Muchos habréis oído los términos “tarjetas Contactless” , ha llegado la era “Contactless” etc. Sobre todo en los bancos. ¿Qué es esto? Se trata del uso de la tecnología NFC (Near Field Communication) en las tarjetas (banco, DNI, abono transportes…) y todo indica que cada vez iremos más en esa dirección. ¿Qué es la NFC? Es una tecnología de comunicación inalámbrica (como si tuvieras una pequeña wifi) basada en el anterior RFID. Pero mientras el RFID permitía leerse a varios metros (dependiendo del tipo y la fuente usada), lo que podía ser un gran problema de seguridad, el NFC sólo se puede leer a distancias de hasta 10 cm aproximádamente (de ahí lo de Near). ¿Que ventajas tiene? Básicamente es una evolución de los códigos de barras, las tarjetas magnéticas e incluso los códigos BIDI. Se puede crear pegatinas o emisores con información NFC que cualquier lector puede leer y permitan ejecutar algo (un cobro, mandar un email, añadir un recordatorio al calendario, abrir una aplicación etc etc). Esto ya os está permitiendo pasar tarjetas de abono transporte en lectores y que abra el torno,ver la información con el móvil sobre el estado de los autobuses en la parada… y va a permitir pagos son sólo acercar una tarjeta, fichar fácilmente en el trabajo, realizar muchas acciones automáticamente, leer datos (igual que los Bidi) desde el móvil etc etc . Incluso el DNI 3.0 va a disponer de NFC lo que permitirá identificarte rápidamente en muchos servicios. Y muchos bancos os están cambiando la tarjeta a “Contactless” en “modo lentejas” ,la coges si o si. De hecho no sólo son las empresas las que pueden usarlo sino que ya venden tarjetas que puedes programar (de varios costes, baratas en China y algo más caras las de las marcas). Y la mayoría de los móviles actuales van incluyendo lectores de NFC (parte del peligro..todo el mundo tiene un lector). Mirad este vídeo. PELIGROS: A cualquier informático esto le hace temblar y ver luces rojas de alarma. Porque hay una regla en la informática, todo lo que tu puedes ver de manera remota lo pueden ver también “los malos”. Esto se vió en USA donde era fácil leer a distancia la información de la tarjeta de crédito con un lector a distancia (de hecho salió una aplicación para móvil que retiraron). Eso si, como es una tecnología reciente no se conocen mucho todavía sus vulnerabilidades. Saldrán más. Apuntamos algunas: Obtención de la información de la tarjeta. Esto permite a cualquier persona con un lector obtener la información contenida en la tarjeta. Información que pueden ser los datos de tu tarjeta de crédito o, algo que preocupa mucho con el DNI 3.0 , que te identifique la policía (o cualquiera) sin autorización. A saber que hace luego esa persona con esos datos. Pagos pequeños sin más seguridad: Al principio del uso del RFID y ahora NFC en las tarjetas de crédito los bancos permitían (y permiten) el cobro de pequeñas cantidades desde un lector sin necesidad de PIN (por temas de estar offline etc). Esto quiere decir, por ejemplo, que en teoría yo podría cobrarte pequeñas cantidades (Electronic Pickpoketing) pasando un lector cerca de ti (menos de 10cm) sin mayor autorización. Pequeñas cantidades a muchas personas es una cantidad muy grande. Parece que ahora han limitado el número de cobros así que se requieren sin PIN…pero sigue siendo un riesgo enorme. Tráfico sin cifrar. GRAN fallo. El tráfico por RFID (NFC incluído) NO está cifrado (cómo se les ha pasado esto hoy en día creando la tecnología es impensable). Esto quiere decir que cualquiera puede leer el tráfico si lo intercepta. ¿Difícil? Proyectos como el https://www.openpcd.org/ ya crean tanto software como hardware que lee tráfico NFC. Ataque Relay: Un tercero puede leer la información entre la tarjeta y un lector, y usarla en una tarjeta falsa posteriormente. Por ejemplo así. Bueno …..espero haberos acojonado un poco porque sólo así uno es consciente de cómo debe proteger sus datos. Más información hackeando NFC. ¿Que puedo hacer para protegerme? No usar esta tecnología no es solución…nos la van a imponer (bancos, DNI 3.0 etc) y además toda tecnología tiene sus ventajas. Y se pueden (Y DEBEN) tomar medidas de seguridad. Ya venden carteras que bloquean el RFID porque crean una jaula de Faraday desde la que los emisores de tu tarjetas no pueden salir fuera de la cartera. Esta es una solución. Para el que no quiera comprar una cartera también venden fundas para tarjetas anti-RFID , mucho más económicas, donde puedes meter la tarjeta y no deja que emita fuera. Las hay de muchas calidades y tipos pero como mínimo recomiendo ir comprando algunas de estas. Ya estáis advertidos….vienen fraudes a punta pala.
