Valoración
  • Actualmente 5 de 5 Estrellas.
Tu valoración
  • Actualmente 5 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

Guillermo Muñoz Mozos, Auditor de Seguridad en PwC

Riesgos y soluciones para la tecnología NFC

Near Field Communication (NFC) es una tecnología de comunicación inalámbrica, de corto alcance y alta frecuencia, que permite el intercambio de datos entre dispositivos.

Dado que estamos ante una comunicación por radiofrecuencia, la lectura de nuestra transmisión es una posibilidad que existe siempre. En el caso de la tecnología NFC, se cuenta con la ventaja de que opera a poca distancia, pero no se puede descartar la copia de los códigos de nuestro chip para un uso fraudulento. Además, no existe sólo la posibilidad de robar nuestros datos sino también de modificar o insertar errores en la misma.Las tarjetas de crédito que utilizan NFC como sistema de transferencia de datos cuentan con la ventaja de ser dispositivos de lectura y no de escritura.

Pero es relativamente fácil leer los datos que las tarjetas de crédito almacenan en las mismas a través de NFC, como son el número de cuenta, la fecha de expiración, el titular de la tarjeta o el CVV. Si bien estos datos no se podrían utilizar para pagar cantidades superiores al límite establecido por la entidad bancaria, se podrían emplear para pagos de cantidades inferiores o cometer fraude en páginas web que no identifican que la identidad de la persona sea la correcta.Por ejemplo, una de las páginas web más conocidas de compra/venta de artículos es Amazon. Esta web no confirma con la entidad bancaria el pago realizado por una vía alternativa como utilizan otras plataformas.

NFC

Extrayendo todos los datos con un simple programa de lectura asociado a las tarjetas de crédito más comunes se podrían comprar artículos y no se necesitaría ni el CVV ni otra vía de autenticación adicional.

Por este motivo se recomienda pedir a la entidad bancaria la desactivación de la transferencia de datos por NFC en las tarjetas de crédito, con el fin de evitar que un atacante pueda interceptar nuestra comunicación y obtener todo lo que necesite para suplantar nuestra identidad.Otra opción es emplear una 'Jaula de Faraday' para aislar cualquier conexión inalámbrica con la tarjeta de pago.

Existe un material especial parecido al aluminio que evita que un lector pueda obtener información de la tarjeta. Son extremadamente baratas y se pueden adquirir fácilmente.En última instancia se recomienda cortar la antena de la tarjeta, pero este método puede dejar la tarjeta inutilizable.

DNI 3.0

Un tema que está generando gran controversia es el nuevo DNI 3.0 y la posibilidad de identificar de manera remota a las personas que lo utilicen. Para aclarar si existe esta posibilidad, se va a explicar su funcionamiento y sus riesgos.

El funcionamiento del DNI 3.0 es sencillo, se utilizan dos códigos impresos tanto en el anverso (CAN) como en el reverso (MRZ). A partir de cualquiera de los dos se negocia una sesión cifrada entre lector y DNI para el intercambio de datos. Se necesitaría tener el DNI delante para acceder a los datos, ya que la clave que se utiliza para completar la transferencia de información se encuentra impresa en el DNI físicamente.

A pesar de las cualidades que el DNI 3.0 presenta, no todo es positivo respecto a la seguridad. Se podría realizar un ataque por fuerza bruta y el DNI 3.0 no bloquearía la comunicación tras repetidos intentos de contraseña erróneos.

Es decir, al cabo de cierto tiempo, se podría acceder a la información de la persona probando de manera masiva las posibles combinaciones de los códigos que antes hemos mencionado.

Otro aspecto importante que cabe destacar es la posibilidad de romper la seguridad del sistema NFC del DNI 3.0, lo que transformaría el sistema en vulnerable.

Actualmente, la idea de que la Policía pueda identificar de manera remota a los manifestantes que utilicen NFC 3.0 es un tanto exagerada, pero se recomienda estar al tanto de cómo evoluciona la vulnerabilidad del mismo y de los fallos de seguridad que presenta de cara a proteger su intimidad. Por último, como medidas de protección ante un posible fallo de seguridad, se podrían aplicar las explicadas previamente para tarjetas de crédito, ya que la tecnología que utilizan es similar. 

Palabras clave:

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual