195 meneos
7079 clics
Contra el mito de que te pueden robar dinero de tarjetas contactless sólo acercándose a ti
¿Qué es NFC? Además de explicar esta tecnología, en este artículo también vamos a describir los problemas inherentes a esta tecnología (escucha secreta, modificación, y retransmisión) y las posibles soluciones (si existen). Además, vamos a intentar aclarar (todavía más) el mito acerca de si es posible que te "roben" el dinero de una tarjeta contactless a distancia.
|
comentarios cerrados
El datafono está a nombre de alguien, que ha pasado controles por el banco en nombre de VISA y Mastercard.
A la mínima que algun propietario de datafono, empieza a tener cargos sospechos, le paran el chiringuito, se le revierten las operaciones y se le denuncia por lo penal.
"tengo un amigo que trabaja en seguridad de un banco y va con una mochila y puede cobrar a 5m"
Eso no funciona así. Cómo selecciona la tarjeta? Más de una tarjeta en el objetivo? Como prepara el cobro? Interferencias? Si los datáfonos normales no te la leen a más de 5cm.
Yo también porque entra dentro de lo plausible.
En lo que no caí es que ese "datáfono" iba a durar muy poco desde el momento que detectaran que era para delinquir.
Yo paso sin sacar la tarjeta, excepto si está en un bolsillo específico, que no funciona.
El problema de la cartera también puede ser que tengas más de un a tarjeta rfid, supongo que el lector al leer dos, da error.
Por qué decir plausible cuando se quiere decir posible?
El datafono está a nombre de alguien, que ha pasado controles por el banco en nombre de VISA y Mastercard.
A la mínima que algun propietario de datafono, empieza a tener cargos sospechos, le paran el chiringuito, se le revierten las operaciones y se le denuncia por lo penal.
Vamos, es la forma más idiota posible de robar... Y más aún hoy en día que te llegan notificaciones al móvil cada vez que haces una transacción...
Es posible que a Fabra le tocara varias veces la lotería pero es más plausible la explicación de que compraba billetes premiados para blanquear dinero negro.
Esa es la razon para NO hacerlo.
Consulta el link: dle.rae.es/?id=TNa5nXF.
En tu ejemplo plausible esta mal empleado.
Es más, yo creo que el llevar dinero en efectivo hace que consuma más.
Y conste que yo tengo alertas en el móvil/reloj en cada uso de la tarjeta (por otros motivos que no vienen a cuento) pero prefiero pagar en efectivo, en parte por ser consciente, en parte por no dar toda la información al banco, en parte por pagar al que me da el servicio/producto y no al banco...
- Es posible (no es imposible, existen probabilidades) que a Fabra... pero es más plausible (resulta más admisible, más creíble) la explicación de...
Posible no tiene la acepción de admisible, solo de probable.
Demonizar una tarjeta de crédito me parece absurdo.
O sin vulnerabilidades, simplemente te sientas detrás, o al lado, de alguien en el tren o en el aeropuerto, o el avión; y con el portátil, sin datáfono, con una antena camuflada (no llamarías la atención en un sitio así) te llevas como mínimo nº de tarjeta, fecha de caducidad e historial. Con un poco de habilidad (fotografiando un billete o un carnet de la víctima que tenga en la mano, por ejemplo) te llevas el nombre en el mismo sitio y solo con estos datos te pueden liar algo gordo.
Una compañera de trabajo fue víctima de una estafa a través de tarjeta Visa. Una compra de miles de euros de material informático en el extranjero. Había viajado y sospecha que en algún datáfono obtuvieron los datos. Al final Visa se hizo cargo, pero no fue tan fácil como pensamos. Y de aquellas no era NFC... Y el artículo acaba con "¿Es posible que nos roben? Respuesta corta NO." En fin, cuidado con la respuesta larga.
¿Comer es bueno o malo? Pues depende.
En lugar de sacar dicha tarjeta, puedes sacar las otras y luego pegar el tarjetero con tu tarjeta al datafono.
Sigues pudiendo capturar la tarjeta con una aplicación de móviles con NFC y usarla en internez o en un garito, sin necesidad de datafono.
