3 feb. 2020

Riesgos de las tarjetas contactless

Los pagos con tarjetas contactless se están volviendo muy populares. Por ejemplo, en Reinio Unido ya han superado los pagos con chip y PIN; los pagos por este medio aumentaron un 30% entre junio de 2017 y junio de 2018 y; 7 de cada 10 pagos son realizados a través de medios de pago sin contacto.

Los sistemas de pago sin contacto son tarjetas de crédito y débito, llaveros, tarjetas inteligentes u otros dispositivos, que utilizan Radio-Frequency Identification (RFID) o Near Field Communication (NFC).

El chip integrado y la antena permiten a los consumidores colocar o mover su tarjeta o dispositivo portátil sobre un lector en la terminal del punto de venta (PoS). Los pagos sin contacto se realizan mediante proximidad física, a diferencia de los pagos móviles que utilizan redes celulares o WiFi y no implican proximidad física cercana.

Los consumidores también tienen la opción de pagar con un dispositivo portátil, como un reloj inteligente, o mediante el uso de billeteras electrónicas en sus teléfonos móviles; o con cualquier dispositivo o aplicación móvil bancaria que admita pagos "seguros" sin contacto; por ejemplo Samsung Pay, Apple Pay, Google Pay, Fitbit Pay.

El lector emite un código de cifrado único, de modo que toda la comunicación se transmite de forma privada. Una vez que la tarjeta descifra este código, la comunicación se lleva a cabo sin el riesgo de intervención externa. La transacción se procesa cuando se envían los detalles a la tarjeta, se recibe la confirmación de la transacción propuesta y se envía de vuelta al lector.

Una de las razones de la creciente popularidad del uso de tarjetas contactless es que son fáciles y simples de usar para pagar una variedad de productos. Al eliminar la necesidad de un código PIN, las tarjetas contactless ofrecen una forma rápida y conveniente de pagar; sin embargo, también pueden ofrecer a los delincuentes la oportunidad de cometer fraude.

A continuación, analizamos los hechos detrás de las tarjetas contactless y cómo los delincuentes pueden aprovecharse de las mismas.

¿Cómo funcionan las tarjetas sin contacto?

Las tarjetas sin contacto tienen un chip y una antena que se utilizan para realizar la transacción. Cuando se sostiene la tarjeta cerca de un lector, este envía una señal que es captada por la antena de la tarjeta. El chip dentro de la tarjeta contiene información sobre la cuenta y, al usar esta información, el lector de tarjetas puede procesar el pago.
Actualmente, los pagos están limitados a un máximo de unos U$S 30 (o sea AR $2.000 aunque puede varias de acuerdo al país) y generalmente se utilizan para "pequeñas" compras minoristas.

Los pagos sin contacto también son más rápidos porque los pagos se procesan en lotes. Algunos proveedores afirman que las transacciones pueden ser casi el doble de rápidas que una compra convencional en efectivo, tarjeta de crédito o débito. Debido a que normalmente no se requiere verificación de firma o PIN, la falta de autenticación proporciona una ventana durante la cual se pueden realizar compras fraudulentas mientras el propietario de la tarjeta no es consciente de la pérdida de la tarjeta.

Algunos mitos y verdades

El fraude con tarjetas contactless siempre es noticia y por eso han nacido algunos mitos, algunos basados en verdades técnicas y otros simplemente sin sentido.
  • El primer mito dice que los estafadores podrían usar lectores RFID de largo alcance para extraer datos de tarjetas sin contacto. La tecnología de comunicación de campo cercano (NFC) en tarjetas sin contacto utiliza una tecnología de radiofrecuencia de 13.56Mhz que solo puede transmitir datos dentro de un rango muy corto (típicamente 4 cm o menos). No se puede realizar ninguna comunicación más allá de ese corto alcance.
  • Otro mito dice que un delincuente equipado con un lector NFC podría acceder a las tarjetas en el bolsillo de alguien en espacios públicos. Al hacerlo, se extraerían suficientes datos confidenciales para falsificar la tarjeta y realizar compras en línea. En las contactless los datos sensible del titular de la tarjeta, están bloqueados, lo que significa que cualquier intento de robar datos accedería a menos datos de los que se pueden leer en el frente de una tarjeta.
  • Debido a que se pueden realizar transacciones de bajo valor sin requerir un código PIN, otro mito dice que un ladrón podría gastar grandes cantidades de dinero a través de muchas compras pequeñas repetidas. En este caso, la cobertura de responsabilidad bancaria protege al titular de la tarjeta en caso de que se hayan realizado pequeñas transacciones fraudulentas sin PIN antes de la denuncia de la tarjeta. En algunos casos, después de un cierto número de transacciones o un monto máximo diario, la tarjeta dejará de funcionar sin contacto .

