Muchos de vosotros seguro que conocéis NFC por su logotipo que habréis visto en las tarjetas del banco que hayáis recibido o en la caja del último dispositivo móvil que hayáis adquirido. Algunos otros quizás lo hayáis estado usando mientras pasabais la tarjeta de acceso al Metro en Madrid o del autobús en Zaragoza, por poner algunos ejemplos prácticos y reales.
Pero, exactamente ¿qué es NFC? Además de explicar esta tecnología, en este artículo también vamos a describir los problemas inherentes a esta tecnología (escucha secreta, modificación, y retransmisión) y las posibles soluciones (si existen). Además, vamos a intentar aclarar (todavía más) el mito acerca de si es posible que te "roben" el dinero de una tarjeta contactless a distancia.
En Xataka puedes leer una explicación más breve sobre el tema, así como conocer más sobre NFC y dispositivos móviles. Una explicación más detallada sobre NFC y sus riesgos la puedes encontrar también en este informe del Centro Criptológico Nacional.
¿Qué es NFC y cómo funciona?
Logotipos de NFC, usados en dispositivos móviles (izquierda) y tarjetas NFC (derecha)
La tecnología NFC, del inglés Near Field Communication, se basa en la tecnología RFID (Radio-Frequency Identification) para permitir la interacción simple y segura mediante la interacción bidireccional entre dispositivos electrónicos en proximidad. NFC trabaja en el rango de alta frecuencia de RFID, concretamente en el espectro no regulado de 13.56 MHz. Existen tres tasas de transmisión (velocidad de transferencia de datos), 102, 212 y 404 Kbps, según el tipo de protocolo de NFC que usen los dispositivos.
Como rango operativo para la comunicación tiene un máximo teórico de 10 cm, aunque en la práctica esta limitación es de 4 cm o menos. Este rango tan limitado se debe a su modo de funcionamiento, ya que NFC trabaja vía inducción electromagnética: cada dispositivo NFC dispone de una bobina de inducción de modo que, cuando un dispositivo (con energía) entra en el rango NFC de otro dispositivo, se genera un campo magnético que alimenta el dispositivo NFC latente. En la siguiente imagen se muestran los principios físicos de su funcionamiento y aspectos de su modulación. Es por tanto esta restricción física de proximidad donde radica la seguridad en que se basa NFC.
Funcionamiento de NFC mediante inducción electromagnética (extraída de NXP)
En una comunicación NFC se distinguen dos elementos principales, que según la terminología oficial del estándar NFC son: Proximity Coupling Device (PCD), que es el lector o dispositivo con capacidad NFC; y Proximity Integrated Circuit Card (PICC), también llamado NFC tag y que son las tarjetas NFC. Así mismo, en NFC existen tres modos diferentes de operación: modo punto a punto, cuando existe una comunicación directa entre las partes, modo lectura/escritura, cuando hay una comunicación con un NFC tag, y modo emulación de tarjeta, que ocurre cuando un dispositivo PCD está emulando ser una tarjeta NFC.
Las tarjetas NFC actuales funcionan según la norma ISO/IEC 14443, que se trata de un estándar internacional para tarjetas inteligentes sin contacto. Este estándar se divide en cuatro partes, cada una atendiendo a diferentes visiones: la primera parte del estándar define el tamaño, características físicas, resistencia, etc. de las tarjetas inteligentes sin contacto; la segunda parte define cómo tiene que ser la fuente de radio-frecuencia y define dos esquemas de señalización, el tipo A y el tipo B.
En esta parte es donde se define que la comunicación NFC mediante la norma ISO/IEC 14443 es half-duplex (se puede transmitir de manera bidireccional entre las partes pero no simultánea) y a una tasa de transmisión de 106 Kbps; la tercera parte de la norma define el protocolo de inicialización y anti-colisión (se escoge una tarjeta de las posibles en el rango NFC y se empieza la comunicación con ella, es decir, sólo se puede establecer conexión con una tarjeta de las disponibles en el rango); mientras que la cuarta parte define el protocolo de transmisión de datos.
