INTERNET, CIUDAD CON LEY

¿Es cierto que los carteristas se están pasando al datáfono y la tecnología NFC?

La tecnología Wireless, utilizada para pasar los tornos de los controles de acceso en aeropuertos, empresas, metros, autobuses, etc. llega al móvil para incorporar comodidad y rapidez (en teoría) en los pagos con tu tarjeta, sin necesidad de introducir el código pin, o acercando el móvil al TPV. Después de 3-4 segundos suena un beeep: Pago realizado. Aún no es una tecnología muy usada en España (lo será), pero en Norteamérica, China y Oeste de Europa una de cada cuatro personas la usan. ¿Y si pierdes el móvil o alguien se esconde un mini datáfono en una riñonera en el metro? Te cuento qué puedes hacer para evitar cargos inesperados.

Tecnología Contactless Agencia

¿Cuál es la realidad?
Deja de pensar que existen seres que se introducen entre el gentío de los centros comerciales o aeropuertos, en los metros y con alta tecnología llevan a cabo cargos masivos y pueden hacer desaparecer el saldo de tu tarjeta ¡Don't panic!

Desde hace tiempo, todos los modelos de smartphone están introduciendo lo que se denomina la tecnología NFC (Near Fiel Communication), un sistema de comunicación inalámbrico de corto alcance (10 centímetros ampliables).

Los famosos "piqueros" o "bolsilleros" se han pasado al mundo ciber con el robo wireless o 3G/4G, aprovechando que en España aún ni se usa ni se conoce mucho esta tecnología, pero que ya llevan unos cuantos de miles en el bolsillo.

La tecnología NFC queda muy cool y práctica en el móvil si se usa para intercambiar fotos, ubicaciones, referencias a páginas web, etc. con otros dispositivos y aplicaciones que la lleven incorporada: USB,s, tarjetas de visita, entradas de cine, etc. El problema viene cuando se utiliza para incorporar dentro de tu móvil sistemas de pago con tarjeta: VISA; Master Card, AMEX, etc.

"Su compra son 17,50 euros". Estiras tu brazo y lo acercas al datáfono de la tienda con cara de interesante mientras tu colega te mira con la boca abierta: "¿Estás pagando con el teléfono, bro?" Beeep. "Pagado". El datafono lleva una tecnología contactless incorporada que no requiere verificación (no te pide el código pin). Únicamente te exige que acerques la tarjeta de crédito o el móvil (si llevas la tarjeta incorporada en una app) 3-4 segundos hasta que suene un beep, siempre que el pago realizado no supere los 20 euros (en España).

¿Qué ocurre entre el momento que acercas tu tarjeta al TPV contacless o tu móvil con tus tarjetas de pago vinculadas y se produce el beeeep?
Tu tarjeta de crédito/débito lleva incorporada un microchip (sólo las que llevan el simbolito de las líneas) con una antena alrededor de la propia tarjeta que permite el acceso a los datos que contiene a través de sistema de comunicación inalámbrico si se acerca a un dispositivo lector (un TPV) con tecnología NFC.

Por otra parte, los móviles nuevos llevan ya incorporados chips NFC y los bancos han visto el filón de esta tecnología para vincular tus tarjetas de crédito a este sistema de pago. De ahí que veamos, cada vez más, la gente acercando su teléfono móvil para pagar.

Cuando acercas la tarjeta o el móvil, esta tecnología inalámbrica permite transmitir todos los datos que puedes ver en tu tarjeta (titular, numeración, fecha de caducidad, CCV y el histórico de transacciones vía Wiffi o 3G/4G al TPV sin cifrar. Es decir, que si alguien utilizara un mecanismo de interceptación se pueden ver todos los datos de la tarjeta en claro. Por otra parte, para realizar el pago sólo es necesario que el móvil esté encendido, no hace falta desbloquearlo. Una vez que la entidad bancaria contrasta los datos de tu tarjeta y certifica que eres cliente, te aceptan el pago.

Cómo apañárselas en casa para habilitar este sistema
En tu smartphone (si incorpora esta tecnología) tienes una opción para habilitar el NFC. Una vez que lo habilites, te ofrece dos métodos de procesamiento.

