NFC - Pago sin contacto tecnología Noticias

Pago sin contacto: la sigla que molesta

El pago sin contacto se hace gracias a la tecnología NFC, léase Near Field Communication en inglés, «comunicación de campo cercano», que consiste en la emisión de una señal de alta frecuencia y corto alcance que faculta un intercambio de informaciones en un campo de 10cm. Se trata de la extensión de la norma ISO/CEI 14443 que encuadra la RFDI. La NFC equipa hoy en día tarjetas usadas en los medios de transportes, en el comercio, para acceso a determinados servicios públicos y para una creciente cantidad de terminales públicos.

Lamentablemente, tuvimos el disgusto de constatar que un simple programa de libre acceso en internet y la confección de un pequeño módulo por menos de 100€ basta para aspirar los números de tarjetas equipadas con NFC, pagos sin contacto.

Una ascensión fulgurante pues todas las tarjetas están involucradas. las tarjetas de fidelidad, las tarjetas de los medios de transporte, las tarjetas de débito de los bancos, y las tarjetas de crédito recargables. La tecnología NFC de pagos sin contacto es muy atractiva y seductiva, permite prescindir de los chips, de los códigos y de los aparatitos lectores de tarjetas. Esto representa, sin embargo, una ganancia de tiempo indiscutible para los usuarios y las colas.

En España el uso de la tecnología NFC viene diseminándose en un ritmo mucho más lento que en EEUU desde 2011, dónde ya se había implantado desde 2001. Los países campeones son Japón y Corea del Sur, junto con Israel y EEUU, tras la implicación de las operadoras y productoras de teléfonos móviles.

Los bancos españoles han empezado a implantar la tecnología de los pagos sin contacto en las tarjetas convencionales informando esto apenas parcialmente a sus usuarios, y, sobretodo, sin dejarles la elección. Pese a todo, tal tecnología no está aún tan desarrollada como nos dejan creer.

De hecho, la AEPD (Asociación Española de Protección a los Datos), los mismos que en ele 2013 han cobrado 900000€ de Google por tres «violaciones graves a la legislación protectora de datos personales», han solicitado a los bancos que revisen sus copias desde 2012. Aunque su pedido haya sido discreto y faltando de real ganas de actuar, sobretodo para no alertar a los clientes, es la mas grande prueba del riesgo que el NFC devenga una puerta de entrada para los estafadores y la expropiación de datos sensibles.

Esto significa que existe un nivel considerable de sospecha en contra de la seguridad de la tecnología NFC.

Conviene atentar a la fuga de datos de pagos. En su relación del 2013, pese a los progresos realizados por los principales agentes , la AEPD declara estar en permanencia «preocupada por la accesibilidad al número de la tarjeta y a su fecha de expiración». Hasta el final de 2012 y aún en algunas tarjetas de crédito emitidas por los grandes distribuidores, sería posible capturar el nombre de usuario y más aún, el historial de sus transacciones.

Muchos especialistas en seguridad, como por ejemple Renaud Lifchitz, ingeniero en seguridad en BT,  para aprovecharse de los fallos en NFC, bastan menos de cien euros, una llave USB o un teléfono inteligente. Además, ningún protocolo de autentificación encriptado había sido implantado desde 2011, resaltando que el pass Navigo era bastante más segurizado pues los intercambios de informaciones son encriptados y asociados a un sistema de identificación.

Otros especialistas más han demostrado la falta de seguridad de los pagos efectuados con la NFC: Charlie Miller, en 2012 ha pirateado  con alguna dificultad pues los móviles estaban protegidos, 3 smartphones de los principales fabricantes… y ha colectado los datos no codificados.

Kristin Paget, en 2012 usando un lector RFID (Identificador de Frecuencias Radiofónicas) de 45€ logró bajar los datos de pago en un medio de transporte público y usó estos mismos datos para efectuar un pago en un terminal de 235€

Los principales agente han reaccionado agrupándose en una GIE que trabaja en conjunto junto con la AEPD. Pero el GIE, los de los banco en particular, no representan más que 50% de las 23 millones de tarjetas NFC emitidas en España. Otros bancos emiten sus propias tarjetas y es imposible conocer en qué proporción se puede acceder a sus datos.

En este momento, los progresos no bastan mientras aún se pueda tener acceso a los números de tarjeta de crédito y a su fecha de expiración. Pues bien, nada más simple que llegar a un comercio que no solicite de manera sistemática los tres números del dorso de la tarjeta (código CCV) y comprar…

Si el ataque pasivo que consiste en escuchar desde lejos es complicado de ejecutar, considerando el material necesario y los conocimientos técnicos, el ataque activo con un smartphone, un tablet o una señal dirigida a algunos metros del blanco por otro lado es sensiblemente más barata.

Los chicos tendrán que aprender los rudimentos de electrónica, de criptografía y de programación antes de poder substraer un euro que fuera… A menos de bajar el programa de lectura disponible en Internet.

En el día de hoy, no se puede decir que sea mejor evitar la tarjetas de crédito, prepago o no, dotados de tecnología puesto que casi todas vienen con el NFC. Andan trabajando incesantemente en mejor el sistema de protección.

Consultad aquí nuestro comparativo para averiguar cuales son estas tarjetas de prepago equipadas con NFC:
 

Leave a Reply

Your email address will not be published. Required fields are marked *

2 + 19 =