El cumplimiento de todas las partes del estándar no es obligatorio. Las tarjetas NFC que cumplen las cuatro partes de la norma se llaman tarjetas IsoDep. Por ejemplo, las tarjetas sin contacto de crédito son tarjetas IsoDep, mientras que otras tarjetas sin contacto como las MIFARE Classic no lo son. Estas últimas cumplen parcialmente la parte 3, mientras que se implementaron un protocolo de transmisión de datos propio con su propia criptografía sustituyendo a la parte 4. Como consecuencia, en 2008 se demostró la inseguridad del esquema criptográfico usado y los posibles ataques que podían sufrir estas tarjetas. A pesar de ello, y como mostré en la conferencia NoConName en 2013, este tipo de tarjetas vulnerables siguen siendo ampliamente utilizadas por diversas ciudades para sus abonos de transporte y otros usos públicos.
Para acabar con la teoría, cabe comentar que la norma ISO/IEC 7816 recoge cómo son los paquetes de datos que se usan en la comunicación NFC. En concreto, este estándar internacional se divide en 15 partes y trata sobre circuitos integrados, especialmente tarjetas inteligentes. Los paquetes de datos que se usan se denominan Application Protocol Data Units (APDUs).
Como comentábamos al principio de este artículo, la tecnología NFC ha tenido una fuerte penetración en multitud de campos, desde control de acceso físico a instalaciones (por ejemplo, universidades o aeropuertos), controles horarios, ticketing, o membresía, por nombrar algunos otros. En el año 2015 se introdujo en nuestro Documento Nacional de Identidad, en el llamado DNIe3.0 (recientemente hemos evaluado su seguridad). Sin embargo, uno de los sectores donde ha tenido más éxito ha sido en el sector de métodos de pago. Algunas estadísticas esperan que los pagos móviles con NFC alcancen el 22% de todos los pagos totales a finales del 2022. En el caso de España, encuestas del año 2015 mostraban que un 15.2% de los encuestados ya habían usado este método de pago alguna vez mediante las llamadas tarjetas contactless. Tras la pandemia y según el ‘Estudio Mobile & Conectividad Inteligente 2021’ de IAB Spain, el 39% de quienes tienen un smartphone utilizan el pago NFC.
La operativa de pago de tarjetas contactless (mediante NFC) es sencilla: simplemente acercando una tarjeta contactless a un datáfono con capacidad NFC se produce el cobro. Si la cantidad a cobrar es inferior a 20 euros no es necesario introducir el número PIN de la tarjeta, lo que permite agilizar el proceso de compra. En caso contrario, es necesario introducir el PIN para confirmar la compra (como si fuera una transacción con tarjeta habitual). En principio, el número de cobros consecutivos está limitado (normalmente al exceder 50 euros o a partir del tercer cobro, según el país). Esta cantidad varía en función del país. Por ejemplo en España se ha aumentado de 20 a 50 euros.
La penetración de NFC ha llegado también hasta los dispositivos móviles. De hecho, la tecnología NFC ha permitido “juntar” las tarjetas con los dispositivos móviles. Es de esperar que en unos años, incluso, desaparezcan las tarjetas tal y como las conocemos y únicamente hagamos uso del dispositivo móvil, siendo este la parte central de nuestra vida: tarjetas de identificación, tarjetas de crédito, tarjetas de movilidad, etc.; todo integrado en nuestro dispositivo móvil. Actualmente hay infinidad de dispositivos móviles que hacen uso de la tecnología NFC.
Problemas de seguridad y soluciones
A pesar de este impacto en nuestro cambio de modo de pago, NFC hereda los problemas de seguridad de la tecnología RFID inalámbrica: eavesdropping (o escucha secreta), alteración de las ondas (modificación, inserción o destrucción) y retransmisión. En el resto de este artículo, vamos a detallar cómo afectan cada uno de estos problemas al caso concreto de las tarjetas contactless, dado que es donde más daño pueden hacer los ciber-criminales a los usuarios.
Eavesdropping
El problema del eavesdropping (o escucha secreta, en español) consiste en que una tarjeta contactless transmite su información a través del protocolo NFC sin verificar quién la está leyendo. Este problema de verificación viene realmente heredado del protocolo de las tarjetas de pago EMV, dado que EMV no comprueba la autenticidad del lector (es decir, el datáfono).
