Cuando hace un par de años dedicamos uno de nuestros artículos a la seguridad de las tarjetas de crédito nos centramos en los tipos de tarjeta más extendidos por aquel entonces, las que seguían usando la banda magnética y las que incorporaban un chip. Sin embargo, si hay una tecnología que se ha ido extendiendo rápidamente durante estos dos años que han pasado, esta ha sido la del uso de tarjetas contactless, tarjetas que permiten realizar el pago sin tener que introducirla en el lector y que incluso no requieren la introducción de un PIN o una firma si la cantidad a pagar no supera un importe determinado de poca cuantía.
Sobre el robo mediante contactless
Como suele pasar en España, muchos usuarios no se preocuparon de revisar si su tarjeta disponía de capacidades contacless hasta que empezaron a aparecer informaciones y avisos en redes sociales de supuestos robos realizados en lugares con mucha concentración de personas como, por ejemplo el transporte público.
Así pues, a mediados de febrero a alguien se le ocurrió publicar la siguiente imagen en foros y redes sociales aludiendo a una supuesta nueva técnica usado por los delincuentes para robarnos el dinero sin ni siquiera acceder a nuestra cartera:
Esta imagen, tomada meses antes y que fue inicialmente difundida en redes rusas, causó furor en redes sociales y medios de comunicación, e incluso responsables de Cuerpos y Fuerzas de Seguridad del Estado tuvieron que salir a desmentir que esta técnica estuviese siendo utilizada en España. Sin embargo, otros medios se empeñaron en demostrar que estos robos eran posible e incluso se subieron vídeos donde se mostraba como se podían realizar cobros incluso desde una tarjeta guardada en una cartera dentro de un abrigo.
El punto que no contemplaron estos medios es que, realmente, solo estaban demostrando que el cobro mediante el uso de tarjetas contactless funcionaba. Para que fuera considerado un robo, el delincuente tendría que conseguir cobrar una cantidad a la víctima usando un lector de tarjetas evitando dejar rastro y sin posibilidad de que la víctima reclamase a su entidad.
La realidad es que los lectores de tarjetas contactless van asociados al nombre del comerciante que lo solicitó (también conocido como merchant) y que recibe el dinero de la tarjeta del cliente. Si alguien se dedicase a realizar este tipo de cobros a diestro y siniestro sería muy fácil detectar a quien está asociado este TPV y reclamarle el dinero sustraído. Además, estos terminales incorporan medidas de seguridad que los bloquean una vez han superado, por ejemplo, un número de transacciones o una cierta cantidad de euros cobrados en un tiempo determinado.
Estas limitaciones suponen una barrera para los delincuentes que estén pensando en actuar de carteristas digitales y, si bien algunos investigadores apuntan que hay técnicas que permitirían desviar el dinero sustraído a cuentas controladas por los delincuentes destinadas a blanquear este tipo de capitales, la alarma que se generaría entre las entidades bancarias tan pronto como este tipo de robos se hiciese popular sería suficiente como para tomar medidas para que este tipo de robos no se repitiese.
Clonación de tarjetas contactless
Una vez aclarado que realizar este tipo de robos mediante el ataque conocido popularmente como “arrimar la cebolleta” no es tan sencillo como nos lo pintaban algunos y que el delincuente se expone a ser identificado siguiendo el rastro del TPV utilizado, deberíamos analizar que otros riesgos existen.
Cuando hablamos de sistemas de pago contacless, muchas veces nos referimos al uso de tecnología NFC o RFID implementada en medios como tarjetas de crédito o dispositivos móviles. Este punto es importante puesto que, además de para realizar pagos, esta tecnología está también diseñada para realizar operaciones de lectura / escritura entre dispositivos a corta distancia.
Así pues, si somos usuarios de alguna tarjeta de crédito que disponga de capacidades contactless o incluso si ya disponemos del DNIe 3.0, la mayor preocupación que deberíamos tener es que alguien clonara los datos que almacenan estas tarjetas sin nuestro permiso. No obstante, es importante destacar que no todos los datos se pueden copiar fácilmente y que si bien sería posible obtener los datos del titular, número de cuenta asociada y fecha de expiración de una tarjeta de crédito, otros datos como las claves privadas en una tarjeta SIM no podrían sustraerse utilizando la misma técnica.