¿Qué tan extendido es el fraude de tarjetas contactless?

Puede parecer que la tecnología sin contacto permite a los estafadores una manera fácil de acceder al dinero sin un PIN. Debido a que la tecnología sin contacto actualmente limita el valor de las compras, se reduce el valor potencial total del fraude que involucra estas tarjetas. Aún suponiendo que se tomen precauciones para proteger la tarjeta, los casos de fraude de tarjetas sin contacto se duplicaron en 2018.

También se han realizado investigaciones recientes que muestran que se puede evitar el gasto máximo en tarjetas contactless. Los investigadores han descubierto que las fallas en el sistema de pagos de algunas tarjetas sin contacto podrían permitir a los delincuentes robar cientos de dólares en una sola transacción.

El truco que los investigadores usaron para "romper" el límite es usar un dispositivo que intercepta las señales entre la tarjeta y el lector  (Man-in-the-Middle). Luego, simultáneamente, le dice a la tarjeta que no necesita verificación y, al lector, que ya se ha proporcionado la verificación.

En julio pasado, la investigadora Leigh-Anne Galloway explicó que la vulnerabilidad en el sistema de pagos de Visa podría exponer a los titulares de tarjetas sin contacto a un mayor riesgo de fraude. "Significa que si encuentra la tarjeta de alguien o si alguien le robó la tarjeta, no tendrían que conocer su PIN, no tendrían que suplantar su firma y podrían hacer un pago por un valor mucho más alto".

Para el ataque con dos teléfonos móviles, Galloway explicó que era posible usar un teléfono para tocar una tarjeta y clonarla efectivamente por un corto período de tiempo. Ese primer dispositivo móvil toma de la tarjeta lo que se conoce como un "criptograma de pago". Esta es esencialmente una firma que se supone que garantiza la autenticidad de los pagos futuros. El criptograma se envía al segundo teléfono, que simula la tarjeta como si estuviera haciendo un pago móvil. Los delincuentes informáticos pueden ir más allá del límite haciendo el mismo ataque de intercepción que antes.

Si la tarjeta y el lector son susceptibles a un ataque Man-in-the-Middle, que engaña al sistema para que crea que la autenticación ya ha tenido lugar, puede que no haya una "solución rápida" para este ataque.

Otro método que utilizan los delincuentes es procesar los pagos al pararse cerca de alguien en un tren o en otro lugar público lleno de gente y leer su tarjeta contactless a través de la ropa. Sin embargo, aún hay pocas evidencias de que este tipo de fraude sea común.

Eso no resta valor al hallazgo de que el límite establecido en las tarjetas puede romperse. Y, aún así, las empresas de tarjetas de crédito no planean actualizar sus sistemas para lidiar con este ataque conocido.

Los gigantes de la industria financiera argumentam que tal ataque no sería probable en el mundo real, ya que los delincuentes tendrían que tener en sus manos la tarjeta y esto no ocurre con frecuencia. Un portavoz de la compañía llegó a decir que, a pesar de la investigación, no había un problema de seguridad que fuera necesario abordar. "Una limitación clave de este tipo de ataque es que requiere una tarjeta robada físicamente. Asimismo, la transacción debe pasar validaciones de emisor y protocolos de detección", dijo un portavoz de Visa a Forbes.

Robo de datos de contactless

Una investigación de Which en 2016 reveló fallas de seguridad significativas luego de probar tarjetas de crédito y débito líderes. Los investigadores compraron escáneres de tarjetas baratos y ampliamente disponibles en un sitio web convencional para ver si podían "robar" detalles clave de una tarjeta contactoless.

Probaron 10 tarjetas de crédito y débito diferentes, que debían codificarse para "enmascarar" datos personales, y pudieron leer datos cruciales que debían ocultarse. Luego se fueron de compras con la información que habían obtenido y pudieron realizar con éxito pedidos de artículos que incluyen un televisor de £3.000.

"Al acercar las tarjetas de los voluntarios a nuestro lector de tarjetas, obtuvimos suficientes detalles para permitirnos ir de compras por Internet. Con los detalles de la tarjeta, el límite de transacciones es irrelevante, porque las transacciones en línea son sin contacto".

