Tarde o temprano, todos nos acostumbramos a ver deslizar nuestras tarjetas bancarias por la hendidura de terminales de pago (TPV/Pos), en todo tipo de comercios y locales de ocio. Sin darnos cuenta, fuimos seducidos por las facilidades que nos brindaba la, ya veterana, Banda Magnética, introducida por las entidades financieras en los años setenta.





Figura 1: Tarjeta de crédito con banda magnética

Sin embargo, esta facilidad de uso no estaba exenta de riesgos, y junto a su creciente popularidad, también se incrementaron los casos de fraude, ocasionados principalmente por la copia de la información contenida en la banda magnética y posterior clonación de la tarjeta, haciendo uso de la misma suplantando a su legítimo titular.

Para contrarrestar las debilidades de la banda magnética, en el año 2000 las entidades financieras y los intermediarios de medios de pago, impulsaron la incorporación a las tarjetas de un “chip” basado en el estándar EMV de interoperabilidad de tarjetas, que incrementa notablemente la seguridad en las transacciones, ya que además de no poder ser duplicado, posibilita la autenticación del titular mediante su PIN, tecleado en el momento de realizar cualquier pago.

La transición al “chip” se realizó de manera gradual, ya que este podía coexistir con la banda magnética. Durante varios años se mantuvieron en funcionamiento terminales y tarjetas en formato dual, los cuales podían operar tanto con banda magnética como con chip, prevaleciendo este último si estaba disponible por ambas partes.

No obstante, la picaresca de los clonadores de tarjetas, o simplemente una mala práctica de los comercios, llevaba a deslizar la banda magnética en primer lugar, antes de introducir la tarjeta para la lectura del chip, prologando así la posibilidad de fraude, tal y como se explica detalladamente en el “Fraude en Puntos de Venta”.





Figura 2: TPV/PoS lector de chip EMV

Aunque parece un gesto sencillo, pasar de deslizar la tarjeta a introducirla en el TPV supuso un cambio radical, tanto para los usuarios, como para las infraestructuras que soportan los procesos transaccionales entre los diferentes actores: entidad emisora, entidad receptora e intermediaros del pago.

Pero cuando apenas acabábamos de adaptarnos al “chip”, llegó la auténtica revolución, la tecnología NFC, gracias a la cual, no es necesario introducir la tarjeta en el TPV, basta con situarla a una pequeña distancia, para que la comunicación se realice de forma inalámbrica, “sin contacto” o “contactless” por su denominación inglés.


Tecnología NFC en los medios de pago

NFC es una tecnología de comunicación inalámbrica por radio frecuencia análoga a RFID, cuyo protocolo está estandarizado bajo la norma ISO/IEC 14443.

Además de las tarjetas bancarias, la tecnología NFC se ha incorporado también en los smartphones de última generación, e incluso las operadoras de telefonía más innovadoras la incluyen en sus SIMs, habilitando así cualquier teléfono móvil como medio de pago.

De forma similar a como ocurrió con el chip y la banda magnética, la tecnología NFC cohabita con ambas, pero a diferencia del chip, que expone visiblemente sus terminales de contacto, el NFC queda oculto en el interior de la tarjeta, por lo que deberemos localizar su logotipo, para reconocer una tarjeta capaz de realizar un pago “sin contacto”, con tan solo acercarla a escasos cinco centímetros de un terminal de pago que cuente también con NFC.





Figura 3: Logotipo de NFC


NFC funciona mediante el acoplamiento inductivo en un campo electromagnético creado entre dos dispositivos dotados de una antena de radiofrecuencia a tal efecto. A través de este acoplamiento se realiza la comunicación de datos bidireccional entre ambos dispositivos, pudiendo efectuarse a diferentes velocidades, 106, 212, 424 ó 848 Kbit/s.

De forma similar a otras tecnologías RFID, NFC utiliza la banda ISM de 13.56 MHz, la cual no requiere de una licencia específica, aunque está fuertemente regulada tanto técnicamente, como en sus condiciones de uso. La utilización de las bandas ISM es tratada en este artículo.


Tarjetas NFC “Contactless”

Las tarjetas NFC incorporan en su interior un transpondedor pasivo, junto con una antena en espiral, capaz de captar la energía proporcionada por un dispositivo lector NFC activo, al mismo tiempo que efectúan la comunicación de datos con el chip EMV.





Figura 4: Tarjeta de crédito con chip EMV y antena pasiva NFC


Las tarjetas plásticas, al igual que otros dispositivos pasivos conocidos como “antenas”, necesitan obtener energía del campo electromagnético generado por un dispositivo activo, como un lector NFC, el cual actúa como iniciador de la comunicación.

Existen también dispositivos NFC activos, los cuales cuentan con una pequeña batería, gracias a la cual pueden generar su propio campo electromagnético sin necesidad de una iniciación externa.


Lectores NFC “Contactless”

Los dispositivos encargados de interactuar con las tarjetas NFC se conocen como “lectores”, aunque estrictamente pueden realizar operaciones tanto de lectura, como de escritura, ya que ambas están soportadas por el protocolo ISO/IEC 14443.

Están compuestos por una antena, un transceptor y un decodificador, requiriendo de una fuente de energía externa y continua para permanecer activos, enviando señales en búsqueda de tarjetas en su radio de acción.





