viernes, 3 de mayo de 2019

Mitos y verdades sobre RFID; ¿es realmente necesario proteger tus tarjetas de débito/crédito?


Las tarjetas de crédito y débito de los principales bancos, así como las tarjetas prepago de empresas como Bnext, incorporan un chip RFID para realizar pagos contactless (sin contacto, por lo que no tendremos que introducir la tarjeta en el datafono). Estas tarjetas nos permiten pagar de manera realmente cómoda, pero al ser pagos sin contacto, ¿realmente es necesario proteger nuestras tarjetas de débito y crédito para que nadie escanee dicha tarjeta sin nuestro permiso?

Cómo funciona la tecnología RFID NFC que incorporan las tarjetas contactless


La tecnología RFID utiliza un campo electromagnético de muy corto alcance para identificar y rastrear objetos a través de las etiquetas que contienen la información digital. El chip RFID que incorporan las tarjetas contactless son pasivos, es decir, no emiten ninguna señal, pero su chip sí puede ser leído a través de un datafono compatible con contactless, e incluso nuestro propio smartphone si soporta la tecnología NFC.

La tecnología contactless tiene sus puntos fuertes, como, por ejemplo:
  • Acelerar los pagos de cualquier producto o servicio, ya que basta con acercar la tarjeta al datafono para realizar el pago.
  • Permite pagos de hasta 20€ ($22.39) sin necesidad de introducir el PIN de la tarjeta. Esto es ideal para realizar pagos pequeños rápidamente, sin tener que introducir el PIN y esperar la validación. Aunque esto podría verse como algo negativo, lo cierto es que hay bancos que permiten limitar este valor, e incluso podremos configurar las tarjetas para que siempre nos pida el PIN, independientemente del importe.
  • Posibilidad de utilizar la misma tarjeta de crédito o débito en nuestro smartphone, y pagar con el NFC del terminal. Actualmente la gran mayoría de entidades bancarias permiten pagar con NFC en Android con sus aplicaciones, no obstante, también podemos utilizar Google Pay o Samsung Pay (solo si tienes un Samsung compatible). Por último, si usas iPhone, también hay muchas entidades compatibles con Apple Pay.

Mitos y verdades del NFC en las tarjetas bancarias


Existen varios mitos sobre los pagos contactless que hoy vamos a tratar de aclarar.

El mito más extendido es que un ladrón puede fácilmente robarnos la tarjeta de crédito o débito. Lo primero que debemos tener en cuenta es que debe acercase físicamente mucho a nosotros, para poder acercar el lector RFID a nuestro bolsillo, escanear la tarjeta, y posteriormente, clonarla. Los escáneres RFID recogen mucha información de la tarjeta de crédito, como, por ejemplo, el número de la tarjeta y fecha de caducidad, e incluso en algunos casos las transacciones que hemos realizado con ellas, aunque esto último no es lo “normal”, y depende de la entidad financiera. Sin embargo, el número CVV de 3 dígitos que tenemos en la parte trasera de la tarjeta es fundamental para poder hacer pagos por Internet, y este número no se transmite vía contactless. Por tanto, no se podrán realizar compras por Internet, ya que incluso nos pedirían el nombre del titular de la tarjeta.

Si quieres probar qué información puedes obtener de  tu tarjeta de crédito o débito, puedes utilizar una aplicación para Android que nos permite leer este tipo de tarjetas, y obtener una gran cantidad de información, es “Lector de tarjetas NFC (EMV)“, incluso en su versión gratuita podremos leer nuestra tarjeta de crédito o débito, y ver toda la información.

Scheckkartenleser NFC (EMV)
Developer: Julien MILLAU
Price: Free+

Scheckkartenleser Pro NFC
Developer: Julien MILLAU
Price: 5.49 € ($6.15) 

Otro mito de las tarjetas contactless es, que, si nos la roban físicamente, podrán hacer pagos de hasta 20 euros ($22.39) en cualquier establecimiento, y de manera ilimitada. Si un ladrón consigue nuestra tarjeta, sí es cierto que podrá hacer pagos de hasta 20 euros ($22.39) sin necesidad de PIN (si lo tienes configurado por defecto, pero hay entidades que permiten limitarlo e incluso que siempre pida PIN), pero todas las transacciones quedan registradas y pueden ser rastreadas, por tanto, el ladrón no va a contratar un datafono para robarte el dinero ya que le cazarán rápidamente. Además, si realizamos de manera consecutiva varias operaciones contactless, llegará un momento en que nos pedirá el PIN aunque sea menor de 20 euros ($22.39). De igual forma, todas las tarjetas incluyen un seguro contra fraude que cubre este tipo de robos.

¿Si un ladrón intercepta la información de nuestra tarjeta contactless mientras pagamos, podrá clonar la tarjeta fácilmente? Cuando se realiza una transacción contactless, la tarjeta proporciona al lector un número único y dinámico que identifica la transacción específicamente. Un ladrón debería copiar la tecnología de cifrado interna que se usa para generar el número dinámico, y crear una versión falsificada.

¿Realmente es necesario una cartera o tarjetero con bloqueo de RFID NFC?


Una cartera o tarjetero que bloquea el RFID nos permitirá impedir que los delincuentes, e incluso nosotros mismos, puedan escanear la tarjeta sin sacarla de la cartera o tarjetero. Normalmente contienen una fina capa de metal o fibra de carbono, lo que impide que este campo electromagnético llegue hasta el chip RFID de nuestra tarjeta. Esto nos permite bloquear cualquier comunicación entra la tarjeta y el escáner. Lógicamente, la tarjeta debe estar dentro de dicha cartera o tarjetero, ya que ubicarla “cerca” no garantiza que esté protegida.

Como hemos explicado anteriormente, no es necesario disponer de una de estas carteras o tarjeteros, ya que la información que proporcionan las tarjetas contactless es mínima, solo el número y la fecha de caducidad, pero no el código CVV2, ni tampoco el nombre del titular. No obstante, si tu tarjeta de débito o crédito actual dispone de contactless, nosotros sí recomendamos hacer uso de este tipo de carteras o tarjeteros para que ninguna información de nuestras tarjetas llegue a manos de delincuentes, por mínima que sea. Actualmente en la gran mayoría de tiendas online y físicas disponen de este tipo de carteras.

Aunque el robo de tarjetas es un delito bastante común, no debemos preocuparnos de que alguien vaya con un datafono escaneando tarjetas, ya que estos datafonos siempre van asociados a una entidad bancaria, y se puede rastrear fácilmente el dinero.