Investigador de Ciberseguridad explica fallo en Sistema de Seguridad de Tarjetas de Crédito



La comunicación de campo cercano (NFC) es un protocolo popular de comunicación de corto alcance. Es una rama de la identificación por radiofrecuencia (RFID) que generalmente funciona a 13.56MHz. Fue diseñado como un método para permitir que dos dispositivos establezcan una red de comunicación de igual a igual. La tecnología NFC se está implementando actualmente en nuevos teléfonos y tarjetas de crédito. Para los teléfonos, proporciona un intercambio rápido de información, como imágenes. En las tarjetas de crédito y los teléfonos, habilita el "toque para pagar", básicamente una forma de pagar sin tener que deslizar o insertar una tarjeta en un lector de tarjetas.

Aunque está pensado para ser más seguro que las bandas magnéticas tradicionales en las tarjetas, es posible que esta tecnología aún tenga algunas fallas en su seguridad. La tecnología EMV se introdujo como un método más seguro para las transacciones de pago. EMV significa Europay, Mastercard y Visa, e implica la integración de un pequeño chip en las tarjetas de crédito. Lo que hace que este medio de pago sea más seguro es que cada vez que se produce una transacción, el chip genera un código único que no se puede volver a utilizar.



Mientras que la banda magnética de las tarjetas de crédito contiene datos que nunca cambiarán, esta a permite a los ciberdelincuentes usar información de tarjetas de crédito robadas para obtener efectivo.

Resulta que la tecnología de chip integrada en las tarjetas de crédito comparte la misma unidad de datos de protocolo de aplicación (APDU) que utiliza la tecnología NFC. Lo que eso significa es que una tarjeta es inherentemente compatible con las comunicaciones de campo cercano, ya sea para su intención o no. Esto se demuestra a través de los experimentos de Salvador Mendoza usando una Raspberry Pi y un PN532. La Raspberry Pi se emplea como dispositivo para iniciar los comandos y las respuestas necesarias para la comunicación de campo cercano. Por otro lado, el PN532 es un chip NFC muy popular disponible de NXP. De hecho, es tan popular que se puede encontrar en casi todos los productos que utilizan NFC. Además, Adafruit ofrece un panel de arranque muy fácil de usar con una antena de PCB integrada para experimentos sin contacto de bajo costo.



Usando su configuración de prueba, Mendoza demuestra cómo se puede detectar la tarjeta EMV y establecer la comunicación. Básicamente, se detecta una tarjeta EMV y se realiza una conexión de comunicación de prueba. A continuación, los comandos APDU se envían desde la Raspberry pi a la placa PN532 para interactuar con la tarjeta EMV. Los comandos se retransmitirán una y otra vez hasta que finalice la comunicación. Se demostró que esto era posible en tarjetas EMV con y sin capacidades NFC comercializadas.

Con todo lo dicho, las tarjetas con EMV han demostrado reducir el fraude de tarjetas de crédito. Según Mastercard y Visa, desde que se introdujo EMV y comenzó a distribuirse a los consumidores, las tiendas que utilizan pagos basados en chips vieron una caída del 58 por ciento en transacciones fraudulentas. Es bueno escuchar eso, sin embargo, para aquellos que siguen preocupados de que alguien esté intentando piratear la información de su tarjeta de crédito, una billetera de metal siempre es una opción.

Fuente: https://blog.hackster.io/credit-card-chips-susceptible-to-unwarranted-nfc-communications-b790402d20dc?fbclid=IwAR3ZBKAl0NVdrn6uvIfzhi_RlZyQJFj31JC2v6NuWIiCdMb6u0re66Z0yI0