Hace ya una semana que me llegó la imagen de un hombre en el metro (supuestamente en el metro de Madrid) con un terminal TPV portátil intentando robar mediante pagos con tarjetas NFC. Esta información la he visto en FB donde se ha compartido mas de 40.000 veces, en Telegram, mediante Twitter, Whatsapp… vamos, que podemos decir que está de actualidad.
Pero… ¿es esto cierto? ¿Es el nuevo <<modus operandi>> de los delincuentes para realizar fraude bancario?
Primero vamos a ver que es la tecnología NFC.
Según Wikipedia: Near field communication (NFC, comunicación de campo cercano en español) es una tecnología de comunicación inalámbrica, de corto alcance y alta frecuencia que permite el intercambio de datos entre dispositivos. Los estándares de NFC cubren protocolos de comunicación y formatos de intercambio de datos
NFC es un protocolo, y por tanto existen diferentes implementaciones del mismo, según el NFC fórum:
- Tipo 1:Se basa en la norma ISO / IEC 14443A. Este tipo de etiqueta se lee y re-escribir capaz. La memoria de las etiquetas puede estar protegido contra escritura. Tamaño de la memoria puede ser de entre 96 bytes y 2 Kbytes. Velocidad de comunicación con la etiqueta es de 106 kbit / s. Ejemplo: Innovision Topaz
- Tipo 2: Se basa en la norma ISO / IEC 14443A. Este tipo de etiqueta se lee y re-escribir capaz. La memoria de las etiquetas puede estar protegido contra escritura. Tamaño de la memoria puede ser de entre 48 bytes y 2 Kbytes. Velocidad de comunicación con la etiqueta es de 106 kbit / s. Ejemplo: NXP Mifare Ultralight
- Tipo 3: Se basa en la Norma Industrial Japonesa (JIS) X 6319-4. Este tipo de etiqueta está preconfigurado en la fabricación sea de lectura y regrabables, o de sólo lectura. Tamaño de la memoria puede ser de hasta 1 Mbyte. Velocidad de comunicación con la etiqueta es de 212 kbit / s. Ejemplo: Sony Felica
- Tipo 4: Tipo 4 es totalmente compatible con la norma ISO / IEC 14443 (A \ & B) serie estándar. El tamaño de la memoria puede ser de hasta 32 Kbytes; Puede usar comunicación de tipo APDU. La velocidad de comunicación con la etiqueta es de 106 kbit / s. Ejemplo: NXP DESfire, NXP SmartMX con JCOP).
Sin entrar a valorar la seguridad de la gran cantidad de tarjetas NFC que hay implementadas, ya sea en sistemas de control de acceso, líneas de transporte, identificación de personal…, y cuyos protocolos tienen la seguridad rota hace años, hoy vamos a centrarnos en las de tipo 4. Estas son las empleadas en el ámbito bancario al disponer de la capacidad de usar APDU.
¿Cómo funcionan las tarjetas de crédito/débito contact-less?
Toda la «polémica» radica en su funcionamiento, que como sucede en otras ocasiones convierte una ventaja, como es su usabilidad más cómoda para el usuario, en una desventaja o detrimento en la seguridad.
Esta “mejora” se basa en la posibilidad de emitir pagos sin requerir ningún tipo de autenticación por parte del TPV (siempre y cuando estos pagos tengan un importe menor de 20/50 euros).
Por tanto, el target tiene que ser una tarjeta NFC con el protocolo ISO/IEC 14443-4. Esto se recoge en el estándar EMV (EMV es un estándar creado por las compañías Europay, MasterCard, and Visa para unificar lo referente a las tarjetas de crédito)
Funcionamiento tarjeta bancaria NFC
Poniendo un caso de uso práctico, la forma de pagar con una tarjeta de este tipo es la siguiente:
El TPV emite continuamente su señal a la espera de recibir los datos de una tarjeta, la cual es activada por la energía generada por el TPV. Si se establece la comunicación entre ambos, se realizará una serie de petición-respuesta hasta finalizar la transacción (ya sea con o sin éxito).
En una transacción de este tipo se envían, entre otras cosas, la siguiente información:
- Nombre
- Número de tarjeta
- Fechas de caducidad
- Auth code
Como podemos ver, todos los datos son altamente sensibles, ya que en algunos comercios online son suficientes para realizar compras (de cualquier importe), y en cualquier caso, el CVV, que es el dato que falta, se puede obtener mediante fuerza bruta.
Por tanto si analizamos la foto que se ha vuelto viral en las redes vemos a este “señor” con un TPV el cual, según dicen en internet, es utilizado para acercarse a la gente y realizar transacciones de menos de 20€. Pensando en lo cierto de esto, no podemos decir que sea falso, pero personalmente sí me atrevería a afirmar que es poco probable que algún delincuente realice el fraude de este modo por los siguientes motivos:
Nadie va con un TPV por la calle para robarte tu tarjeta! #BULO Click Para Twittear
El primero y más obvio es lo evidente de ir con un TPV en la mano por la calle, cosa que levantará las sospechas de mucha gente, como la persona que realizó la famosa foto.