¿Se pueden hacer skimming de tarjetas sin contacto?

Aunque los riesgos son bajos, es posible. En 2016, Which lo probó y, aunque alguien tendría que estar incómodamente cerca para obtener los datos de la tarjeta, es posible.

Otros lectores podrían ser más poderosos, pero hasta ahora no ha habido informes públicos y verificados de fraude en tarjetas que todavía están en posesión del propietario.

Vale la pena señalar que, este tipo de delito se podría documentar como "fraude de compra remota" y no se atribuiría específicamente al fraude a tarjetas contactless, porque la víctima no sabría cómo se habían obtenido los datos para el fraude. Entonces, si el fraude no siempre se puede registrar como tal, la industria puede no ser plenamente consciente de los riesgos.

Cómo evitar e informar el fraude de tarjetas sin contacto

La tecnología ha mejorado en los últimos 20 años y también lo han hecho las características de seguridad. Se han establecido múltiples capas de protección para minimizar los riesgos de seguridad de pago sin contacto.
  • Estándar global Europay, Mastercard, Visa (EMV). EMV, un estándar global que mejora la seguridad de los pagos y hace más dificil falsificar las tarjetas. El estándar EMV fue creado por Europay, Mastercard y Visa y es aceptado en todo el mundo. Las tarjetas sin contacto tienen un microchip que es utilizado para autenticar las transacciones. Este chip almacena y protege la información del usuario y es el estándar de seguridad mínimo requerido para transacciones seguras.
  • Código de transacción único para cada pago. Cada compra recibe su propio código cifrado, que no muestra la información de los titulares de la tarjeta. Tan pronto como el titular de la tarjeta y el lector PoS establecen una conexión, la información crítica es ofuscada para evitar la identificación de la persona y los datos bancarios a los que se accede. Este código único se puede usar solo una vez para esta tarjeta y no se puede replicar para comprar otro artículo.
  • Protocolos de autenticación. Los emisores de tarjetas tienen un sistema de detección de fraude que puede detectar y rechazar automáticamente cualquier intento de usar este código más de una vez. El comerciante no tiene la responsabilidad de descubrir este intento de fraude, ya que la compra se rechazará automáticamente a través del sistema.
  • Información confidencial del titular de la tarjeta. No hay rastro del nombre del titular de la tarjeta en el microchip físico incrustado en la tarjeta, ya que para cualquier transacción no se requiere esta información.
  • Tokenización. La tokenización reemplaza el número de cuenta principal (PAN) con un número cifrado. Durante las transacciones, los datos del banco y de los titulares nunca se transmiten, lo que elimina el potencial de fraude a mitad de la transacción. En cambio, se envía un "token", que puede ser un dígito entre 13 y 19 caracteres que no contiene el PAN. En el improbable caso de que alguien lograra robar los detalles del token, no podría usarlo para otra transacción, ya que cada token usa un código de transacción único, que no puede ser replicado o usado nuevamente.
Sin embargo y a pesar de lo mencionado, el fraude de tarjetas contactless va en aumento y es cuestión de adopción de la tecnología; a mayor adopción de los usuarios y a mayor conocimiento de la tecnología por parte de los delincunetes; mayor la probabilidad de fraude.

Se pueden minimizar las posibilidades de ser víctima de fraude siguiendo estos pasos:
  • No guardar las tarjetas en bolsillos o bolsos fácilmente accesibles;
  • Cubrir la billetera con papel de aluminio o con protectores que bloquean los lectores RFID/NFC;
  • No permitir que nadie tome la tarjeta y "la lleve de paseo";
  • Solicitar recibos de pagos;
  • Revisar con cuidado de los extractos bancarios y de los informes de crédito;
  • Reportar cualquier tarjeta perdida o robada lo más rápido posible.
Cristian de la Redacción de Segu-Info

5 comentarios:

  1. Partiendo de la base que los datafonos tienen que estar asociados a un comercio, persona, etc. Que esto se pretenda vender como un riesgo me parece absurdo.

    ResponderEliminar
  2. Tambien le agregaria que por cada compra te dame un push al celular avisandote. Yo lo tengo asi y va muy bien

    ResponderEliminar
  3. Un domiciliario pude andar con un datáfono movil en su bolso..y puede entrar en un metro bus...si tengo el datáfono listo para esperar la contactless es posible que se haga el pago..

    ResponderEliminar
  4. Anónimo6/2/20 19:14

    Algo bastante útil es que te envíen por e-mail cada compra que realizas

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!