Mediante NFC, una tarjeta contactless se comunicará con cualquier dispositivo que implemente el protocolo de tarjetas contactless (público y accesible en Internet) mandándole la siguiente información: el número de la tarjeta (también llamado PAN, Primary Account Number), el nombre del titular, la fecha de expiración y el historial de las últimas transacciones realizadas con la tarjeta.
Con los tres primeros datos se pueden realizar compras en multitud de sitios de Internet (principalmente páginas de comercios americanos). Aunque inicialmente el nombre del titular era recuperado mediante una lectura NFC de la tarjeta, rápidamente vieron que suponía un problema grave de seguridad y las tarjetas contactless actuales ya no filtran esta información (muestran un titular de la tarjeta vacío). Respecto al historial de transacciones, cabe comentar que recoge todos los pagos realizados tanto mediante NFC como los mediante el chip (es decir, NFC actúa como una interfaz inalámbrica en una tarjeta contactless).
Capturas de la aplicación “EMV Card Reader”, disponible gratuitamente en Google Play
Algunos artículos de prensa han relatado la historia de la persona que iba en un metro (o en un lugar altamente concurrido) con un datáfono, dedicándose a “robar” mediante NFC de las tarjetas contactless que pudiera tener a su alcance (usando el famoso “ataque de arrimar la cebolleta”, bautizado así por Josemi Esparza en la NoConName de 2012).
A pesar de que técnicamente sería posible, esto no es viable (como bien ya se desmintió el bulo en algunos medios), dado que ese datáfono tendrá que ir contra alguna cuenta bancaria de donde posteriormente recuperaría el dinero el criminal, facilitando así la identidad del mismo.
Igualmente, los bancos tampoco proporcionan datáfonos a cualquier persona que lo solicite. Del mismo modo (como seguramente sepas si has probado este tipo de pago), la realización del pago no es inmediata, ya que sucede una comunicación entre el datáfono y el emisor de la tarjeta contactless, así como una serie de pasos en el datáfono (por ejemplo, se imprime el ticket), lo que dificulta sobremanera el que el ladrón pueda pasar desapercibido. Del mismo modo, y por experiencia propia, los datáfonos son altamente sensibles a la posición y al movimiento de la tarjeta contactless durante la lectura, lo que hace más difícil todavía una lectura sin que el titular de la tarjeta se percate de ello.
Dentro del problema de eavesdropping, podemos distinguir dos tipos de ataque, bien pasivo (el atacante escucha una comunicación legítima entre un datáfono y una tarjeta contactless) o bien activo (el atacante interactúa con la tarjeta; sería el caso que comentábamos arriba del personaje del metro).
La distancia máxima reportada en la literatura para un ataque pasivo es de 18 metros. Estas distancias de escucha se han conseguido jugando con los armónicos de tercer orden y en unas condiciones de laboratorio ideales (sin apantallamiento entre la antena de escucha y la tarjeta). La distancia máxima conseguida para un ataque activo ha sido de 50 cm, pero de nuevo en condiciones muy controladas: la tarjeta se encuentra colocada bajo el arco formado por la antena del atacante y el más mínimo movimiento desajustando la orientación de la tarjeta inhabilita la comunicación.
Un ataque de estas características requiere el uso de hardware y software especializado. Un individuo con una antena de más de medio metro y un portátil levantaría ciertas suspicacias, además de que el movimiento continuo de las posibles víctimas hacen prácticamente imposible llevar a cabo este ataque.
La solución a este problema es fácil, desde bloquear la señal RFID que emiten nuestras tarjetas (fundas anti-RFID o “papel de plata” para los paranoicos y/o prácticos) hasta deshabilitar los pagos mediante NFC de nuestras tarjetas contactless (ahora cada vez más entidades bancarias ofrecen esta posibilidad en sus apps). Existen otras ideas, como la incorporación de métodos de autenticación secundarios (por ejemplo, incorporar un “escáner” de huellas a la tarjeta o un botón físico de modo que sólo se emita con NFC cuando se presione).
Alteración de las ondas RF
Desde un punto de vista teórico, es posible emitir ondas de radio en el mismo espectro que NFC, con la misma amplitud y longitud que las usadas en una comunicación legítima para el envío de APDUs. Esto requiere, de nuevo, un hardware y software especializado así como amplios conocimientos de RF y de nuevo, una antena de tamaño considerable si se quiere hacer un ataque a distancia.