El riesgo limitado existe, e incluso con los datos que sí que se permiten clonar los delincuentes pueden realizar acciones fraudulentas como suplantaciones de identidad o clonación de tarjetas de crédito (hasta cierto punto). Por eso, cuando aparecen noticias como la venta de dispositivos de clonado de tarjetas que permiten copiar los datos anteriormente mencionados si lo acercamos a 8 centímetros de la tarjeta de la víctima, es normal que se produzca cierto revuelo a pesar de que la aplicación real sea limitada y el precio de 1.2 bitcoins (unos 730€ en el momento de escribir este artículo) que piden por él no sea precisamente barato.
Créditos de la imagen: Softpedia
Los TPV, el punto más débil
Todo lo mencionado hasta ahora se ha discutido largo y tendido en varias conferencias, grupos y lista de investigadores de todo el mundo. De hecho, buena parte de la información proporcionada en este artículo no se hubiera podido obtener sin la ayuda de varios investigadores que, aportando su conocimiento y experiencia, han venido discutiendo la seguridad de las tarjetas contactless en varias listas de correo.
Sin embargo, existe otro vector de ataque que ha sido plenamente aprovechado por los delincuentes y que en el artículo de hace dos años ya mencionábamos. Estos son los ataques que tienen en su punto de mira a los terminales de punto de venta, dispositivos que, como ya dijimos, no difieren mucho de un mini-ordenador con un sistema operativo embebido que raras veces se actualiza o parchea.
En los últimos años hemos visto como estos ataques se han seguido produciendo e incluso han aumentado el número de incidentes que tiene como protagonistas estos dispositivos de cobro. Para los delincuentes y, más concretamente, grupos de criminales con medios suficientes para conseguir infectar estos terminales, este método es mucho más efectivo que ir tratando de robar una por una las tarjetas de sus víctimas.
Estas tarjetas se usan luego para realizar transacciones a las cuentas de los delincuentes usando muleros, compra de servicios online para realizar otras actividades criminales como el pago de dominios en campañas de propagación de malware o sustraer directamente el dinero desde cajeros automáticos en operaciones coordinadas.
En lo que respecta a la tecnología contactless, los TPV tampoco han demostrado haber implementado medidas 100% efectivas. Es cierto que no se pueden hacer cargos sin solicitar la introducción del PIN o la firma superiores a una cantidad como pueden ser 20€. Sin embargo, investigadores de la Universidad de Newcastle demostraron hace tiempo que esa limitación se puede saltar haciendo el cobro en moneda extranjera, una vulnerabilidad que la mayoría de terminales siguen teniendo a día de hoy.
Conclusiones
Tratándose de un problema de base en la forma en la que se implementó la tecnología contactless en los sistemas de pago, lo lógico sería pensar que los comercios, bancos y entidades reguladoras tomaran cartas en el asunto e implementaran, de la manera más rápida posible, nuevas medidas de seguridad que limitasen los ataques existentes antes de que se conviertan en una amenaza extendida.
Sin embargo, sabemos que una revisión de todo este sistema costaría tiempo y no todos los comercios lo adoptarían en un tiempo prudencial por lo que, una vez más, el peso recae en los usuarios. Por suerte, en esta ocasión la solución es sencilla y relativamente barata y pasa por, adquirir una cartera que bloquee las señales RFID y/o NFC o conseguir una funda para cada una de las tarjetas contacless que tengamos, como estas que repartimos entre los asistentes al pasado Mobile World Congress de Barcelona.
En cualquier caso, este tipo de ataques siguen suponiendo una pequeñísima minoría (más una anécdota que otra cosa) si los comparamos a otros muchos más comunes y que afectan a los poseedores de tarjetas de crédito desde hace bastante tiempo. Es por eso que debemos aprovechar estos avisos e investigaciones para, por una vez, tomar la delantera y ganarle la partida a los delincuentes.