Qué yo sepa, los bancos no devuelven el dinero robado y la policía no mueve el culo por hurto.
De todas formas, la seguridad de las tarjetas, para mí, está en entredicho desde que me la duplicaron sin yo darme cuenta. Siempre, siempre, siempre pago cogiendo yo la tarjeta. JAMÁS dejo que nadie toque la tarjeta o la aleje de mi vista. Pero una vez, no se como, sin notar nada sospechoso (como pedirme dos veces el PIN), siempre con la tarjeta en la mano y el datáfono a la vista en todo momento, me duplicaron la tarjeta. A los dos días sacaron dinero con esa copia en Indonesia. Por suerte, el seguro de la tarjeta me lo devolvió todo, pero desde entonces la uso con cautela. Fue con una tarjeta de Carrefour PASS y me ocurrió en el extranjero.
Para mi, una buena medida sería porder cambiar el PIN fácilmente a diario y que este fuese mucho más largo (8 cifras). Lo que me explicaron es que a veces incorporan un aparato al datáfono que duplica la banda o el chip de la tarjeta y luego, con una cámara cenital o un dispositivo en el teclado te copian lo que has pulsado (y con 4 cifras, es fácil ir probando hasta dar con la clave). Muchas veces ni el propietario del negocio sabe que le han puesto eso. Muchas veces va alguien diciendo que es del banco y se lo cuelan.
Otro punto: yo pago sin sacar la tarjeta de la cartera. Por un lado tengo la de crédito y por otro la del bus, y no me hace falta dejarla quieta para pagar.
Y si solo atacas a guiris, arrimando la cebolleta, cobrando el máximo permitido sin pin, 20 euros, con un datáfono sin papel para que no imprima y "regalando" un globo al primo de turno (por seguir con uno de los ejemplos anteriores), claro que es posible.
Para cuando se den cuenta del cobro estarán en su país y si te llega una denuncia es tu palabra contra la suya, 20€ era el precio del globo.
No pretendo plantear un plan sin fisuras pero sí hay un riesgo real porque los criminales son mucho más imaginativos que yo.
Conociendo muy por encima la tecnologia (ahora despues de leer este articulo y las pruebas que han hecho veo que no es tan sencillo) , cuando alguien me venia con esa historia les decia que si, que podrias modificar un datafono y ponerle una antena mas potente, plantarte en mitad de la gran via y sacarle 19€ a todo el que pase, pero que eso es dinero electronico que solo es un apunte en una cuenta bancaria. Y esa cuenta bancaria tiene nombre y apellidos.
Los pagos a través de NFC no son un problema, como ya explica el artículo.
El acceso al metro y demás no debería ser un problema, ya que Metro puede tener una BBDD interna que asocia el id de cada tarjeta con la cantidad de viajes que le quedan, con lo que pasar gratis no sería posible (a no ser que robes otra tarjeta para copiar el mensaje que devuelve al torno, pero para eso ya te la quedas y la usas).
El acceso a edificios... Esto ya es otra historia. Yo puedo acercarme con mi móvil a cualquier edificio que requiera acceso con tarjeta NFC y copiar el mensaje que el torno emite a sus tarjetas. Después, con mi móvil, envío dicho mensaje a cualquier tarjeta de estás que la gente se va dejando por su mesa y la tarjeta me devolverá el mensaje que normalmente envía al torno. Boom, ya tengo esa identidad. Easy peasy lemon squeezy.
- Es por tanto esta restricción física de proximidad donde radica la seguridad en que se basa NFC
- ese datáfono tendrá que ir contra alguna cuenta bancaria de donde posteriormente recuperaría el dinero el criminal, facilitando así la identidad del mismo
No se, quizá seré yo, pero no me creo que no sea posible tener una cuenta en algún lugar en el que no seas identificado... Pero en cualquier caso, aunque lo fuera, esta "seguridad" es como que vengan los de Securitas y te digan:
- Tranquilo, vamos a vigilar tu casa, la puerta se queda abierta un cachito, porque total, si alguien te roba sólo será algo pequeño y además tenemos una cámara puesta enfocándole la cara, por lo que será muy fácil pillarle......
