U.S. markets open in 9 hours 6 minutes
  • F S&P 500

    3,672.00
    +7.50 (+0.20%)
     
  • F Dow Jones

    29,984.00
    +52.00 (+0.17%)
     
  • F Nasdaq

    12,500.25
    +38.00 (+0.30%)
     
  • RTY=F

    1,850.20
    +3.00 (+0.16%)
     
  • Petróleo

    46.39
    +0.75 (+1.64%)
     
  • Oro

    1,843.40
    +2.30 (+0.12%)
     
  • Plata

    24.17
    +0.04 (+0.16%)
     
  • dólar/euro

    1.2146
    -0.0003 (-0.02%)
     
  • Bono a 10 años

    0.9200
    -0.0280 (-2.95%)
     
  • Volatilidad

    21.28
    +0.11 (+0.52%)
     
  • dólar/libra

    1.3444
    -0.0008 (-0.06%)
     
  • yen/dólar

    103.9490
    +0.0890 (+0.09%)
     
  • BTC-USD

    19,313.44
    +55.86 (+0.29%)
     
  • CMC Crypto 200

    379.27
    +4.86 (+1.30%)
     
  • FTSE 100

    6,490.27
    +26.88 (+0.42%)
     
  • Nikkei 225

    26,738.90
    -70.47 (-0.26%)
     

Consiguen hackear los pagos 'contactless' sin necesidad del PIN

Jose Mendiola
·4  min de lectura
El pago sin contacto se consideraba mucho más seguro que el habitual. Foto: Getty Images.
El pago sin contacto se consideraba mucho más seguro que el habitual. Foto: Getty Images.

La llegada de los pagos contactless (sin contacto) en las tarjetas de crédito han disparado su uso y facilitado las cosas para usuarios y comercios a la hora de efectuar el pago. El gesto es instantáneo: se coloca la tarjeta en la parte superior del lector (sin necesidad de que el comerciante tenga que tocarla), y un pitido confirma la compra; todo sucede de forma rápida y segura... o eso es lo que creíamos hasta la fecha.

Un equipo de investigadores ha conseguido hackear de forma muy sencilla los pagos sin contacto de tarjetas VISA y, lo más grave del asunto, esquivando la necesidad de introducir un PIN.

Como sabes, los pagos contactless cuentan con una limitación de seguridad: no se requiere la introducción del PIN en pagos inferiores a una determinada cantidad (que ha sido elevada temporalmente durante la pandemia para evitar el contacto físico con el lector de tarjetas).

De esta manera, uno puede pagar un café con una tarjeta sin contacto con la simple aproximación de la misma al lector, y posteriormente emplear la misma tarjeta con un método idéntico para adquirir un televisor, por poner un ejemplo. En el segundo caso, como es natural, es necesaria la introducción del PIN. ¿Por qué se estableció esa contraseña? Para evitar que una tarjeta perdida o robada fuera utilizada por cualquier persona que no fuera su propietario.

Esquivando la necesidad del PIN

Esta sistemática nos han garantizado —y demostrado, hasta hoy— que era muy segura, pero investigadores de la ETH de Zúrich han hallado un fallo de seguridad en el proceso: han logrado efectuar un pago inalámbrico con la tarjeta de un tercero y evitando la introducción del PIN.

Antes de que sigas leyendo, conviene destacar que, como suele ser habitual en estos casos, los investigadores han comunicado dicho problema de seguridad a la propia VISA antes de publicar el ensayo, con lo que cabe esperar que se haya enmendado ya o esté cerca de hacerse.

¿En qué consiste exactamente el ataque a las tarjetas de crédito?

Sin entrar en exceso en detalles técnicos, en el ataque se emplean dos móviles Android; uno ubicado en las proximidades del lector de tarjetas del comercio y el segundo cerca de la tarjeta que va a suplantarse para hacer un pago. El primer terminal es utilizado para hacer los pagos sin contacto, mientras que el segundo, conecta con la tarjeta de forma inalámbrica para obtener toda la información necesaria y suplantar el pago del primer teléfono.

Tal y como han demostrado en un vídeo que sirve de prueba, el sistema funciona con una sencillez insultante y sin grandes complicaciones técnicas y, lo que resulta más inquietante, los investigadores han probado el ataque con éxito en un comercio real empleando sus propias tarjetas.

¿Podría ser uno mismo víctima del ataque y comprar un hacker productos con mi dinero? La respuesta corta es ‘sí’, la extendida sería ‘con matices’.

Para que se produzca el ataque se deben de dar una serie de circunstancias muy específicas. Para empezar, los hackers debe colocarse cerca de la víctima y, de hecho, aproximar uno de los móviles implicados a la tarjeta objetivo.

El segundo atacante emplea el otro móvil para efectuar un pago, pero hay que tener en cuenta que todos los dispositivos tienen que estar cerca ¿Por qué? Por una mera cuestión de comunicación: los móviles de los hackers se comunican entre ellos mediante WiFi y a su vez, con tarjeta y lector mediante NFC.

Lo llamativo del asunto es que los investigadores no han necesitado rootear los Android ni obtener privilegios especiales para el desarrollo y ejecución de la app que les sirve como prueba de esta vulnerabilidad.

El equipo ha desvelado asimismo que esta técnica permite a los atacantes efectuar compras off-line (en los casos en los que el lector no esté conectado) sin ningún tipo de problemas.

VISA todavía no ha emitido un comunicado oficial al respecto ni tampoco Mastercard, que comparte el mismo protocolo que la primera.

También te puede interesar:

VIDEO | La generación Z acumula deudas en tarjetas