Su uso delictivo puede afectarnos en cualquier momento, ya que cada vez las usamos más en todo tipo de dispositivos. Este miedo al uso indebido de las tarjetas, se extiende así mismo, al manejo de nuestras cuentas a través de internet, tanto desde un ordenador como desde un dispositivo móvil, o a través de voz (telefonía).

Empecemos recordando algunos de los diferentes sistemas de pago existentes:

• Tarjetas monedero: Hace unos años, se intentó popularizar el uso de estas tarjetas, para pagos pequeños, pero se han limitado a los pagos en transporte público.
• Pagos a través de tecnología “contactless”: Los nuevos sistemas basados en NFC (Apple Pay, Contactless de La Caixa, BBVA Wallet, Banco Santander junto con Orange, Contactless de Kutxabank…) buscan aumentar el pago con tarjetas (habrá una gran lucha entre las entidades financieras y los “nuevos” contendientes). Estas nuevas tarjetas “sin contacto”, realmente buscan que los negocios en los que se realizan pagos pequeños (normalmente en metálico), estén dispuestos a que se hagan con medios electrónicos.
• Pagos a través de internet: Tarjetas de crédito o débito, Paypal, VINI (tarjeta virtual de un solo uso), Bitcoin (lo explicaremos posteriormente) y los productos creados por los “gigantes de internet” (Amazón, Google, etc.). La gran mayoría se basan en el uso de una tarjeta de crédito (emitida por bancos, financieras, cadenas comerciales y empresas de distribución).
• Bitcoin: Es una moneda virtual que se utiliza en internet como medio de pago (algunos bancos han creado cajeros para sacar dinero en la moneda local). Podríamos resumir alguna de sus características:
  • Se creó en 2009 y, por su naturaleza virtual, es vulnerable a posibles ataques informáticos.
  • No depende de ningún banco central o gobierno, luego no hay ningún respaldo.
  • Su funcionamiento es similar al mercado de divisas: el precio fluctúa constantemente en función de la oferta y la demanda. De hecho, ha sido muy volátil, sufriendo fluctuaciones excesivas.
  • Se la ha relacionado con el blanqueo de capitales.
  • Recientemente se han producido dos quiebras de los principales intermediarios a nivel mundial (la japonesa Mt Gox y la canadiense Flexcoin) que han supuesto más de 300 millones de euros. Estas empresas han reconocido ataques informáticos, que les han llevado a esta situación. Esto ha dejado muy “tocado” a este sistema, pues los afectados no pueden reclamar a ningún organismo.

  El incremento de sistemas de pago que están apareciendo (salvo en el caso de Bitcoin), tiene varios efectos:

  • Incremento del costo: Se paga una comisión a la entidad emisora al no pagar en metálico.
  • Fiscales: Hacienda puede controlar la facturación que tiene un negocio, si los cobros se hacen por medios electrónicos.
  • Control: La información obtenida (qué compramos, dónde y cuándo) puede acabar en manos de entidades que van acumulando información sobre nosotros, y que puede ser vendida a otras empresas.

  Como consecuencia de esta gran variedad de métodos y facilidades de pago, todos tenemos miedo de que nos puedan usar la tarjeta, bien para sacar dinero o bien para hacer pagos con ella. Hoy en día, la tarjeta es un acceso o llave a nuestro patrimonio. Esto me recuerda al intento de tener una casa segura, mediante llaves, puertas de seguridad, alarmas… No hace falta ver muchas películas, para comprender que ninguna casa es segura ante un ladrón especializado, solo esperamos que ese tipo de ladrones, no se interesen por nuestra propiedad. Esta realidad, se transmite al mundo de las tarjetas bancarias, ningún sistema es completamente seguro, con lo que será mejor poner todas las barreras posibles.

