Los NFCs no son más seguros

blog.trendmicro.com/trendlabs-security-intelligence/hacking-rfid-payme

"The protocol vulnerability described in [7] is based on the fact that the card does not condition
transaction authorization on successful cardholder verification"
O sea que validar el Pin depende de que el terminal lo comprueba. ¿Quien diseño esto?

#2 supongo que para poder hacer operaciones offline

¿Mi dinero?

eso con contactless no pasa.

#2 #3 El que decidió que por menos de x euros es un coñazo meterlo y dejó al antojo de cada red despejar esa x.

#5 Una de mis «contactless» me pide el PIN, pero, visto el artículo, de poco me vale.

¿Y si la persona a la que le robaron la tarjeta la daba de baja no se cancelaba?

Y pensar que hay mucha gente que se quejaba de que en determinados sitios les siguieran pidiendo el DNI a pesar de que la tarjeta lleva el famoso chip Yo siempre he defendido que me parecía bien que siguieran pidiendo el DNI, es una medida más de seguridad porque las protecciones tecnológicas las acaban reventando siempre.

#1 Teniendo en cuenta que ni piden pin... Cuantas veces me habran dejado mi madre y mi novia la suya y no pedir ni dni ni ostias. En el momento en que se pierdan, ale a hacer compras inferiores a 20 pavos durante todo el día... Al menos en Carrefour.

Ya lo dice el chip: "FUN", en inglés diversión, que tanto os gusta ahora como contactless, cuando se puede decir sin contacto

#6 #2 imagínad pagar un peaje con el pin...

#9 Como si fuera muy difícil hacer un DNI falso para la inspección rápida que hace una cajera de supermercado que es unicamente donde a mi me piden el DNI+PIN

Y si me toca un pelotas, me parece innecesario.

Me recuerda a los chips de las plays que hacían un ataque parecido lo que no entiendo es por que hicieron el típico analisis vía consumos del chip en vez de los IO supongo que no tendran las llaves privadas y vía ese sinfing se puede ver el código sin encriptar que tela que esos chip no tengan protección contra ese ataque que ya es un clásico.
Este vídeo de dave jones muestra como se hace.
www.youtube.com/watch?v=HxQUKAjq-7w

#11 Es un chip programable genérico. Para juguetear, vamos. De ahí el nombre.

#11 Pues poca diversión puede haber sin contacto...

#3 para hacer operaciones offline, una tarjeta puede requerir el PIN igualmente... pero cada emisor de tarjetas le mete un programa distinto a la tarjeta y esto no es tan consistente como podría parecer.

Yo tengo una tarjeta con un programa propio de la entidad bancaria que solo pide el PIN online en determinados TPV (en otros requiere firma), y si meto mal el PIN no se verifica en la tarjeta, sino que se verifica online. De hecho probablemente sólo me pida el PIN online (que en España, con los datáfonos con SIM ya es casi siempre), ya que de primeras nunca me pedí el PIN y le pedí al banco por teléfono que me lo activara.

Pero de hecho, parece que no puedes obligar a un TPV a pedir el PIN, por eso al chip no le parece raro emitir el pago sin que le mandaran un PIN para verificar. Por ejemplo, los TPVs de El Corte Inglés suelen pedir firma en lugar de PIN.

Saludos.

#17 Interesante. Yo andaba pensando mas en cajeros automáticos que en datáfonos. Recuerdo haber leído que en determinadas redes los cajeros pueden hacer operaciones offline si es necesario (siempre hasta un límite por operación) y reportarlas todas al final del día. En ese caso me parecería raro que cada cajero almacenara los pines de toda la red para poder verificarlos.

Si en vez de introducir el PIN, pulsais OK un par de veces, casi todos los terminales autorizan igualmente el pago. (Aunque luego en el papel sale el hueco para firmar como antes)...

#18 son herencias de un mundo no tan conectado.
No creo que los cajeros puedan funcionar offline, y si lo hacen, no creo que sea la norma general (ya que verificar los PIN a posteriori no tiene sentido), pero antes los comercios preferían guardar unos cuantos pagos antes de que el cacharro llamara al banco para procesarlos.

Ahora los TPV suelen estar permanentemente conectados y los pagos se suelen hacer online salvo por problemas temporales y, muy a menudo, en los pagos internacionales, en los que los bancos no tienen la capacidad de conectarse tan a menudo entre sí (en este caso el banco del comercio procesa el pago online con el comercio, y lo procesa offline con tu banco). Por esto cuando viajas al extranjero te recomiendan llevar una tarjeta de crédito además de la de débito (ya que las de débito sí suelen poner muchas pegas para procesar pagos offline, como es normal, y esa conexión no es siempre posible, aunque cada vez más).
Pero la retrocompatibilidad en las tarjetas es increíble. Una tarjeta de crédito normal puede procesar pagos de tres formas... con el chip, con la banda magnética (que en realidad son tres bandas juntas, la tercera está vacía y solo con leer una de las otras dos se puede procesar el pago) y con los datos en relieve (de los que suelen carecer muchas tarjetas de débito, ya que este método es, evidentemente, siempre offline).
¡Y se siguen utilizando! Este año en un viaje al extranjero, tras comer en un restaurante tenían la TPV fuera de servicio, sacaron una bacaladera y ¡me plancharon la tarjeta!. Tardó en aparecerme el cargo como un mes, y como 3 meses en ser efectivo...