Así que no se... déjame que desconfíe...
Voto errónea. Sí que es posible. Podrá ser poco frecuente, o poco práctico. Pero posible es. Tanto ataques por proximidad ("datáfono en el metro") como ataques por relay.
Si sólo hay una, no es necesario ningún tipo de selección. Igual que cuando pagas sin sacar la tarjeta de la cartera. Si hay varias tarjetas, no es posible la selección (tanto si te están robando como si es un pago voluntario tuyo).
Como prepara el cobro?
No sé a qué te refieres, pero no necesitas preparar nada. El datáfono comienza la comunicación, la tarjeta no tiene que hacer nada (excepto estar en el rango de la antena).
Si los datáfonos normales no te la leen a más de 5cm.
Porque su antena no lo permite. Mi móvil no coge cobertura a veces, y eso no es incompatible con que la NASA se comunique con sondas en Marte. La forma, direccionalidad, ganancia y demás características de la antena son fundamentales (dentro de las limitaciones de la frecuencia y el protocolo). El artículo habla de ataques activos a medio metro.
En resumen, como dije en otro comentario: es posible, otra cosa es que sea práctico.
Pero si un delincuente se dedica a robar, prácticametne el 100% de sus cargos van a ser reclamados. ¿Cuánto tiempo crees que tardarían en cerrarle el grifo? Pues antes de poder cobrar la primera liquidación, eso seguro.
Así que no, esto ni pasa ni va a pasar. Otra cosa es que el dueño de un negocio legal se compinche con unos delincuentes y acepte un porcentaje pequeño de este tipo de movimientos. Pero aún así la jugada no les puede durar mucho. Recuerda que el datáfono no es un derecho constitucional y para su retirada y retroacción de los movimientos no se necesita una orden judicial.
Yo ya digo que por lo menos 15 dias o un mes, con suerte.
El datáfono comienza la comunicación cuando se ha seleccionado un pago e introducido la cantidad a cobrar. TPor acercar una tarjeta a un datáfono no te cobra automáticamente.
Que técnicamente sea posible en ciertas condiciones no quiere decir que cualquiera con un datáfono se pueda pasear por Gran Via cobrando a gente de forma random.
"Rápidamente" es relativo. Puede tardar semanas. Y aunque sean 3 días, es tiempo suficiente para llevarse varios miles de €.
el delincuente no llegaría a ver el dinero nunca
Puedes vaciar la cuenta al final del día. Te llevas, cuánto, ¿5000€? ¿10000€?
Así que ningún ladrón se va a meter en ese lío para algo que tiene unos probabilidades de éxito nulas
No sabía que conoces a todos los ladrones.
En cualquier caso, estáis pensando en un "autónomo español" como ladrón, en vez de poneros en el peor caso: una cuenta abierta con documentación falsa, y/o una cuenta abierta en un país extranjero (por ej. en un paraíso fiscal, o en Nigeria).
Además, para abrir una cuenta de un negocio necesitas mucho papeleo. Suponiendo que haces un robo de identidad empresarial, y que cuele, ese dinero no lo vas a poder retirar de la cuenta en efectivo, porque te pillarían. Si lo vas a retirar vía transferencia, ese movimiento se retrocederá casi seguro. ¿Comprando Bitcoin desde una cuenta de empresa? No da tiempo.
No conozco a los ladrones, pero sí un poco el sistema bancario. Lo que propones es prácticamente imposible.
Traerte un datáfono de Nigeria y esperar que funcione aquí. Chupao. Visa no va a detectar ese fraude, claro que no.
Y en caso de que no lo fuese, para unos ladrones es una oportunidad de oro para ver tu PIN cuando lo tecleas, con lo que te podrían dar un palo bastante mayor en caso de hacerse con la tarjeta.
La siguiente innovacion ya la estamos viendo y es poder pagar con el movil. Si le damos un tiempo la gente podra ir pagando de formas aun mas sencillas (huella dactilar o reconocimiento facial). Por un lado puede parecer terrorifico, pero por otro simplemente hace mas facil pagar y la gente lo va a aceptar.