  Como resumen de estas reflexiones, quisiera hacer hincapié en un uso racional de los medios de pago, exactamente igual, a lo que hacemos con la puerta de nuestra casa. Debiéramos tener en cuenta unas recomendaciones básicas en seguridad:

  • No llevar la clave apuntada en la tarjeta. Puede parecer obvio, pero se conocen muchos casos de fraude por esta práctica.
  • Que no nos vean teclear la clave: Se puede simular que se pulsan teclas que realmente no forman parte de la clave. Esto impedirá que una cámara instalada junto con un dispositivo de clonado recoja nuestro PIN. Si aumentamos el nivel de paranoia, tocar todas las teclas impedirá que una cámara térmica vea las 4 cifras tecleadas.
  • Que no sea sencilla (números correlativos), pero que sea posible obtenerla (se nos acaba olvidando alguna vez). Se puede usar el siguiente sistema: utilizando el DNI, obtener la clave con algunos de sus números (alternos, en sentido inverso, etc.). Como normalmente solo se pueden hacer tres intentos, resulta muy difícil que aun teniendo nuestro DNI, puedan obtener la clave.
  • Poner diferentes claves a las tarjetas: Se puede hacer un listado en el que la tarjeta de más uso sea la que memorizamos (mediante un sistema como el del DNI explicado anteriormente), las de otras entidades se obtendrían al sumar o restar una cifra a la clave principal (no habría riesgo aunque nos quitarán el listado, pues falta la clave principal).
  • Controlar las tarjetas fuera de casa: no tenerlas guardadas en un cajón de la oficina, en el abrigo o chaqueta, etc., y vigilarlas cuando las entregamos para hacer algún pago.
  • Si se va a pagar por Internet en sitios poco seguros, utilizar sistemas como VINI (solo sirven para un único pago).
  • Phishing e Ingeniería Social: Ya sea por teléfono o por internet, en ningún caso, ninguna entidad, pedirá información de la clave de tu tarjeta. Además, facilitar el número de cuenta no es una práctica recomendable y menos sin verificar quién lo pide (e.g., llamadas telefónicas de venta de productos o petición de información para completar la ficha de cliente en una entidad).

  Cabe destacar eso sí, que las entidades financieras realizan diariamente un esfuerzo muy grande en reducir los riesgos de sus clientes. En la mayoría de ellas, se han implantado sistemas para evitar estos usos fraudulentos.Cuando se ordena, por internet, una transferencia que no se haya hecho nunca, se envía al móvil vinculado al sistema de acceso, una clave de un solo uso, con lo que para acceder a nuestras cuentas nos tendrían que robar o clonar el móvil. Los cajeros son controlados constantemente, para evitar que se utilicen sistemas para clonar las tarjetas o grabar cuando pulsamos la clave. Los sistemas informáticos, detectan anomalías que lanzan avisos al cliente cuando se superan determinados importes o se usan en establecimientos muy lejanos o que sean “dudosos”.

  Aplicando recomendaciones como las anteriores, se puede estar razonablemente tranquilo, lo mismo que lo estamos cuando llevamos dinero en metálico. De todas formas, no hay que olvidar que hasta la fecha, las entidades (normalmente financieras) que las emiten, suelen hacerse cargo de los importes defraudados, pues son las primeras interesadas en que se sigan usando las tarjetas, aunque siempre es un problema la reclamación pertinente.

  En cualquier caso, para evitar sustos, una regla básica: no ser demasiado confiados y usar la cabeza.

The post Métodos de pago y seguridad, recomendaciones appeared first on S3lab.

Básicamente el pago se realiza con sólo acercar la tarjeta al terminal. Estas tarjetas, que fueron anunciadas durante las olimpiadas de Londres 2012 por Visa (con Ussain Bolt como protagonista), vienen configuradas por defecto para que no sea necesario introducir el código PIN para pagar importes inferiores a 20€. Sin ninguna duda, estas tarjetas nos permiten pagar más rápido, pero tienen en su contra que en caso de robo, pueden realizarse pagos sin necesidad de conocer el código PIN.

Para la tranquilidad de todos, os queremos hacer saber que la cantidad mínima para introducir el PIN puede reducirse e incluso se puede desactivar. El objetivo de este artículo no es discutir cómo configurar la tarjeta contactless, eso lo dejamos a vuestra  elección.

Entonces… ¿Dónde está el problema?