Lo segundo es que el hecho de solicitar un TPV no es un proceso trivial, tenemos que facilitar todos los datos personales, profesionales y bancarios a la entidad emisora, la cual estudiará las condiciones y comisiones antes de entregarnos el TPV. Este, además de para el fraude, debería ser utilizado en un comercio legítimo para no levantar sospechas. Por tanto es de extrañar que alguien se exponga a realizar actividades fraudulentas con un TPV (siempre que no sea robado o conseguido en el mercado negro).
Formulario web para solicitar TPV en un banco
Además de lo anteriormente visto, el TPV convencional usa tarjeta SIM para conectarse a la red de datos, que como todos sabemos no tiene acceso en muchos puntos de la red de transporte subterráneo. A esto hay que añadir, que la distancia de lectura del TPV no es muy elevada.
Conclusión… POSIBLE, pero MUY IMPROBABLE
Entonces… ¿Estoy a salvo?
Lamentablemente, y a pesar de los esfuerzos de las entidades bancarias, la respuesta a priori es NO.
Si bien decíamos que el hecho de ir con un terminal TPV no es factible, sí lo es el acercarse a alguien con un dispositivo preparado para la lectura de tarjetas NFC, o incluso con un Smartphone con esta tecnología.
Un dispositivo Proxmark3, con su antena correspondiente, aumenta el alcance de un TPV estándar considerablemente, lo que facilita enormemente el ataque de este. Su coste en principio puede parecer elevado (400€ aprox.), pero si se valora el beneficio que un cibercriminal pude obtener, la cosa cambia. Además de este dispositivo existen otros con capacidades técnicas superiores a las de un TPV y un precio no superior a los 50€.
Las tarjetas #NFC pueden suponer un peligro si el atacante cuenta con el hardware necesario. Click Para Twittear
Una vez en posesión de uno de estos dispositivos, el criminal puede capturar los datos de una gran cantidad de tarjetas y usarlos a su conveniencia, ya sea mediante compras online o mediante la creación de tarjetas NFC falsas.
¿Todo esto os parece muy técnico? ¿Sospecharías de alguien con un dispositivo extraño? Puede que sí, pero seguro que no sospecháis de alguien que se acerque a vosotros con el móvil en la mano. Así es, no hace falta ningún dispositivo especializado para hacer pagos con vuestra tarjeta en cualquier lado del mundo, tan sólo un par de dispositivos Android con NFC.
Mediante el ataque conocido como “de relay” el delincuente puede capturar la información de la tarjeta de crédito haciéndose pasar por un TPV, e inmediatamente la manda a otro dispositivo que hace de tarjeta, el cual es empleado en la realización del pago (es importante el tiempo, ya que el protocolo caducará la transacción superado su tiempo límite en este tipo de ataque).
Dicho esto, me reitero de nuevo en que la foto anterior se trata de un bulo, aunque tiene su parte de cierto en lo que a robo y tecnología NFC se refiere.
Todo lo que os he contado aquí no es algo nuevo, de hecho si tenéis un lector NFC compatible, hay aplicaciones para leer la información de vuestra tarjeta, tanto desde PC como desde el propio móvil. En este enlace podéis descargar readnfccc para hacer vuestras pruebas.
Que no cunda el pánico.
Como bien ha indicado la policía nacional en sus redes sociales no tienen ninguna denuncia en los referente a robos de este tipo, y en las pruebas que ellos mismos han realizado han encontrado muchas dificultades para conseguir leer la tarjeta y realizar la transacción antes de recibir el «time-out» por parte del TPV.
No obstante recuerda que si has sido víctima de un fraude de este tipo lo primero que tienes que hacer es contactar con tu entidad bancaria, e interponer la correspondiente denuncia ante la autoridad competente. Ademas si teneis sospechas de este tipo de actividad delictiva podéis poneros en contacto con las unidades de delitos telematicos de guardia civil (GDT) o policía nacional (BIT)
https://www.gdt.guardiacivil.es/webgdt/colabora.php o http://www.policia.es/colabora.php
Si eres víctima de fraude bancario contacta con tu entidad y con las autoridades Click Para Twittear
Por ultimo, siempre puedes protegerte de alguna de estas formas:
La primera y más elegante es comprar una cartera que actúe a modo de jaula de Faraday, estas se encuentran con precios muy diversos, y prometen eliminar el 100% de las capacidades RFID de la tarjeta. También es posible crear tu propia jaula con papel de aluminio.
Otras formas de protegerse que circulan por Internet se basan en la modificación de la tarjeta en sí, desde realizar cortes/perforaciones al circuito interno, hasta freírlo en el microondas.
¿Y vosotros, tenéis/usáis este tipo de tarjetas?
Saludos.
Tal vez te interese ver estos post!:
