Con la reciente entrada en funcionamiento de la tarjeta contactless, como es habitual en el mundo de la tecnología, han surgido muchas dudas acerca de la seguridad de las mismas. Esta nueva tarjeta permite realizar pagos sin contacto, pero… ¿En qué consiste este método de pago?
Básicamente el pago se realiza con sólo acercar la tarjeta al terminal. Estas tarjetas, que fueron anunciadas durante las olimpiadas de Londres 2012 por Visa (con Ussain Bolt como protagonista), vienen configuradas por defecto para que no sea necesario introducir el código PIN para pagar importes inferiores a 20€. Sin ninguna duda, estas tarjetas nos permiten pagar más rápido, pero tienen en su contra que en caso de robo, pueden realizarse pagos sin necesidad de conocer el código PIN.
Para la tranquilidad de todos, os queremos hacer saber que la cantidad mínima para introducir el PIN puede reducirse e incluso se puede desactivar. El objetivo de este artículo no es discutir cómo configurar la tarjeta contactless, eso lo dejamos a vuestra elección.
Entonces… ¿Dónde está el problema?
Si sois aficionados al snowboard, esquí o DH y habéis alquilado alguna vez material, es probable que os hayan pedido una tarjeta de crédito para completar la ficha del alquiler. Con sólo introducir la tarjeta en un lector, automáticamente se rellena el nombre y número de tarjeta. Esto es posible porque los datos como nombre del titular, fecha de emisión, número de tarjeta o fecha de caducidad, pueden ser obtenidos mediante un lector de tarjetas inteligentes (como los que utilizamos para el DNI electrónico). Es decir, estos datos pueden ser leídos por cualquier persona ya que no vienen cifrados. Esto no suponía ningún problema de seguridad porque, en caso de robo, esta información ya venía impresa en la propia tarjeta.
Sin embargo, lo que hace diferente a la tarjeta contactless es que puede ser leída sin necesidad de mantener contacto con ella, gracias a la tecnología NFC. Seguro que a más de uno le ha venido a la cabeza que su teléfono móvil soporta esta tecnología. En efecto, cualquier persona que coloque su smartphone NFC cerca de nuestra tarjeta puede leer estos datos. Así de sencillo… Tened en cuenta que se puede establecer esta comunicación aunque la tarjeta este guardada en nuestra cartera.
¿Qué datos se pueden leer?
Los más interesantes son el número de tarjeta y la fecha de caducidad. También podemos obtener la fecha de expedición y certificados públicos. Los dos primeros os sonarán a muchos porque son datos habituales cuando realizamos compras por internet. De toda la información que viene impresa en la tarjeta, según el estándar de EMV (Book 3, Anexo A) el único dato que no puede obtenerse es el CVV/CVC, ese número de tres cifras que no debería estar en la parte trasera de vuestras tarjetas, ya que se supone que hay que aprenderlo y borrarlo. Sin embargo, aunque este estándar define que el titular de la tarjeta también puede ser leído, no en todas las tarjetas en las que hemos probado viene escrito. Entonces, no hay problema, ¿No?
¿Es necesario introducir el CVC y el nombre del titular para realizar compras online?
Depende de dónde compremos. En muchos sitios web es obligatorio introducir el CVC pero no es el caso de todos, por ejemplo, en Amazon. Aquí sólo es necesario el nombre del titular, el número de la tarjeta y la fecha de caducidad. Efectivamente, no es necesario el CVC. Aunque parezca mentira, esto quiere decir que alguien con un móvil NFC puede leer tu tarjeta y luego realizar una compra en Amazon.
El experimento
Para poder probar que todo esto es viable, hemos desarrollado una aplicación que es capaz de leer los datos de una tarjeta contactless (por supuesto nuestra) y luego hemos intentado realizar una compra en Amazon. Para ello hemos creado una nueva cuenta y hemos intentado añadir una tarjeta.
Como se puede observar en la imagen, los datos necesarios para añadir una nueva tarjeta a una cuenta son el número de la tarjeta (PAN), la fecha de vencimiento y el nombre del titular.
Como no hemos podido obtener el titular de esta tarjeta nos hemos inventado el nombre del titular de la tarjeta. Esto es un blog de seguridad así que hemos elegido un nombre acorde con el mismo: Bob Al Ice. Os dejamos unos pantallazos para que veáis vosotros mismos los resultados.
Efectivamente, el titular de la tarjeta no se comprueba en ningún momento, y la compra se realiza con total normalidad.
Conclusión y posibles soluciones
Con más de tres años de experiencia en tecnología NFC somos muy conscientes de sus beneficios, así como de los aspectos que hay que pulir en esta aún incipiente tecnología. Este problema no es nuevo y lleva acompañando a las tarjetas de este tipo desde hace más de cinco años. Desde nuestro punto de vista, sería relativamente sencillo solucionar el problema, por ello planteamos dos soluciones en este post a la situación expuesta. Por un lado se puede plantear el cifrado de esta información, permitiendo que sólo dispositivos autorizados pudieran leerla. Por otro lado, está claro que hemos podido realizar la compra gracias a que el sistema online no ha aplicado todos los mecanismos de seguridad necesarios y es por ello que desde Aditium vemos indispensable en un mundo cada vez más tecnológico, que compañías de todo el mundo apliquen todos los mecanismos de seguridad a su alcance.
Os animamos a que probéis la aplicación y nos contéis si podéis leer los datos de la tarjeta y a qué entidad pertenece. La aplicación no solicita el permiso de internet ni almacena los datos, así que no tengáis miedo a probarla.