Realizando los cálculos correctos, se podría alterar las ondas de una comunicación (jamming), inhabilitando así una comunicación legítima, saturar el canal para denegar el servicio legítimo o incluso acoplar las ondas con el objetivo de destruir las originales.
Retransmisión
Los ataques más plausibles a ocurrir (desde mi punto de vista) son los ataques de retransmisión. Este tipo de ataques originalmente se basan en la idea introducida por John H. Conway en su libro 'On Numbers and Games', donde explicaba cómo una persona sin conocimientos de ajedrez puede llegar a ganar a un Gran Maestro.
La idea es muy simple: la persona sólo tiene que retar a dos Grandes Maestros a un juego por carta, con la condición de que uno de ellos juegue con blancas y el otro con las negras. Así, la persona se dedicaría a retransmitir los movimientos recibidos de los Grandes Maestros entre ellos. Mientras que los Grandes Maestros piensan que están jugando con un tercero, en realidad están jugando entre ellos. Cuando acabe la partida, la persona habrá ganado a un Gran Maestro de ajedrez.
Unos años más tarde, Desmedt publicó un artículo en Securicom’88 definiendo un nuevo tipo de fraude llamado mafia frauds, consistente en un fraude en tiempo real donde hay dos actores fraudulentos cooperando entre ellos para conseguir su objetivo. En este tipo de fraude existen por tanto dos partes honestas (en este caso, sería un datáfono y una tarjeta contactless) y dos partes deshonestas (en nuestro caso, dos dispositivos con capacidad NFC).
El protocolo NFC es vulnerable a los ataques de retransmisión, dado que se pueden engañar a una tarjeta y a un datáfono y retransmitir la comunicación que ocurre entre ellos a través de dos dispositivos que se comunican entre sí y con capacidad NFC (por ejemplo, dos teléfonos móviles). La comunicación entre estos dispositivos puede realizarse tanto mediante Bluetooth, WiFi, o incluso a través de la red de Internet, siempre y cuando el retraso del canal de la comunicación sea menor que el timeout del protocolo NFC. NFC define un timeout teórico para cada paquete que se envía de hasta 5 segundos, y si expira el timeout corta/reinicia la comunicación – en la práctica el timeout es inferior, aunque es configurable en los datáfonos modernos.
En la Figura 4 se muestra un esquema gráfico del ataque de retransmisión comentado. El dispositivo que se comunica con la tarjeta ha de estar en modo lector/escritor, mientras que el dispositivo que interactúa con el datáfono ha de estar en modo de emulación de tarjeta.
Ataque de retransmisión (adaptada de “Practical Experiences on NFC Relay Attacks with Android: Virtual Pickpocketing Revisited” de José Vila & Ricardo J. Rodríguez)
En el año 2015, Pepe Vila (estudiante de Ingeniería en Informática de la Universidad de Zaragoza en aquella época, actualmente estudiante de doctorado en IMDEA al que mando un fuerte abrazo desde aquí) desarrolló una aplicación Android como prueba de concepto de este ataque. Nuestra idea de trabajo era comprobar si era factible realizar un ataque de retransmisión con un dispositivo Android sin modificar (es decir, no rooteado). Nos encontramos que sí que era posible, y para demostrarlo, durante la presentación del trabajo en una conferencia académica en Nueva York pagué un euro con mi tarjeta en el datáfono que tenía Pepe en Madrid. Quedó demostrado, por tanto, que el principio de proximidad en que basa su seguridad NFC no es fiable.
Este ataque es factible a día de hoy, pero es importante destacar que para que puedan “robar” dinero de una tarjeta contactless tiene que ser un ataque en tiempo real: es decir, la comunicación con el datáfono y la tarjeta ha de hacerse en el mismo momento.
Algunos artículos de investigación han explorado la idea de comunicarse y autorizar un cobro en tarjetas contactless VISA en un instante de tiempo, almacenar temporalmente estas transacciones electrónicas y posteriormente validarlas para su cobro efectivo. A pesar de que se mostró que gracias a una vulnerabilidad de estas tarjetas era posible comunicarse y autorizar cobros en las tarjetas, no se comprobó que el banco validara las transacciones recopiladas. De hecho, si se cumple estrictamente el protocolo EMV esas transacciones serían descartadas durante su validación en la entidad bancaria, con lo que el ataque realmente no sería efectivo.
