NFC es el eslabón más débil en el pago móvil

“NFC es el eslabón más débil en la seguridad del pago móvil” (Carlos Aldama, perito ingeniero informático)

Hace tan sólo seis meses los juzgados españoles no conocían ningún caso de fraude de pagos a través de móvil, mientras en las últimas semanas se acumulan las denuncias. Carlos Aldama, perito ingeniero informático especializado en análisis forense de delitos digitales, pone el dedo en la llaga de la seguridad en pago móvil: “NFC es una tecnología muy poco segura y creo que técnicamente está abocada a morir antes de terminar de despegar”. La contundencia con la que realiza esta afirmación no es gratuita. Aldama lleva años realizando investigaciones y análisis periciales de delitos informáticos, que en los últimos meses están casi cien por cien centradas en los pagos online ilícitos utilizando tecnología NFC, tanto la que emplean las tarjetas contactless que tanto se están extendiendo como la que usan los móviles Android.

Carlos Aldama, perito informático

Carlos Aldama

¿Hasta qué punto es débil la seguridad de las comunicaciones NFC?

Los usuarios no son conscientes de la falta de seguridad de sus móviles y creen que si nadie se pone cerca es imposible interceptar esa comunicación. Nada más lejos de la realidad. Sólo hace falta inducir al usuario a descargar un troyano, algo sencillo en el sistema operativo Android. Después el malware capta el código de cuatro dígitos que autoriza a hacer una compra superior a 20€ y ese dato se manda a un servidor externo. A partir de ese momento el estafador sólo tiene que situarse en las inmediaciones de ese móvil, o mejor aún, conectarse a su tarjeta con algún software específico.

¿Cuál es el modus operandi de estos estafadores?

Casi todos operan de modo similar. Recientemente hemos trabajado en un caso ocurrido en un centro comercial cuyos clientes habían recibido en sus tarjetas contactless cargos de compras no realizadas, todas ellas de menos de 20€, que son las que no necesitan de PIN ni autenticación. Lo que hicieron los estafadores fue montar una red WiFi abierta que aparentaba ser la del centro comercial, y a la que todos los clientes se conectaron sin dudar. Después enviaron una oferta a sus móviles para canjear un cupón descuento. Al descargarse la oferta se instalaban un troyano que se quedaba con sus datos. Esta estafa ha afectado a numerosos usuarios, por un valor todavía no establecido porque no se han identificado todos los cargos ilícitos, al tratarse de pequeñas cuantías. Pero ya supera los 3.000 euros en falsas compras.

Otra opción es introducir el troyano en un juego. Por ejemplo, hemos llevado un caso en el que se utilizó Angry Birds. El usuario se lo descarga y juega sin saber que ha puesto en marcha un malware que recopila su información y la envía a servidores generalmente ubicados en países del Europa del Este. En este caso se quedaron con sus datos de tarjetas de crédito, PIN y clave NFC e hicieron compras desde dos ubicaciones diferentes por valor de casi 5.000€ con sólo hackear un terminal.

¿Este problema afecta a todos los smartphones con NFC?

No, fundamentalmente a los móviles Android, ya que en el caso de los basados en iOS, no es tan sencillo introducir un troyano. En primer lugar hace falta que el móvil esté “hackeado”, es decir, que tenga hecho el jailbreak. Sin embargo, en el caso de Android sólo hay que descargar de Google Play alguna aplicación maliciosa que contenga el troyano para que nuestro móvil quede infectado.

Además, Apple Pay es un sistema técnicamente más seguro, y no porque utilice el sensor de huella dactilar TouchID, que también es fácilmente suplantable, sino porque todos los datos viajan cifrados. Así, aunque se intenten interceptar las comunicaciones no se pueden interpretar.

NFC¿Cómo se pueden mejorar las comunicaciones NFC para garantizar la seguridad del pago móvil?

Lo cierto es que resulta complicado porque todos los esfuerzos por aumentar la seguridad van en detrimento de la facilidad de uso que implica pagar con el móvil. Algunas voces piden que los comercios soliciten ver la tarjeta física y el DNI del usuario, pero entonces pierde sentido el pago con el móvil. El único consejo útil es que procuren autenticar al usuario cuando se trate de cantidades importantes, pero lo cierto es que los comercios técnicamente no pueden hacer mucho más de momento. Cuando se incluyan claves biométricas será más difícil suplantar al usuario, aunque no imposible.

Una de las propuestas que se están estudiando para mejorar la seguridad de los pagos NFC es que requieran que la geolocalización esté activa y no sólo en ese momento, sino durante un cierto período de tiempo, de manera que se pueda verificar que el móvil es del usuario y ha estado todo el tiempo con él. Se están haciendo pruebas para guardar los datos bancarios en conjunto con la geolocalización del usuario, pero también surgen voces que alertan de que esto hace que el usuario ceda datos que corresponden a su privacidad.

¿Y qué ocurre con Bluetooth? ¿Han detectado alguna estafa que utilice esta tecnología?

Todavía no nos ha surgido ningún caso, y de hecho en las pruebas que hemos realizado para intentar romper su seguridad hemos visto que es mucho más robusto. La comunicación Bluetooth generalmente va cifrada y si no es así se le avisa al usuario.

¿Qué pueden hacer las víctimas de estas estafas? ¿Es fácil recuperar el dinero?

El dinero se puede recuperar siempre que se presenten las pruebas periciales que demuestren que se trata de pagos ilícitos no realizados por el usuario. Y no sólo ocurre a través de móvil, continúan realizándose estafas que utilizan malware orientado a ordenadores de escritorio. Como ejemplo, el troyano Spyware.banker es un software espía que se lleva activo desde hace unos años pero ahora ha sido mejorado. Se instala cuando el usuario descarga un archivo PDF o de imagen infectado y, sin su conocimiento, comienza a recopilar todo tipo de información bancaria. Después realiza transferencias a ciertas cuentas bancarias ubicadas en otros países. Este malware sólo es detectado por Malwarebytes Antimalware, ningún otro software de seguridad lo identifica.

Nuestro trabajo en estos casos pasa por recopilar todas las pruebas necesarias para demostrar que la víctima no fue la que realizó las compras o transferencias, que su equipo -ordenador o móvil- estaba infectado y que detrás de esas transacciones existe delito. Una vez demostrado, los bancos tienen que devolver el dinero a la víctima.

Periodista especializada en tecnología abducida por las redes sociales, el ecommerce y el marketing digital. Desde que compré mi primer bitcoin no he vuelto a ser la misma :-)
Sin comentarios

Responder

*

*