Luego leyendo por ahí, vi que la bacaladera también tenía su parte online... había unas guías con numeraciones de tarjetas no válidas que había que comprobar antes de aceptar el pago, y en todo caso, si el pago era medianamente alto o el cliente tenía ciertas características, el comerciante tenía que llamar al banco para confirmar el pago.

#2 no exactamente. La tarjeta tiene una configuración. Lo normal es que el TPV la siga (pedir pin, no, etc...), pero también se puede forzar el exigir más seguridad o degradarla.
Ahora, no todos los métodos de validación tienen las mismas coberturas en caso de fraude.

Por nuestra parte en SetPay (getsetpay.com), forzamos siempre a validar el PIN, aunque la tarjeta no lo tenga por defecto. Es li mejor para todos.

#19 eso se llama bypass, y el implantador puede deshabilitarlo. Lo mismo con las offline en teoría si es de chip el pinpad debería hacer una comprobación del pin de manera offline, el pinpad o datafono lleva cargadas unas claves privadas. En cualquier caso a pesar de pasarse unas homologaciones en las soluciones de pago que valen una pasta para ver que el sistema es seguro y garantizar el fraude y que te paguen en parte en caso de que lo haya, los estándares si bien tiene unas guías a seguir a la hora de la verdad hay mil y una condiciones según el tipo y/o modos de pago que muchas variables no se comprueban por muchas suposiciones a hacer y que no se dejan claras y no todo dios sabe que como al final lo que interesa es poder permitir pagos y lo que se hace es delegar en que el centro autorizado o banco procese que la transacción, que mucho software debería de echar para atrás la operación por los datos que ya tiene y no delegar todo al banco. Un ejemplo: una tarjeta puede estar caducada y saberse antes de consultar al banco y no se echa para atrás la operación a pesar de que el pinpad así lo indica, y es el banco el que acabe rechazando salvo que para el banco la tarjeta no estuviese caducada. Sobre lo del bypass si no quieres meter el Pin puedes meter la tarjeta del revés para que no lea el chip y obligues al pinpad a pasar la tarjeta por banda y debas firmar manualmente, o incluso pasar mal la banda y haya introducción manual de los datos tarjeta. Según como este el pinpad aunque metas datos tarjeta enteras el pinpad solo retorna primeros dígitos de tarjeta, el resto va cifrado digamos,

#22 eso ultimo sobre lo de pasar mal tarjeta o que no se lea el chip p banda bien por el lector, provoca un fallback para una lectura de tarjeta menos segura, chip>> banda>> manual y ya depende de cada implantador el no permitir entrada manualmpor ejemplo.

#10 Bueno, tampoco nos pasemos. Existe un límite de transacciones consecutivas y otro de importe acumulado, de manera que las entidades controlan el "riesgo" del dinero que te pueden estafar (y que cubrirían ellos).

#2 En principio la tarjeta sí tiene una configuración (que decide el banco, otro tema es si lo hacen más seguro o menos) en la que indica una lista de los métodos de verificación de titular posible. En esta lista, también se indica que hacer si uno no puede realizarse (por ejemplo, terminal sin pinpad) pudiendo ser que la transacción se deniegue, o que salte al siguiente método (por ejemplo, firma).

Es decir, la tarjeta sí controla que es lo que quiere hacer, y luego ya depende de como esté configurada.

Y decir también que este artículo me parece exageradamente alarmista, pero en fin...

#7 ¿Quieres decir visto el artículo en el que dicen que lo hackearon soldando un segundo chip sobre el módulo original de contactos? Pues por supuesto que con contactless no pasaría (al menos no con este método concreto) puesto que ese segundo chip no estaría siendo utilizado.

#9 Ya, pero VISA funciona en todo el mundo y hay paises que no tienen DNI obligatorio

#9 Yo soy de los que me quejo. La falsa seguridad de pedir el DNI no va a solucionar ningún fraude.

#28 Queda la opción de copiar la banda magnética y pegar el chip en una tarjeta que coincida con mi DNI. ¿Has visto algún comercio donde comprueben que los datos del resguardo tras el pago, para confirmar la vericidad de los datos impresos en la tarjeta?, ...