En este artículo publicado explicamos también algunos escenarios de ataques basados en este tipo de fraude, como la existencia de una botnet de dispositivos móviles Android con NFC que mandaran la información de tarjetas contactless en su alcance al botmaster.
Existen varias medidas posibles a aplicar para evitar los ataques de retransmisión. Algunos de ellos, como los protocolos de acotación de distancia, ya se recomiendan/implementan en las nuevas tarjetas contactless de algunos emisores. Estos protocolos se basan en acotar la distancia física entre los elementos que participan en la comunicación NFC mediante el envío de mensajes desafío-respuesta, que tienen que ser respondidos en un intervalo de tiempo muy corto. Otra posible medida es aplicar restricciones de tiempo a los sistemas NFC: es decir, no se debería de permitir la configuración de timeouts en una comunicación NFC, si no imponer restricciones temporales reales a cada sistema NFC según sean sus necesidades.
Entonces, ¿pueden robarnos por NFC a distancia?
¿Es posible, por tanto, que nos “roben” dinero de la tarjeta contactless en el metro, en un estadio, o en cualquier sitio donde haya aglomeración de personas? La respuesta corta es no. Por el modo de funcionamiento de la tecnología NFC y su “sensibilidad” a los movimientos, a día de hoy no.
En este artículo he expuesto los riesgos a los que se enfrenta la tecnología NFC. En mi opinión, el pago mediante NFC ha venido para quedarse y será una alternativa cada vez más usada por los usuarios. A pesar de todo lo que se ha comentado, no ha de cundir el pánico: hemos de ser conscientes de que esta tecnología tiene sus riesgos, hemos de conocerlos y hemos de saber cómo protegernos de ellos. Si os tranquiliza, yo tengo mis tarjetas contactless habilitadas y las uso siempre que puedo, por la comodidad que me ofrece. Eso sí, ninguno de mis dispositivos tiene activada la comunicación mediante NFC.
Imagen | Jonas Leupe
En Xataka | Cómo saber si tu móvil tiene NFC, tanto Android como iOS
Ver 54 comentarios
54 comentarios
acerswap
Si la seguridad de este sistema consiste en que "los bancos no proporcionan datafonos a cualquiera que lo solicite" casi nos vendria mejor prescindir de este tecnologia.
Para empezar, cualquier movil con NFC es un datafono, y muchas paginas permiten pagar con tarjeta con unas comprobaciones escasas o nulas de la identidad. Comprando otros medios de pago tarjetas regalo, bitcoins o similares es muy facil conseguir robar a otras personas.
Sumemosle que la seguridad de una tarjeta o etiqueta NFC es escasa (a diferencia de un pago con un telefono movil, que requiere una autenticacion y una validacion online simultanea y veremos que un robo acercando la mano a la cartera es extremadamente sencillo.
