Cuidado con los robos ‘sin contacto’ con las tecnologías NFC y RFID
Las tecnologías Near Field Communication (NFC) y Radio Frequency Identification (RFID) permiten la comunicación inalámbrica entre dispositivos y facilitan procesos de pagos sin contacto, el seguimiento de productos y los controles de acceso a lugares.
Estas tecnologías se han vuelto parte de la vida cotidiana; sin embargo, también pueden ser usadas para robar datos importantes, y esto puede suceder sin que se dé cuenta en lugares tan comunes como eventos deportivos, conciertos, el transporte público o los supermercados.
¿Cómo funciona?Según explica David González, especialista en seguridad informática de ESET Latinoamérica, los sistemas RFID son útiles en los entornos logísticos para organizar cargas, paquetes e inventarios, recopilando estadísticas e información relevante. También se emplean en tiendas de ropa para identificar las prendas y su ubicación, agilizando el funcionamiento diario y estableciendo una medida extra de seguridad.
En el caso de los sistemas NFC, son la base de dispositivos de proximidad tan habituales como los teléfonos móviles y las tarjetas bancarias de pago sin contacto. Lo mismo ocurre con las tarjetas que permiten la entrada de las personas autorizadas a los edificios a través de los sistemas de control de acceso y presencia.
(Le recomendamos; Cómo compartir su ubicación en Google mientras viaja)
A su vez, las tarjetas de proximidad NFC se emplean para abrir las cerraduras electrónicas de habitaciones de hotel, apartamentos turísticos y alojamientos vacacionales, permitiendo a los clientes acceder a sus estancias de forma cómoda mediante la aproximación de la tarjeta al lector. El chip con los datos identificativos se puede incorporar en otros objetos como pulseras o llaveros, personalizando aún más la experiencia de los huéspedes.
“Así pues, los sistemas NFC, en realidad, forman parte de la tecnología RFID, es decir, pueden considerarse como un subgrupo dentro de las técnicas RFID. La principal diferencia radica en que los componentes RFID pueden operar y comunicarse entre sí a una distancia mucho mayor. Esto hace que se utilicen en distintos ámbitos”, acota González.
Se aconseja usar una billetera NFC/RFID protegida, desactivar del teléfono las compras sin contacto. Foto:PEXELS: Foto de Mikhail Nilov
Con el avance de ambas tecnologías, los ladrones exploraron nuevas formas de fraude sin contacto en las que capturan la información de las tarjetas o realizan operaciones sin autorización.
Una de ellas es el skimming, un tipo de fraude en el que los delincuentes copian los datos de la tarjeta de la víctima. Una vez capturados los datos se requiere un paso adicional como la clonación de tarjetas o el uso de datos robados en transacciones en línea para realizar fraudes.
Según el especialista, “un estafador usa un lector NFC o RFID oculto para capturar los datos de una tarjeta de pago sin contacto cuando alguien la acerca demasiado. Aunque los datos robados no suelen incluir el PIN, algunos atacantes pueden usarlos para compras en línea en tiendas con baja seguridad”.
Como medida de prevención se puede usar billeteras con bloqueo RFID o incluso envolver la tarjeta en papel de aluminio. Es recomendable activar notificaciones en tiempo real de las compras, usar tarjetas virtuales o temporales para compras en línea y monitorear las transacciones.
Otro tipo de ataque es el relay attack: en este caso, un atacante intercepta la señal entre una tarjeta NFC y un terminal de pago, amplificándola para hacer creer que la tarjeta está presente en otro lugar. Esto permite realizar pagos sin que el dueño se dé cuenta.
Para evitar esto se aconseja usar una billetera NFC/RFID protegida, desactivar del teléfono las compras sin contacto cuando no lo esté usando y usar autenticación biométrica para los pagos (huella o Face ID).
Los expertos en ciberseguridad también hablan del e-wallet hacking o robo de datos en pagos móviles: en este método, los ciberdelincuentes explotan vulnerabilidades en apps de pago (como Apple Pay o Google Pay) o interceptan datos en redes wifi públicas, con lo cual pueden realizar pagos no autorizados si consiguen acceso a la cuenta del usuario.
Al respecto, la compañía de ciberseguridad Kaspersky dice que hay ciberdelincuentes que compran varios teléfonos inteligentes, crean cuentas de Apple o Google en ellos e instalan aplicaciones de pago sin contacto y, cuando una víctima entra en un sitio web falso, se le pide que vincule su tarjeta o realice un pequeño pago obligatorio. Esto requiere introducir los detalles de la tarjeta y confirmar la propiedad de la misma ingresando un código de un solo uso (one time password, OTP).
El skimming, es un tipo de fraude en el que los delincuentes copian los datos de las tarjetas. Foto:PEXELS: Foto de iMin Technology
Aunque la tarjeta no registre cargos de inmediato, se transfieren los datos casi instantáneamente a los ciberdelincuentes, quienes intentan vincularla a una billetera móvil en su teléfono inteligente. “Para acelerar y simplificar el proceso, los atacantes utilizan un software especial que toma los datos que ha proporcionado la víctima y genera una imagen de la tarjeta que la replica a la perfección. Después, basta con tomar una fotografía de esta imagen desde Apple Pay o Google Wallet.
Para contrarrestar esta modalidad se recomienda colocar contraseñas seguras y activar la autenticación en dos pasos, nunca hacer pagos en redes wifi públicas, usar tarjetas virtuales para transacciones en línea, que funcionan recargando el dinero antes de poder usarlas. También se recomienda que en las tarjetas virtuales no guarde grandes cantidades de dinero y solo las recargue justo antes de realizar una compra en línea. Si el emisor de tu tarjeta lo permite, desactive los pagos fuera de línea y el retiro de efectivo de dichas tarjetas. Además, siempre esté atento para monitorear las transacciones.
Otra forma de robo es la instalación de lectores NFC falsos: este comportamiento consiste en que un estafador coloca un lector NFC modificado en terminales de pago o cajeros automáticos que, al pasar la tarjeta o el móvil, captura los datos del usuario.
En este caso, siempre es importante revisar que el terminal de pago no tenga algo sospechoso adherido o modificado. También se pueden usar tarjetas con chip y PIN en lugar de solo NFC cuando sea posible y no aceptar pagos NFC en dispositivos de desconocidos.
Por la misma línea, otro peligro es el phishing con NFC: una técnica en la cual el estafador o ciberdelincuente busca engañar al usuario para que acerque su móvil a un chip NFC falso que redirige a una página maliciosa.
Sobre esto, Kaspersky alerta de que una vez los usuarios acercan su dispositivo al lector NFC alterado pueden ser redirigidos a sitios de phishing o se pueden iniciar acciones no deseadas en sus dispositivos o incluso enviar software dañino. En su advertencia, la compañía dijo que los ladrones podrían cambiar un lector genuino en zonas de alto tráfico, como centros de transporte, cafeterías o tiendas minoristas, por un lector que provoque comportamientos dañinos.
Lo recomendable es no escanear etiquetas NFC en lugares sospechosos y configurar el teléfono móvil para pedir confirmación antes de abrir enlaces NFC.
“Las cifras de víctimas por este tipo de ataques varía de país en país, aunque es un hecho que hay un aumento de fraudes relacionados con tarjetas sin chip, especialmente durante temporadas de alto consumo como la navideña, San Valentín o año nuevo, por mencionar alguno”, concluyó David González, especialista en seguridad informática de ESET Latinoamérica.
DIEGO BARRIO DE MENDOZA (*)
(*) Con información adicional de EL TIEMPO.
eltiempo
