tarjeta, y dado que también
existen ataques inalámbricos con llaves de automóviles
(que utilizan una tecnología RFID similar para funcionar como NFC), las
tarjetas de crédito y los teléfonos son todavía en peligro.
La seguridad no debe darse por sentada
Si bien es cierto que la tecnología NFC es más segura, especialmente cuando
se trata de realizar pagos, no significa que sea infalible, ya que los actores
maliciosos pueden explotar fácilmente ciertas vulnerabilidades para conseguir
lo que quieren.
Los fallos del sistema y los agujeros de seguridad siempre existirán, razón por
la cual incluso los proveedores de seguros cibernéticos a menudo subrayan la
aplicación de parches de vulnerabilidad como requisito para la cobertura.
Además, dado que los pagos NFC se basan intrínsecamente en la comodidad que
representan para el usuario, carecen de la autenticación adicional hasta
ciertas cantidades de dinero o número de transacciones (como un PIN) que
requeriría, por ejemplo, una tarjeta normal basada en chip. Así, si alguien te
roba la tarjeta de crédito, puede realizar pagos fraudulentos fácilmente sin
necesidad de introducir un código (hasta un determinado valor) y, en función
de los límites de pago establecidos, las sumas pueden ser bastante elevadas.
Dado que Apple Pay, Google Pay y otros sistemas requieren seguridad añadida en
forma de PIN, huella dactilar, escáner facial u otros métodos, la compañía
afirma que sí que hay cierta seguridad añadida en los pagos NFC a través de
los smartphones. Además, ambos servicios de pago solo funcionan cuando están
activados, por lo que hay menos posibilidades de que alguien inicie un pago
tuyo sin más. Además, al utilizar Apple o Google Pay no se transmiten los
datos de tu cuenta y, en caso de que pierdas el dispositivo, es bastante fácil
desactivar estos servicios de forma remota.
Por ejemplo, en 2021, un investigador demostró un ataque en el que utilizó una
aplicación de Android para simplemente «saludar» a los
cajeros automáticos habilitados para NFC y comprometerlos. Esto fue posible debido a ciertos errores de software en esas máquinas, que
muy bien pueden ser una realidad también para otras formas de terminales de
pago.
Cómo hacer más seguros los pagos sin contacto
Algunas de las principales medidas a tener en cuenta para que los pagos
contactless sean más seguros:
-
Prueba los bloqueadores RFID: se trata de
pequeñas fundas para tarjetas o carteras
que crean una barrera entre su tarjeta y el mundo exterior, mitigando los
posibles ataques de skimming. -
Establezca límites de pago bajos: Esto puede hacerse a través de su banco o
de su software, en el que puede establecer un límite máximo sobre cuánto
puede comprar a través de pagos sin contacto. -
Utiliza los pagos por teléfono: aunque estas aplicaciones pueden tener sus
defectos, siguen siendo un poco más seguras que las tarjetas sin contacto,
gracias a los requisitos adicionales de autenticación. -
Omita los smartwatches: Debido a su menor seguridad, habilitar los
pagos en los smartwatches podría plantear problemas potenciales dependiendo
del modelo utilizado. -
Obtén una tarjeta de viaje: Si te preocupa el tema de los pagos exprés,
obtén una tarjeta de viaje recargable, si es posible, en lugar de utilizar
su propia tarjeta de crédito/teléfono como medio de pago de los billetes.
Los comentarios están cerrados.