Hace pocos días hubo un gran revuelo en las redes sociales debido a una fotografía que circulaba por internet. En dicha foto podíamos ver a un supuesto ladrón de datos de tarjetas contactless armado con un TPV, algo que según los expertos es posible pero hacerlo con un TPV es demasiado «cantoso». Las nuevas tarjetas contactless permiten efectuar pagos en TPVs simplemente pasando la tarjeta por delante, sin tener que introducir el número PIN. En compras inferiores a 20 euros no requieren el código PIN aunque algunas entidades como BBVA permiten activarlo también en estas compras. Pero, ¿son seguras las tarjetas contactless? Tenemos diferentes puntos de vista sobre ello. Por un lado el de los bancos, que afirman que son el método de pago más seguro que existe y por otro el de expertos en seguridad informática que ven algunos puntos débiles en el sistema. Veamos los argumentos de ambos.
«Las tarjetas de crédito NFC son parcialmente seguras»
El profesor de la Universidad de Zaragoza Ricardo J. Rodríguez, lleva años investigando los fallos de seguridad del sistema contactless. El año pasado impartieron diferentes conferencias de seguridad informática en las cuales demostraban cómo a través de un programa malicioso introducido en un teléfono, eran capaces de leer los datos de una tarjeta contactless ubicada en Nueva York, datos que después se enviaban a otro teléfono en Madrid y que finalmente acababa realizando un pago con los datos de esa tarjeta en un TPV. El problema reside en el protocolo de comunicación de la tarjeta, un protocolo de «Comunicación en el Campo Cercano» -de donde provienen las siglas NFC-. Este protocolo de comunicación tiene un radio de acción de 10 cm, distancia a la que debería ubicarse el ladrón en el caso de querer acceder a los datos de nuestra tarjeta, por lo que sería posible que actuasen en metros o autobuses pero con un teléfono móvil o una pulsera, no con un TPV como en el caso de la foto viral. Digamos que la tarjeta tiene una antena y el TPV tiene otra y cuando se acercan a menos de 10 cm se «quieren» comunicar entre ellas, entonces si metiésemos la antena de un TPV en un smartphone o pulsera inteligente podrían -con ayuda de un programa malicioso- tomar esos datos. Además con este procedimiento podría clonarse la tarjeta o cambiar los datos de acceso para cancelar operaciones. Un pequeño dato a relucir es que dicho ataque sólo es posible usando móviles Android ya que desde la versión 4.4 del sistema operativo se incorporó la opción que permite al teléfono móvil emular una tarjeta. En este sentido tenemos claro que seguras del todo no son. Veamos qué dicen los bancos.
«Alrededor del 80% de nuestras tarjetas ya son ‘contactless’ y el objetivo es que a finales de 2016 sea el 100%»
Estas son las palabras del portavoz de ING Direct y como era de esperar, los bancos garantizan la seguridad de estas tarjetas. De hecho, el resto de entidades bancarias de nuestro país pretenden que a finales de 2016 todas sus tarjetas sean contactless. En todas las páginas de bancos consultadas afirman que dicha tecnología es totalmente segura y que suponen un balance entre la experiencia de uso y la reducción del fraude. Lo sí es seguro es que el banco tiene que cargar con los gastos en el caso de que seas víctima de fraude y que si quieres estar más tranquilo puedes llevar la tarjeta en un monedero especial forrado en papel de aluminio que impediría que en ningún caso pudieran acceder a tu tarjeta.