Si sois aficionados al snowboard, esquí o DH y habéis alquilado alguna vez material, es probable que os hayan pedido una tarjeta de crédito para completar la ficha del alquiler. Con sólo introducir la tarjeta en un lector, automáticamente se rellena el nombre y número de tarjeta. Esto es posible porque los datos como nombre del titular, fecha de emisión, número de tarjeta o fecha de caducidad, pueden ser obtenidos mediante un lector de tarjetas inteligentes (como los que utilizamos para el DNI electrónico). Es decir, estos datos pueden ser leídos por cualquier persona ya que no vienen cifrados. Esto no suponía ningún problema de seguridad porque, en caso de robo, esta información ya venía impresa en la propia tarjeta.

Sin embargo, lo que hace diferente a la tarjeta contactless es que puede ser leída sin necesidad de mantener contacto con ella, gracias a la tecnología NFC. Seguro que a más de uno le ha venido a la cabeza que su teléfono móvil soporta esta tecnología. En efecto, cualquier persona que coloque su smartphone NFC cerca de nuestra tarjeta puede leer estos datos. Así de sencillo… Tened en cuenta que se puede establecer esta comunicación aunque la tarjeta este guardada en nuestra cartera.

¿Qué datos se pueden leer?

Los más interesantes son el número de tarjeta y la fecha de caducidad. También podemos obtener la fecha de expedición y certificados públicos. Los dos primeros os sonarán a muchos porque son datos habituales cuando realizamos compras por internet. De toda la información que viene impresa en la tarjeta, según el estándar de EMV (Book 3, Anexo A) el único dato que no puede obtenerse es el CVV/CVC, ese número de tres cifras que no debería estar en la parte trasera de vuestras tarjetas, ya que se supone que hay que aprenderlo y borrarlo. Sin embargo, aunque este estándar define que el titular de la tarjeta también puede ser leído, no en todas las tarjetas en las que hemos probado viene escrito. Entonces, no hay problema, ¿No?

¿Es necesario introducir el CVC y el nombre del titular para realizar compras online?

Depende de dónde compremos. En muchos sitios web es obligatorio introducir el CVC pero no es el caso de todos, por ejemplo, en Amazon. Aquí sólo es necesario el nombre del titular, el número de la tarjeta y la fecha de caducidad. Efectivamente, no es necesario el CVC. Aunque parezca mentira, esto quiere decir que alguien con un móvil NFC puede leer tu tarjeta y luego realizar una compra en Amazon.

El experimento

Para poder probar que todo esto es viable, hemos desarrollado una aplicación que es capaz de leer los datos de una tarjeta contactless (por supuesto nuestra) y luego hemos intentado realizar una compra en Amazon. Para ello hemos creado una nueva cuenta y hemos intentado añadir una tarjeta.

Como se puede observar en la imagen, los datos necesarios para añadir una nueva tarjeta a una cuenta son el número de la tarjeta (PAN), la fecha de vencimiento y el nombre del titular.

Como no hemos podido obtener el titular de esta tarjeta nos hemos inventado el nombre del titular de la tarjeta. Esto es un blog de seguridad así que hemos elegido un nombre acorde con el mismo: Bob Al Ice. Os dejamos unos pantallazos para que veáis vosotros mismos los resultados.

Efectivamente, el titular de la tarjeta no se comprueba en ningún momento, y la compra se realiza con total normalidad.

Conclusión y posibles soluciones

Con más de tres años de experiencia en tecnología NFC somos muy conscientes de sus beneficios, así como de los aspectos que hay que pulir en esta aún incipiente tecnología. Este problema no es nuevo y lleva acompañando a las tarjetas de este tipo desde hace más de cinco años. Desde nuestro punto de vista, sería relativamente sencillo solucionar el problema, por ello planteamos dos soluciones en este post a la situación expuesta. Por un lado se puede plantear el cifrado de esta información, permitiendo que sólo dispositivos autorizados pudieran leerla. Por otro lado, está claro que hemos podido realizar la compra gracias a que el sistema online no ha aplicado todos los mecanismos de seguridad necesarios y es por ello que desde Aditium vemos indispensable en un mundo cada vez más tecnológico, que compañías de todo el mundo apliquen todos los mecanismos de seguridad a su alcance.

Os animamos a que probéis la aplicación y nos contéis si podéis leer los datos de la tarjeta y a qué entidad pertenece. La aplicación no solicita el permiso de internet ni almacena los datos, así que no tengáis miedo a probarla.

The post Explorando la tarjeta Contactless appeared first on S3lab.