lbiohazardl
Hola , soy Ing de Performance y estoy aprendiendo seguridad , y entre el grupo de compañeros ya clonamos una tarjeta débito (de uno de los integrantes y con fines académicos) de un banco que tiene pago por proximidad , si en efecto se puede hacer , y lo clonamos como lo ilustra el articulo , de tarjeta a dispositivo electrónico y de ahi hay 2 variantes
1) "imprimir" otro "chip" y usarlo para operaciones posteriores , y esto de improbable no tiene nada , el kit lo puedes pedir por aliexpress y seguir las instrucciones que están en internet (ojo no es ni la depweb ni la darkweb, es san google)
2) exponer en un celular la tarjeta para hacer el pago mediante a esta (es seguir los pasos del pago con celular)
Y esto es viable por qué pesar que la tarjeta tenga los datos cifrados , al momento de clonar estos datos y exponerlos se hace de la misma manera que el "chip" original , es decir estas fotocopiando la identidad , no se requiere manipularla .... pues tu objetivo no es crear otras tarjetas (Aunque de lograrlo ... adiós pagos con NFC) , el lector de NFC lee la informacion cifrada , descifra (en los peores casos) o transmite la informacion cifrada al banco , quien descifra y valida la informacion y autoriza el pago , luego retorna al datáfono un 200 ok con codigo de autorizacion .... y a este punto ya realizaste una operación bancaria
La unica medida de contrarrestar este tipo de cosas es poner que TODAS las operaciones de la tarjeta requieren contraseña, requieran identificación por biometría como lo es la huella o requieran una autorización de operación
La política de seguridad de todo buen banco siempre debe tener 3 factores (Si no las tiene cuestiona tu banco)
1) El medio publicó (Tarjeta , Chip , Numero de tarjeta + código + fecha)
2) El medio privado (Código que solo el dueño sabe, la biometría (huella , iris , reconocimiento facial, etc)
3) El medio de aprobación (El SMS / Email / Autorizador APP en dispositivo (Celular por ejemplo) ) ... en algunos bancos no solo la persona A aprueba si no solo la persona B aprueba (Normalmente tarjetas de crédito para empresas u operaciones de gran cuantía)
Y si a pesar de todo esto aún se pueden hacer fraudes electrónicos, pero el esfuerzo y conocimientos del atacante para vencer estos 3 factores es significativamente mayores
whisper5
Un artículo muy interesante, claro e ilustrativo. Gracias.
Un nuevo uso de NFC va a ser el estándar WebAuthn para mejorar la seguridad de las autenticaciones en sitios web (también admite USB y BLE).
Mr.Floppy
Para mí, lo más cómodo de una tarjeta NFC es que un cajero no se la trague y te quedes sin ella. Sí, me pasó a muy pocos días de salir de viaje y tuve que hacer malabares para que me enviaran la nueva a tiempo. Desde entonces, procuro buscar sólo cajeros con NFC (y tener más de una tarjeta 😅)
sjel22
Será un bulo o no lo será, pero yo voy más tranquilo llevando mis tarjetas con una funda protectora que evita la transmisión
church1987
si que es posible, un delincuente con un punto de venta inalambrico metido el en bolso lo saca te quita 20 pavos que no te piden pin y ya estas robado y lo mejor de todo es que pueden pasar dias sin que te enteres
pues llevando eso a mucha gente no veas la pasta que se pueden sacar
esta practica ya se ha visto en la calle asique mejor es cuidarse de quien tengas cerca porq se ha hecho y han robado
zakatolapan
Por el modo de funcionamiento de la tecnología NFC y su “sensibilidad” a los movimientos, a día de hoy no
Eso podría solucionarse agregando una antena mejor al datáfono. De todas formas la cantidad de dinero que se podría robar no es mucha y si la víctima se da cuenta pronto no sería difícil localizar al ladrón.
pruebarana1
El sistema de comentarios cada vez funciona peor.
canichegotico
Hola me parece muy interesante el articulo, yo solo quiero decir que si , si es posible a mi me paso dos veces pero hace unos anos ademas seguidas pero solo por la cantidad de $99 dolares me paso en un Pub la segunda transaccion pude recuperarla rapido la primera no por que no me di cuenta hasta los 10 dias de haber ocurrido entonces han de abrir una investigacion, estuve 15 meses sin salir con tarjeta salia a la calle luego mi banco actualizo la app y podias desactivarlo y poner cuanto querias de maximo por transaccion contactless, ademas de un sms o un email , por que por lo visto ocurria a menudo, aqui en Australia aun la gente no piensa que pueda ocurrir, en fin hace cosa de un mes estuve en Banco por asuntos propios y les pregunte sobre el tema me dijeron exactamente lo que has explicado que ahora aunque se puede pero es casi delante de tu morros , nada es perfecto pero han mejorado mucho, ademas que puedes recibir la transacion al momento en tu movil como he dicho por sms o email.
Yo sigo con el contacless desconectado pero solo por una razon han habido veces que en salidas nocturnas en los bares ahi listos que te intentan cobrar doble o de mas asi me aseguro que me ensenen la maquina y que es lo que pago, pues muchos sitios no te ensenan que lo veo mal en fin, ahi esta mi opinion
cheryklan
Yo uso Samsung Pay en mi cuenta bancaria poseo dos números de cuenta, en una entra el dinero principal y la otra están mis tarjetas dónde voy transfiriendo pequeñas cantidades de dinero para uso diario. Me cansé que me clonaran las tarjetas cuando iba a México o Sudamérica. Así es como evito el robo. Son medidas que uno toma, cada cual tendrá la suya.
