Las advertencias de seguridad de los pagos NFC

La idea de pagar algo sin usar su número PIN ya no es algo nuevo. A pesar de eso, el concepto lo expone a tantas vulnerabilidades (si no más) que antes.

Anteriormente, escribí sobre el sistema de pago móvil sin PIN de Android Pay y las consecuencias negativas que las personas pueden sufrir al reemplazar sus números de PIN con autenticación biométrica. Ahora hay dispositivos como Anillos de pago NFC que exacerban aún más los problemas de vulnerabilidad anteriores de otras soluciones similares. Resulta que hay un par de cosas que debe saber antes de subirse al tren de la conveniencia que brindan los pagos sin contacto.

La gente puede escuchar las transacciones

nfchack-escuchando a escondidas

Escuchar las señales de radio es, con mucho, una de las prácticas más antiguas de la historia moderna. Lo hemos estado haciendo desde la Primera Guerra Mundial y hemos confiado mucho en él la segunda vez. Es posible que los dispositivos se hayan vuelto más avanzados, pero la técnica aún está relativamente intacta. Usted crea un dispositivo de escucha que sintoniza la misma frecuencia de radio que están usando otras dos personas y las escucha.

Hackers e investigadores han tenido conocimiento de las escuchas de NFC desde al menos 2013, cuando algunas personas crearon un carrito de compras que fácilmente podría deslizarse y “escuchar” las transacciones que se realizan mediante el pago sin contacto. Para evitar que ocurra un fenómeno de este tipo, los lectores deben cifrar sus conexiones de un extremo a otro. Incluso entonces, existe la posibilidad de que se escuchen a escondidas. Para que los consumidores estén seguros de manera confiable, es mejor evitar el uso de NFC en lugares concurridos.

Los datos pueden invalidarse

nfchack-pago

Este problema en particular molesta tanto a los minoristas como a los compradores. Un pirata informático puede colocar un dispositivo cerca del lector que corrompe los datos que ingresan al lector, haciendo imposible realizar una compra en ese mostrador en particular. Los piratas informáticos pueden tener un incentivo para hacer esto junto con la escucha a escondidas para asegurarse de que el cliente no vacíe su saldo antes de que tenga la oportunidad de usarlo.

La solución a este problema es la misma aquí que para las escuchas. Los minoristas deben utilizar canales seguros para transmitir y recibir datos en sus lectores NFC. Aunque este ataque en particular no presenta una amenaza particular ni para el minorista ni para el cliente (solo mucha frustración), vale la pena repetir el hecho de que puede ser especialmente peligroso para el cliente cuando los piratas informáticos eligen combinar esto con espionaje.

El ataque del “hombre en el medio”

Descrito con más detalle aquí, un ataque de hombre en el medio (MiM) es una forma sofisticada de espionaje en la que el pirata informático interceptará la conversación entre el dispositivo NFC y el lector que procesa el pago y enviará información falsa a ambos. De esta manera, los piratas informáticos pueden invalidar los datos (enviando al lector información basura como describí anteriormente) y recibir el pago NFC ellos mismos en función de lo que el dispositivo NFC intentó enviar al lector.

Debido a su sofisticación, estos ataques son muy raros, pero las vulnerabilidades presentes actualmente en las transacciones NFC crean un incentivo para que los piratas informáticos comiencen a invertir más tiempo en la creación de herramientas que lleven a cabo estos ataques. Para empeorar las cosas, los piratas informáticos pueden escuchar activamente la conexión antes de que se complete el “apretón de manos” de cifrado, lo que hace que el cifrado sea bastante inútil en este punto. Pero una cosa que los minoristas podrían hacer es tener un estilo de comunicación activo-pasivo donde el dispositivo NFC simplemente envía sus datos y el lector simplemente procesa la información y envía la confirmación de compra.

Nunca subestimes a los carteristas

nfchack-billetera

Por supuesto, cuando no está hecho para piratear inteligentemente su camino hacia los portales de pago, su mejor opción es simplemente tomar lo que la gente esté usando para pagar las cosas en estos días. Una tarjeta es un poco más difícil de robar ya que normalmente tendrías que robar toda la billetera que está dentro de un bolsillo la mayor parte del tiempo (algunas personas usan el bolsillo interior de su abrigo para sus billeteras, lo que hace que esto sea más desafiante).

Pero los teléfonos a menudo se guardan fuera de los bolsillos y se pierden fácilmente. Incluso si están en un bolsillo, la mayoría de las personas no tratarán sus teléfonos con tanto cuidado como lo hacen con sus billeteras. Los anillos de pago NFC llevan esto un poco más lejos, ya que es aún más fácil perder anillos. Robarlos es solo cuestión de encontrar un momento oportuno en el que alguien se quita los anillos para lavarse las manos.

Mi sugerencia para las personas que usan teléfonos es asegurarse de que tengan alguna forma de bloquear de forma remota el dispositivo si se pierde. Aparte de eso, debería evitar los pagos NFC por completo si es muy importante para usted minimizar las posibilidades de que le roben su dinero de cualquiera de las formas desagradables que he descrito anteriormente.

¿Utiliza pagos NFC? ¿Cómo protege sus finanzas? ¡Cuéntanoslo en un comentario!

¿Es útil este artículo?

Compártelo con alguien que le pueda interesar

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *