Pagos con NFC no son seguros, advierte experto en ciberseguridad

Uno de los cambios que trajo la pandemia fue la digitalización en muchos sentidos. Hoy las personas tienen más confianza de realizar compras en internet y de consultar su estado bancario en el celular . Otra de las actividades que ha registrado mayor adopción son los pagos sin contacto que permiten a las personas realizar transacciones sin tener que tocar efectivo. Aunque esta opción se está popularizando, un experto en ciberseguridad alertó que los pagos con NFC no siempre son seguros.

El investigador de seguridad de la empresa IOActive, Josep Rodríguez, advirtió que los lectores NFC utilizados en muchos cajeros automáticos modernos y sistemas de punto de venta están dejando a las personas vulnerables a los ataques . De acuerdo con información publicada en la revista Wired, las fallas de esta tecnología la hacen propensas a una variedad de problemas, como ser bloqueados por un dispositivo NFC cercano, ser víctimas de un ataque de ransomware o incluso pirateados para extraer ciertos datos de tarjetas de crédito.

Rodríguez incluso advirtió que las vulnerabilidades podrían usarse como parte de un ataque de " jackpotting " que está destinado a engañar a una máquina para que arroje efectivo. Sin embargo, tal ataque solo es posible cuando se combina con exploits de errores adicionales, y Wired dice que no pudo ver un video de tal ataque debido al acuerdo de confidencialidad de IOActive con el proveedor de cajeros automáticos afectado.

8 aplicaciones para Android que debes borrar de inmediato

Sin embargo, el especialista sí demostró cómo es posible aprovecharse de las vulnerabilidades de los lectores NFC de los cajeros automáticos . Los hackers de IOActive demostraron como es relativamente fácil ejecutar ataques , lo que es más, Rodríguez simplemente puede mover un teléfono Android que ejecute su software frente al lector NFC de una máquina para explotar cualquier vulnerabilidad que pueda tener.

En un video compartido por Rodríguez se puede ver como logran que un cajero automático en Madrid muestre un mensaje de error, simplemente moviendo su teléfono inteligente sobre su lector NFC. Luego, la máquina dejó de responder a las tarjetas de crédito reales que se muestran al lector.

La investigación destaca un par de grandes problemas con los sistemas. La primera es que muchos de los lectores de NFC son vulnerables a ataques relativamente simples. Por ejemplo, en algunos casos los lectores no verifican cuántos datos están recibiendo, lo que significa que Rodríguez pudo sobrecargar el sistema con demasiados datos y corromper su memoria como parte de un ataque de "desbordamiento de búfer".

El segundo problema es que incluso una vez que se identifica un problema, las empresas pueden tardar en aplicar un parche a los cientos de miles de máquinas en uso en todo el mundo. A menudo, una máquina necesita ser visitada físicamente para aplicar una actualización y muchas no reciben parches de seguridad regulares. Una empresa dijo que el problema que Rodríguez ha destacado se solucionó en 2018, pero el investigador dice que pudo verificar que el ataque funcionó en un restaurante en 2020.

Pagos con NFC no son seguros, advierte experto en ciberseguridad

No todo es tan grave

Vale la pena mencionar que la tecnología NFC, es decir Near Field Communications, permite la comunicación a corta distancia entre dos dispositivos electrónicos de manera inalámbrica. Este intercambio de datos no es nuevo, empezó a utilizarse en el año 2003, aunque entre el año pasado y el actual muchas marcas, bancos y organizaciones lo han incorporado a su modelo de negocio, lo que se ha traducido en importantes avances en los métodos de pago sin contacto.

Para que entiendas cómo es que funciona, BBVA explica en su blog, que es una forma de comunicación entre dispositivos como el de las alarmas en las tiendas de ropa que detectan los arcos de seguridad. Pero con el tiempo, y más investigaciones, ahora permite realizar operaciones bancarias.

La compañía señala que el sistema es seguro debido a que solo funciona si los dispositivos se acercan a 10 o 15 centímetros, además de que su elevada velocidad de transmisión para enviar y recibir datos permite ver reflejada la operación casi de inmediato.

Por otra parte afirman que los datos se encuentran encriptados a través de un ‘token’ que llega al lector de NFC, que desencripta e interpreta ese ‘token’. Además, la mayoría de aplicaciones piden un código PIN para confirmar el pago y la factura es instantánea.

Al final la recomendación es que si vas a utilizar este medio de pago tomes todas las precauciones necesarias y te mantengas al pendiente para reconocer cualquier cargo no reconocido cuanto antes.