El primero vinculado a la operadora de telefonía que uses a través de la SIM NFC que van ligadas a ciertas entidades bancarias. Es decir, por ejemplo, si quiero pagar con mi móvil que opera a través de Movistar, tendré que tener una tarjeta de crédito de la Caixa para poder "virtualizarla" en el servidor de la Caixa. La app de la Caixa te la puedes descargar de la propia store (tienda de apps). Una vez descargada, tendrás que introducir los datos de tu tarjeta para vincularla a la aplicación. De ese modo, podrás pagar desde cualquier móvil que tenga instalada esta app de la Caixa. Luego, permite pagar a cualquiera que no es el titular de la tarjeta y que simplemente tenga los datos de acceso a la aplicación.

El segundo método no está ligado a una operadora de telefonía ni entidad bancaria concretas a través de la tarjeta SIM, sino que puedes instalar o desinstalar la propia aplicación de Google Play (por ejemplo) siempre que sea compatible con el sistema operativo de tu móvil, en este caso Android, y vincular cualquier tarjeta de crédito que tengas. Hay varias aplicaciones en los stores, escoge una: Credit Card Reader NFC, Credit Card Revealer, etc.

Instalación de estas apps y tema permisos ¡Ojo! Tendrás que escoger
VISA impone unas medidas de seguridad en tu móvil para instalar estas apps que no se cumplen si está rooteado.

A la hora de escoger entre instalar apps de entidades bancarias o de terceros, ten en cuenta lo siguiente:

Alguna de estas aplicaciones te posibilitarán cifrar parte de la información de la tarjeta que viaja en texto claro, otras no.
Observa y compara los permisos a los que te piden acceder antes de la instalación ¿Son realmente necesarios?

Como te comenté anteriormente, si “virtualizas” tus tarjetas de crédito a través de la app de una entidad bancaria, tus datos quedan en los servidores de la entidad bancaria, pero si la aplicación es de un tercero, ¿dónde quedan tus datos alojados y qué van a hacer con ellos? ¡Quién sabe!

¿Qué podemos hacer para evitar cargos inesperados?

Es entendible que no lleves tarjeta de crédito por temor a perderla o por comodidad, pero peor será si pierdes o te roban el móvil. Además de preocuparte por los datos personales guardados en tus emails, perfiles, mensajería instantánea y la compra a un click de Amazon, añades la posibilidad de que realicen cargos indiscriminados (dentro del límite de 20 euros). Recuerda que no es necesario desbloquear el móvil ni se hacen comprobaciones de titularidad durante el pago. Si tu móvil desaparece bloquea la tarjeta de crédito con la entidad bancaria y el IMEI del móvil con la operadora.

Los cargos que se realicen en tu cuenta a través de este sistema quedarán detallados de la misma forma que si lo hicieras mediante pago con tarjeta. La próxima vez puede plantearte la posibilidad de ponerle el pin antes de hacer tus compras pero al final es lo mismo que llevar la tarjeta.

Dijimos que en este sistema la comunicación no viajaba cifrada por lo que conviene elegir tarjetas que incorporen sistemas de cifrados RSA, etc. y que admitan (aunque pocos) dobles sistemas de autentificación como es la huella digital.

Otra opción es cargarse la antena de NFC del chip de vuestra tarjeta pero no os lo recomiendo si no tenéis visión de rayos x para saber exactamente dónde se encuentra. También hay fundas “inhibidoras” que bloquean la comunicación mientras la tarjeta de crédito está dentro de tu cartera.

Con toda ésta información, tú decides.

TECNOXPLORA | INTERNET, CIUDAD CON LEY

Silvia Barrera

Me llamo Silvia Barrera y llevo trabajando en ciberseguridad más de 10 años. He luchado contra el cibercrimen durante muchos tiempo y he participado en investigaciones internacionales en INTERPOL y EUROPOL así que conozco muy bien cómo actúan los cibermalos. La gran mayoría de los ciberdelitos se podrían haber evitado si los usuarios conocieran los peligros reales de la RED. Prevenir siempre es mejor que ver sufrir a sus víctimas. Tienes a tu disposición el correo ciudadconley@atresmedia.com donde puedes hacerme llegar los casos más extraños o novedosos que conozcas.