Usuario desactivado
Pues a mí me da igual. Mis tarjetas no son contactless, y no las quiero. Me parece una pollada del marketing bancario.
oxiigen8
Extraordinario
miguelangelalvarezfdz
Personalmente activo NFC en el móvil , al momento de pagar y lo desactivo al finalizar el pago.
Echo en falta un aviso o botón para desactivarlo, ya que si no lo tengo activado a la hora de pagar, la app sí me lo hace saber.
lbiohazardl
Yo hace algunos años vi un documental (ojo no video de 5 min craft, eran casi 49 minutos) , era documental con implementación real de este medio de pago en asia (cuando fue furor en dicho pais y disney aun no lo integraba a sus parques) , donde hablaban del tema de la proximidad para que un atacante , en algún sistema masivo como el metro , copiara la tarjeta/chip , ellos mostraron que era posible , compensando la energía inducida (haciendo más fuerte el lector ) y compensando las distorsiones por medio de algoritmos
Ellos en el video lo hacían ver simple , pues tras explicar superficialmente como adaptaron el lector , meterlo en una maleta con baterías y transitar en sitios muy congestionados como estaciones de metro y demás , capturaron unas 30 datos de tarjeta , que luego podían ser integradas al NFC de cualquier cel y pasarlo en un datáfono cualquiera (con la tecnología)
Y haciendo ensayos locos con un amigo que tiene local con estos datafonos , nos dimos cuenta que sin tocar el bolsillo trasero (Donde habitualmente metemos la billetera con las tarjetas) , a través de la billetera de cuero, tela y plásticos si se puede leer , de hecho teníamos 2 en la misma billetera y fallaba casi la mitad de las veces pero unas veces agarraba una y luego la otra
soymicmic
Buen artículo
Para efectuar ese robo, hay que usar un TPV que pertenece a alguien perfectamente identificado... O sea que sabes quien es el ladrón... Tu banco puede ejercer el chargeback correspondiente contra el banco adquirente
srsuri
usabilidad vs seguridad, es mas facil (no pones clave ni nada por el estilo, solo pasas la tarjeta y la transaccion finalizo) , pero tienes compromisos, compra un seguro y estaras mas tranquilo, el problema no es que te roben los datos de la tarjeta (hay mas cosas de lo que uno piensa en las tarjetas, hasta un microSO tienen) el problema es que exploten la facilidad del proceso de compra, al no pedirte ningun otro valor de validacion, simplemente se procesa la operacion y, para cuando te des cuenta de la notificacion y bloquear la transaccion, ya podria ser demasiado tarde.
lbiohazardl
No me parece un articulo correctamente elaborado, hay algunas cosas que si son acertadas ... pero luego se van a unas conclusiones meramente personales
La dificultad de todo el proceso es conseguir quien te elabore un dispositivo (electrónicamente hablando) la tecnología que compete a un datafono o mas precisamente hablando a un lector de informacion por NFC no es restrictiva por lo cual cualquier estudiante de electrónica con un plano en la mano lo puede recrear (Y esto lo han demostrado estudiantes universitarios) , la aplicabilidad en entornos cerrados con mucha gente es totalmente factible por lo cual clonar la info que expone el chip para su posterior uso es de completa facilidad (Incluso la persona que salga a robar no requiere capacitación técnica para hacerlo)
adicional para hacer el robo es tan simple como orquestar todas las transferencias a la cuenta destino y proceder a retirar lo antes posible (Este modelo de escape es comúnmente usado por quien roba informacion de tarjetas debito) ya que es muy común y relativamente simple usar la informacion de cuenta de otra víctima a la que le robaste la tarjeta o incluso creando una cuenta con informacion falsa o usando una mula bancaria , el tiempo de reacción de la víctima y el banco será variable pero por lo regular es lenta así que tienes tiempo suficiente para generar el retiro
Asi que a la final son 2 elementos
1) Un "nuevo" (Demostrado hace al rededor de 2 años en china) metodo de robo de informacion de la victima sumado a:
2) UN clasico metodo de extraccion de las ganancias del robo
Y si lo comparamos con un robo a mano armada que puedes hacer en por ejemplo un starbucks ... obviamente es más complejo y más demorado usar la tecnología , pero es más sigiloso y menos riesgoso (Usar el cerebro siempre es menos riesgoso que usar la fuerza bruta)
pablo.blancofierro
Esto es como los SMS premium y las llamadas a 806, etc. Solo sirve para posibles disgustos.
