Tarjetas contactless, ¿es seguro este sistema?

Si hace unas décadas el pago con las tarjetas de crédito supuso cambiar por completo nuestros hábitos de consumo (no había sensación de gasto) ahora, frente a la presión de los nuevos formatos de pago -smartphone, smartwatch, etc.- y las fintech las entidades bancarias y de crédito se han visto obligadas a evolucionar para no quedarse rezagadas ante la presión de las nuevas tecnologías y costumbres de los millennials.

Las tarjetas contactless son un guiño para el cliente: «avanzamos con tecnologías más seguras y tenemos la solidez de una entidad tradicional». De hecho, el gesto simula al que hacemos con nuestros dispositivos «inteligentes». Lo acercamos al datáfono y luego introducimos el PIN (salvo que el importe sea inferior a 20€ en los que no se requiere ninguna identificación de seguridad).

A día de hoy cerca del 80% de las tarjetas bancarias ya implementan este sistema. Y la idea es que las entidades migren todas las de débito y crédito antes de acabar el año. Todo con el fin de agilizar las transacciones bancarias e incrementar la seguridad de las mismas. ¿Pero realmente es tan seguro? El sistema se sustenta gracias a la tecnología NFC y ése es precisamente el talón de Aquiles del mismo.

Hay estudios que prueban que una app maliciosa en un smartphone que se encuentre en un radio de acción de la tarjeta y que también tenga uno de estos chips (casi todos) puede leer los datos de la tarjeta y como hay importes libres de código PIN es posible que se realicen compras sin que la entidad bancaria o de la tarjeta de crédito se dé cuenta.

Recientemente el profesor de la Universidad de Zaragoza Ricardo J. Rodríguez hizo una prueba de concepto con su alumno José Vila. Según explican en El Confidencial, mientras el primero daba una charla sobre este sistema en Nueva York (y la tarjeta estaba físicamente con él) Vila realizó una compra en una tienda de Madrid.

Cómo funciona

El Near Field Communication -su nombre en inglés- es un sistema que en el campo cercano al chip produce un campo de inducción magnética entre las antenas de los dos elementos que se comunican. En el caso de las tarjetas, entre la misma y el TPV. Esta antena insertada en el equipo también se implementa, como hemos dicho, en otros dispositivos como teléfonos, relojes inteligentes, pulseras de monitorización, etc.

Su radio de acción es de 10 cms (aunque oficialmente sea de unos 20 raras veces la señal llega nítida por encima de los 10). Esto, ciertamente, obliga que quien quiera interceptar la señal deba acercarse mucho a la misma. Es complicado que ocurra en una tienda pero, como bien dicen en Teknautas, ¿qué ocurre en la hora punta en un transporte público o en una discoteca de moda?

En ese caso el problema es grave ya que cualquier programa con un chip que se lo pida -un teléfono- le dará toda la información de la tarjeta sin encriptar. Número de tarjeta, fecha de expiración, titular de la misma, el histórico de transacciones realizadas ¡no solo con el chip NFC! sino verificadas con PIN. El duplicado perfecto para operar con pequeñas operaciones que lo suficientemente espaciadas en el tiempo pueden ser indetectables hasta para el propio dueño de la tarjeta.

Lo sorprendente es que las entidades se hayan decantado por el NFC cuando ha demostrado ser una vía extremadamente vulnerable en otros campos -permiten fácilmente las escuchas de llamadas o incluso la alteración de los datos que se envían entre dispositivos-.

Esto, hemos de reconocer, ha puesto en guardia tanto a bancos como a empresas de tarjetas que están trabajando en algún sistema de cifrado o en limitar parcialmente la información que se transmite entre dispositivos. El problema es que todas las apps que las entidades están lanzando y que permiten convertir nuestros teléfonos en tarjetas son también los perfectos receptores de datos de las tarjetas de terceros. Como salvaguarda, en caso de hacerlo con una app de este tipo, al llevar aparejados los datos del «ladrón» sería muy fácil interceptarle.

Las entidades avisan de que en caso de que se hayan hecho entre 5 y 7 compras sin PIN el cliente recibe un aviso y que pueden llegar a bloquear la tarjeta para proteger al propietario. Además que convertir una app en un sistema de robo de tarjetas es relativamente fácil de rastrear. Mastercard, por ejemplo, ha desarrollado tarjetas que empiezan a protegerse mejor de estos duplicados virtuales. Además, la plataforma de pago tiene especial atención en realizar controles aleatorios sobre este tipo de tarjetas y sus transacciones sin PIN y barajan, si lo desea el cliente, bloquear todas las operaciones con el código.

Publicado por

Gaizka Manero López

Nacido en 1982 en Portugalete, Bizkaia, soy doctor en "Periodismo, Comunicación y Memoria en la era digital" por la Universidad del País Vasco.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *