No Fear Credit CardElevenPaths 10 enero, 2018 Tarde o temprano, todos nos acostumbramos a deslizar nuestras tarjetas bancarias por la hendidura de terminales de pago (TPV/Pos), en todo tipo de comercios y locales de ocio. Sin darnos cuenta, hemos sido seducidos por las facilidades que nos brinda la, ya veterana, banda magnética, introducida por las entidades financieras en los años setenta. Tarjeta de crédito con banda magnética Sin embargo, esta facilidad de uso no estaba exenta de riesgos, y junto a su creciente popularidad, también se incrementaron los casos de fraude, ocasionados principalmente por la copia de la información contenida en la banda magnética y posterior clonación de la tarjeta, haciendo uso de la misma suplantando a su legítimo titular. Para contrarrestar las debilidades de la banda magnética, en el año 2000, las entidades financieras y los intermediarios de medios de pago, impulsaron la incorporación a las tarjetas de un “chip” basado en el estándar EMV de interoperabilidad de tarjetas. Esta incrementó notablemente la seguridad en las transacciones, ya que además de no poder ser duplicado, posibilita la autenticación del titular mediante su PIN, tecleado en el momento de realizar cualquier pago. La transición al “chip” se realizó de manera gradual, estuvo coexistiendo con la banda magnética. Durante varios años, se mantuvieron en funcionamiento terminales y tarjetas en formato dual que podían operar tanto con banda magnética como con chip, prevaleciendo este último si estaba disponible por ambas partes. No obstante, la picaresca de los clonadores de tarjetas, o simplemente una mala práctica de los comercios, llevaba a deslizar la banda magnética en primer lugar, antes de introducir la tarjeta para la lectura del chip, prologando así la posibilidad de fraude, tal y como se explica detalladamente en el ElevenPaths Talks sobre “Fraude en Puntos de Venta”. TPV/PoS lector de chip EMV Aunque parece un gesto sencillo, pasar de deslizar la tarjeta a introducirla en el TPV supuso un cambio radical, tanto para los usuarios, como para las infraestructuras que soportan los procesos transaccionales entre los diferentes actores: entidad emisora, entidad receptora e intermediaros del pago. Pero cuando apenas acabábamos de adaptarnos al “chip”, llegó la auténtica revolución, la tecnología NFC. Con esta última no es necesario introducir la tarjeta en el TPV, basta con situarla a una pequeña distancia para que la comunicación se realice de forma inalámbrica, “sin contacto” o “contactless” por su denominación inglés. Tecnología NFC en los medios de pago NFC es una tecnología de comunicación inalámbrica por radio frecuencia análoga a RFID, cuyo protocolo está estandarizado bajo la norma ISO/IEC 14443. Además de las tarjetas bancarias, la tecnología NFC se ha incorporado también en los smartphones de última generación, e incluso las operadoras de telefonía más innovadoras la incluyen en sus SIMs, habilitando así cualquier teléfono móvil como medio de pago. De forma similar a como ocurrió con el chip y la banda magnética, la tecnología NFC cohabita con ambas. A diferencia del chip, que expone visiblemente sus terminales de contacto, el NFC queda oculto en el interior de la tarjeta, por lo que deberemos localizar su logotipo para reconocer una tarjeta capaz de realizar un pago “sin contacto”, con tan solo acercarla a escasos cinco centímetros de un terminal de pago que cuente también con NFC. Logotipo de NFC NFC funciona mediante el acoplamiento inductivo en un campo electromagnético creado entre dos dispositivos dotados de una antena de radiofrecuencia a tal efecto. A través de este acoplamiento se realiza la comunicación de datos bidireccional entre ambos dispositivos, pudiendo efectuarse a diferentes velocidades, 106, 212, 424 ó 848 Kbit/s. De forma similar a otras tecnologías RFID, NFC utiliza la banda ISM de 13.56 MHz, la cual no requiere de una licencia específica, aunque está fuertemente regulada tanto técnicamente, como en sus condiciones de uso. La utilización de las bandas ISM es tratada en este artículo. Tarjetas NFC “Contactless” Las tarjetas NFC incorporan en su interior un transpondedor pasivo, junto con una antena en espiral, capaz de captar la energía proporcionada por un dispositivo lector NFC activo, al mismo tiempo que efectúan la comunicación de datos con el chip EMV. Tarjeta de crédito con chip EMV y antena pasiva NFC Las tarjetas plásticas, al igual que otros dispositivos pasivos conocidos como “antenas”, necesitan obtener energía del campo electromagnético generado por un dispositivo activo, como un lector NFC, el cual actúa como iniciador de la comunicación. Existen también dispositivos NFC activos, los cuales cuentan con una pequeña batería, gracias a la cual pueden generar su propio campo electromagnético sin necesidad de una iniciación externa. Seguridad de las tarjetas NFC Si bien es cierto que el chip EMV proporciona un mayor grado de seguridad, contrariamente a la creencia generalizada, la información que contiene no se almacena cifrada, está en texto claro, y de igual forma se transmite al lector, ya sea a través de los contactos del chip, o por la conexión sin contacto NFC, la cual tampoco incorpora ningún mecanismo de cifrado. Las transacciones de pago si se cifran criptográficamente, por lo que están seguras ante cualquier tipo de intercepción, manipulación o repetición, pero el resto de la información de la tarjeta (número PAN (Primary Access Number), nombre del titular y fecha de caducidad), podrían ser capturados ilícitamente por un dispositivo conocido como scanner. Con estos datos se podrían efectuar compras fraudulentas a través de Internet en comercios online que no requieran introducir como segundo factor de autenticación el código de tres dígitos conocido como CVV, serigrafiado en el reverso de las tarjetas bancarias. Ataque «CIberccartereo» La ausencia de cifrado en la comunicación NFC entre la tarjeta y el lector, es aprovechada para obtener ilícitamente la información almacenada en el chip EMV, mediante la aproximación sigilosa de un lector NFC a la tarjeta NCF de una víctima desprevenida. Este tipo de ataque es relativamente fácil de llevar a cabo, ya que hay disponibles diferentes lectores NFC que se conectan a un computador o Tablet por USB, incluso se pueden encontrar fácilmente lectores NFC autónomos de pequeño tamaño, los cuales permiten acercarse discretamente, a menos de cinco centímetros, de una víctima y leer los datos de su tarjeta NFC. Una excelente demostración de este ataque se llevó a cabo por Renaud Lifchitz durante su ponencia en la conferencia de Seguridad “8.8” en donde llegó a obtener hasta la relación de los pagos realizados, tal y como se muestra a la siguiente imagen. Obtención de datos vía lector NFC en 8.8 2013 Ataque de Relay en NFC El ataque de Relay en NFC, está basado en el ataque conocido como de “hombre en el medio”, o MitM por sus siglas en inglés. Básicamente consiste en que el atacante se intercala entre los dos interlocutores de una conexión NFC, retrasmitiendo los mensajes de una parte a otra, pero capturando toda la información e incluso manipulándola a su antojo. Como se puede apreciar en la siguiente figura, el atacante realiza el ataque de Relay NFC empleando dos smartphones intercomunicados por bluetooth; uno actúa como “proxy reader” para leer los datos de la tarjeta NFC de la víctima y enviarla al “proxy toquen”, que a su vez la hace llegar al lector NFC legítimo. En este trayecto, toda la información queda capturada para su posterior utilización fraudulenta. Ataque de Replay en NFC Ataques de malware NFC Las debilidades de la tecnología NFC no han pasado desapercibidas por los desarrolladores de malware, quienes desde hace un tiempo están creando aplicaciones maliciosas, especialmente para dispositivos Android. Estas aplicaciones maliciosas suelen pasar desapercibida. Se camuflan simulando una aplicación legitima conocida, como algún juego de gran popularidad, pero una vez instalada se activa como lector de NFC en modo silencioso, capturando toda la información de cuantas tarjetas encuentre a su alcance. En caso más relevante de este tipo de malware se conoce como Android.Ecardgrabber. ¿Cómo protegerse? Aunque pudiera parecer una broma, la mejor forma de afrontar los ataques de NFC sería evitar que alguien se nos acercase lo suficiente para leer nuestras tarjetas. Podemos encontrar fundas para tarjetas bloqueadoras de NFC y lograr la seguridad física de nuestras tarjetas. En ElevenPaths las ofrecemos gratuitamente como souvenir, y recientemente hay una gran oferta billeteras anti NFC. Como último recurso, podemos forrar con papel de aluminio la cartera donde transportemos nuestras tarjetas NFC. Protector de tarjetas anti NFC En nuestros teléfonos móviles solo deberíamos activar el NFC cuando vayamos a utilizarlo, y siempre que nuestra entidad financiera o intermediario lo permita, habilitar un segundo factor de autenticación, como el PIN, incluso si las operaciones son de importes reducidos. Encontramos también aplicaciones de pago o monederos móviles, desarrollados por emisores de pagos sin elementos seguros (Host Card Emulation – HCE), que implementan tokens de pago únicos, junto con otras capas de seguridad software, que incrementan la seguridad en las transacciones. Finalmente, debemos proteger la información que almacenamos en nuestros teléfonos móviles con algún software antimalware que deberemos mantener actualizado y estableciendo una contraseña suficiente segura, que evite que el teléfono pueda utilizarse por una persona ajena en caso de pérdida o robo. Lo ideal sería que la industria implementara los protocolos criptográficos adecuados para establecer un canal seguro de comunicación NFC, que proporcione la confidencialidad, integridad y autenticidad apropiada para los datos transferidos entre dispositivos. Mientras tanto, los invito a conocer más sobre los #11PathsTalks y cualquier tema relacionado con la seguridad de la información en nuestra comunidad. Gabriel Bergel CSA – Chief Security Ambassador @gbergel gabriel.bergel@global.11paths.com #CyberSecurityPulse: El parcheo de vulnerabilidades de forma transparente también es cosa de todosLa historia de la Dark Web
Nacho Palou Typosquatting: cómo detectarlo y protegerse No siempre es fácil detectar y protegerse del typosquatting. Estas recomendaciones de nuestros expertos te ayudan a reducir el riesgo.
Nacho Palou El poder de la digitalización sostenible en la lucha contra el cambio climático El cambio climático es considerado el mayor desafío de nuestro tiempo. Sus efectos abarcan desde la desertización y sequías hasta inundaciones y aumento del nivel del mar. Algunas de...
Telefónica Tech Boletín semanal de Ciberseguridad, 27 de mayo – 2 de junio Descubierta puerta trasera en cientos de placas base Gigabyte Investigadores de ciberseguridad de Eclypsium descubrieron una puerta trasera secreta en el firmware de cientos de modelos de placas base Gigabyte,...
Nacho Palou Cómo el lenguaje pone en riesgo la Ciberseguridad de las empresas La Ciberseguridad es un asunto fundamental para las empresas y organizaciones, de cualquier tamaño y sector. Los ciberataques pueden tener consecuencias graves o muy graves —incluso fatales— para los...
Carlos Rebato Criptografía, una herramienta para proteger los datos compartidos en la red Actualmente, la Ciberseguridad representa un aspecto primordial en las empresas. No obstante, cada día surgen nuevos modos de atentar contra ella. Muchos se han preguntado: ¿de qué manera las...
Roberto García Esteban ChatGPT y Cloud Computing: un matrimonio bien avenido ChatGPT (quizá no sepas que son las siglas de Chat Generative Pre-Trained Transformer) está en boca de todos por su impresionante habilidad para generar textos que parecen escritos por...