Que por defecto no se pida el pin para pagos menores de 20 euros y que funcione a distancia ya da mala espina.
Por si acaso lo desactivo que no cuesta nada meter la tarjeta e introducir el pin y si puede ser tarjeta recargable y pista.
pablo.blancofierro
Es todo muy seguro, pero a la gente la despluman.
Ademas no ponen esto porque los del banco sean "nuestros amigos" Lo ponen para que gastes mas y cobrar mas comisión por los pagos
cusberr
para mi el problema no es que me roben a "distancia" sino perder la targeta y que la usen para pagar sin pin
josefrikardo
¿Y si os digo que ya me ha pasado? ¿Sigue siendo un mito?
Sabiendo solamente los números de la tarjeta es tan sencillo como registrarte en lugares tan conocidos como Amazon y muchos otros que no piden código de seguridad (los 3 numeritos impresos al otro lado de la tarjeta).
Aunque el banco reaccionó rápido y paró la cosa al ver movimientos extraños, los cacos hicieron más de 3500€ en compras en pocos minutos.
El origen... un listo me pasó un lector por las cachas en un mercadillo y extrajo los datos de mi tarjeta.
El truco del papel de aluminio forrado con cinta adhesiva funciona muy bien. Se acabaron estos mamoneos (por el momento, jaja)
srsuri
mito... dame un pinpad y te demuestro lo contrario.
fuwerzarrandom
kejezo del contactless, mi amor es que salen tantas vainas raras que siento que tengo 50 años
Usuario desactivado
Excelente artículo. Gracias!
miguelangelcartagenasalgado1
Buenos días, ayer recibi un cargo en cuenta de 900 euros con el único concepto de tarjeta SUMUP, a las 21:52. A mediodía compré un ordenador en el Corte Ingles he hice el pago con contacless. Durante el resto del día no realicé ninguna operación más con mi cuenta o tarjeta. No se si seguís pensando que no es posible pero como véis... pasar pasa.
Ya está denunciado y a la espera de noticias del seguro.
oputonmoy1
Son un grupo profesional de piratas informáticos más allá de la imaginación humana, me complace anunciar al mundo sobre este grupo de piratas informáticos que solo los clientes serios pueden contactar a través de: NOBLEWEBHACKERS@GMAIL.COM o whatsapp:
+19786139882 han pasado hasta 2 décadas en la profesión de Hacking como leyenda y su reputación sigue siendo la misma positivamente ... La gente los elige porque no dejan de entregar ... hacen uso de un software rápido sin complementos notificaciones de bases de datos ..
Ofrecen todas las formas de servicios de piratería que no se limitan a lo siguiente;
-Carga de Bitcoin
-Eliminación de puntaje de crédito anterior
-Tarjeta de cajero automático en blanco ilimitada con código de seguimiento para recoger
- Ayuda Regístrate en ILLUMINATI y hazte famoso más rápido
-Eliminar videos de Youtube o aumentar las vistas
-Transferencia escolar y falsificación de certificados
-Verificar cuentas para transferencias de Paypal e inicios de sesión bancarios
-Hack Court System y borrar antecedentes penales
- Minería Bitcoin
-Entrega de tarjeta de crédito
-Actualización de calificaciones escolares
-Facebook hackear
-Whatsapp Hack
-IP ubicación
-Clara mala conducción
-Hack Bank Logins
Y otros innumerables servicios, pero no de forma gratuita ... se entregan perfectamente sin ningún remordimiento de ningún cliente ... enlace de correo electrónico: NOBLEWEBHACKERS@GMAIL.COM
verdaderamente son los gurús de internet del mundo ... porque tu sonrisa es su felicidad...