"Mala excusa: todos los pagos de menos de 20 euros son sin PIN, ya sean por contactless o pasando por la ranura."
Eso es absolutamente falso. Todos los pagos son con PIN. Lo de pagar sin PIN salió a cuento de las contactless porque era la única manera de acelerar (de verdad) el pago.
"Y en caso de que no lo fuese, para unos ladrones es una oportunidad de oro para ver tu PIN cuando lo tecleas, con lo que te podrían dar un palo bastante mayor en caso de hacerse con la tarjeta. "
Siempre te pueden robar. La seguridad completa no existe, eso está claro. Pero tú puedes dificultarlo lo máximo posible. Yo desde luego no grito mi pin a los cuatro vientos ni lo tecleo murmurando los dígitos y procuro evitar que se vea mientras lo hago.
También me pueden atracar a punta de navaja en cuyo caso les doy el pin y lo que haga falta que mi vida no tiene precio.
Hay una máxima en el mundo de la (cyber) seguridad: La comodidad y facilidad de uso va siempre en contra de la seguridad. La cuestión es donde encontrar el equilibrio. Siempre hay que valorar hasta que punto sacrificas seguridad en favor de comodidad y eso es y siempre será una cuestión subjetiva.
Como he comentado en mi primer comentario para mí no me ofrece una mejora en comodidad o facilidad suficiente para sacrificar la seguridad.
Para ti o para otros puede que sí, pues cada uno que lo active o desactive a su gusto.
Igualmente, los bancos tampoco proporcionan datáfonos a cualquier persona que lo solicite.
Te fabricas uno, las especificaciones son abiertas y no se require mas que un arduino con el módulo NFC que cuesta 2,99 euros.
Del mismo modo (como seguramente sepas si has probado este tipo de pago), la realización del pago no es inmediata, ya que sucede una comunicación entre el datáfono y el emisor de la tarjeta contactless, así como una serie de pasos en el datáfono (por ejemplo, se imprime el ticket), lo que dificulta sobremanera el que el ladrón pueda pasar desapercibido.
Incluso aunque lo hicieras con un datáfono de verdad, siempre puedes desconectar la impresora o manipularla para que no haga ruido ni imprima nada.
Del mismo modo, y por experiencia propia, los datáfonos son altamente sensibles a la posición y al movimiento de la tarjeta contactless durante la lectura, lo que hace más difícil todavía una lectura sin que el titular de la tarjeta se percate de ello.
Eso ya es lo que me faltaba por leer, que nuestra seguridad dependiera de tu experiencia personal. En cualquier aglomeración de gente, una feria, un espectáculo callejero, un pub abarrotado... solo tienes que tener tu lector escondido en un bolsillo y acercarte al bolsillo trasero derecho de cualquiera que tenga ahí su cartera. La lectura se puede hacer en 1 o 2 segundos.
sourceforge.net/projects/nfcproxy/
"NFCProxy is a an Android app that lets you proxy transactions between an RFID credit card and a reader. The saved transactions can be replayed to skim credit cards or the RFID credit card can be replayed at a POS terminal."
con esto la noticia pasa a ser errónea y mera publicidad de la banca
Digo la autenticación de la tarjeta. La lectura del chip contacless es muchísimo más rápida que la del EMV. Tienes en tu mano probarlo. Coge un datáfono y cronometra el tiempo que tarda en salir la pantalla de introduce el PIN desde que introduces la tarjeta para que lea el chip. Luego el próximo pago hazlo contactless y mira la diferencia.
Por otro lado, los bancos disponen desde hace tiempo de sistemas para identificar el fraude: geolocalización, patrones habituales de gasto en comercios habituales... realmente es poco práctico ir con un lector "rogue" de tarjetas para ir haciendo cargos que se van a reclamar.
Y ojo, la tarjeta vinculada al TPV trucho tiene que ser española, no puedes vincular una cuenta nigeriana a un TPV operando en España, los procesos de KYC y antiblanqueo están por algo.
Y aquí mi ataque gratuito del día al Bitcoin.
El problema de la huella dactilar o reconocimiento facial es que no puedes repudiar al operación
Siempre hay que usar un PIN para estas cosas.