Figura 5: TPV/POS lector NFC




Seguridad de las tarjetas NFC

Si bien es cierto que el chip EMV proporciona un mayor grado de seguridad, contrariamente a la creencia generalizada, la información que contiene no se almacena cifrada, está en texto claro, y de igual forma se transmite al lector, ya sea a través de los contactos del chip, o por la conexión sin contacto NFC, la cual tampoco incorpora ningún mecanismo de cifrado.

Las transacciones de pago si se cifran criptográficamente, por lo que están seguras ante cualquier tipo de intercepción, manipulación o repetición, pero el resto de la información de la tarjeta: Número PAN (Primary Access Number), nombre del titular y fecha de caducidad, podrían ser capturados ilícitamente por un dispositivo conocido como scanner, ya que con estos datos se podrían efectuar compras fraudulentas a través de Internet en comercios online que no requieran introducir como segundo factor de autenticación, el código de tres dígitos conocido como CVV, serigrafiado en el reverso de las tarjetas bancarias.


Ataque “Cibercartereo”

La ausencia de cifrado en la comunicación NFC entre la tarjeta y el lector, es aprovechada para obtener ilícitamente la información almacenada en el chip EMV, mediante la aproximación sigilosa de un lector NFC a la tarjeta NCF de una víctima desprevenida. Existen varios precedentes de estos casos, conocidos como “Cibercartereo”.

Este tipo de ataques es relativamente fácil de llevar a cabo, ya que hay disponibles diferentes lectores NFC que se conectan a un computador o Tablet por USB, incluso se pueden encontrar fácilmente lectores NFC autónomos de pequeño tamaño, los cuales permiten acercarse discretamente, a menos de cinco centímetros, de una víctima y leer los datos de su tarjeta NFC.

Una excelente demostración de este ataque se llevó a cabo por Renaud Lifchitz durante su ponencia en la conferencia de Seguridad “8.8” realizada en Santiago de Chile en 2013. En ella se llegaron a obtener hasta la relación de los pagos realizados, tal y como se muestra a continuación.




Figura 6: Obtención de datos vía lector NFC en 8.8 2013





Ataque de Replay en NFC

El ataque de Relay en NFC, está basado en el ataque conocido como de “hombre en el medio”, o MitM por sus siglas en inglés.

Básicamente consiste en que el atacante se intercala entre los dos interlocutores de una conexión NFC, retrasmitiendo los mensajes de una parte a otra, pero capturando toda la información e incluso manipulándola a su antojo.

Como se puede apreciar en la siguiente figura, el atacante realiza el ataque de Relay NFC empleando dos smartphones intercomunicados por bluetooth; uno actúa como “proxy Reader” para leer los datos de la tarjeta NFC de la víctima y enviarla al “proxy toquen”, que a su vez la hace llegar al lector NFC legítimo. En este trayecto, toda la información ha quedado capturada para su posterior utilización fraudulenta.




Figura 7: Ataque de Replay en NFC.



Ataques de malware NFC

Las debilidades de la tecnología NFC no han pasado desapercibidas por los desarrolladores de malware, los cuales desde hace un tiempo están creando aplicaciones maliciosas, especialmente para dispositivos Android.

Estas aplicaciones maliciosas suenen pasar desapercibidas, ya que se camuflan simulando una aplicación legitima conocida, como algún juego de gran popularidad, pero una vez instalada se activa como lector de NFC en modo silencioso, capturando toda la información de cuantas tarjetas encuentre a su alcance.

En caso más relevante de este tipo de malware se conoce como Android.Ecardgrabber.


¿Cómo protegerse?

Aunque pudiera parecer una broma, la mejor forma de afrontar los ataques de NFC, pasaría por evitar que alguien se nos acercase lo suficiente para leer nuestras tarjetas; esto resultaría fácil si vamos siempre acompañados de un perro feroz que lo evitara, pero como esta opción no estará siempre disponible, deberemos enfocarnos en la seguridad física de nuestras tarjetas.

Podemos encontrar fundas para tarjetas bloqueadoras de NFC, en ElevenPaths las ofrecemos gratuitamente como suvenir, y recientemente hay una gran oferta billeteras anti NFC. Como último recurso, podemos forrar con papel de aluminio la cartera donde transportemos nuestras tarjetas NFC.





Figura 8: Protector de tarjetas anti NFC.


En nuestros teléfonos móviles solo deberíamos activar el NFC cuando vayamos a utilizarlo, y siempre que nuestra entidad financiera o intermediario lo permita, habilitar un segundo factor de autenticación, como el PIN, incluso si las operaciones son de importes reducidos.

Encontramos también aplicaciones de pago o monederos móviles, desarrollados por emisores de pagos sin elementos seguros (Host Card Emulation - HCE), que implementan tokens de pago únicos, junto con otras capas de seguridad software, que incrementan la seguridad en las transacciones.

Finalmente, debemos proteger la información que almacenamos en nuestros teléfonos móviles, con algún software antimalware que deberemos mantener actualizado y estableciendo una contraseña suficiente segura, que evite que el teléfono pueda utilizarse por una persona ajena en caso de pérdida o robo.

Lo ideal sería que la industria implementara los protocolos criptográficos adecuados para establecer un canal seguro de comunicación NFC, que proporcione la confidencialidad, integridad y autenticidad apropiada para los datos transferidos entre dispositivos.

Mientras tanto, los invito a conocer más sobre los #11PathsTalks y cualquier tema relacionado con la seguridad de la información en nuestra comunidad.



Gabriel Bergel
CSA - Chief Security Ambassador
@gbergel
[email protected]