{"id":66230,"date":"2015-09-07T09:17:22","date_gmt":"2015-09-07T07:17:22","guid":{"rendered":"http:\/\/www.agendaempresa.com\/?p=66230"},"modified":"2015-09-07T09:17:22","modified_gmt":"2015-09-07T07:17:22","slug":"son-seguras-las-tarjetas-contactless-de-pago","status":"publish","type":"post","link":"https:\/\/www.agendaempresa.com\/66230\/son-seguras-las-tarjetas-contactless-de-pago\/","title":{"rendered":"\u00bfSon seguras las tarjetas contactless de pago?"},"content":{"rendered":"

Asimismo, para las personas que trabajan en la caja, el pago sin contacto tambi\u00e9n es una ventaja. Esto hace que el proceso de compra sea mucho m\u00e1s r\u00e1pido, aumenta el nivel de venta y disminuye las largas colas que se producen en este tipo de negocios. Sin embargo, todas estas facilidades de uso pueden dejar al descubierto la propia seguridad de las tarjetas, seg\u00fan Kaspersky Lab.<\/p>\n

Mayor alcance<\/strong><\/p>\n

Estas tarjetas funcionan con la tecnolog\u00eda NFC. Las tarjetas tienen un microchip integrado y una antena que responde a las \u00f3rdenes del terminal de pago mediante una gama de frecuencia de 13.56 MHz. El alcance en la transmisi\u00f3n NFC es muy corto, por lo que la primera l\u00ednea de defensa es f\u00edsica. El lector, en esencia, deber\u00eda encontrarse al lado de la tarjeta, por lo que no se podr\u00eda hacer de forma clandestina. Adem\u00e1s, se podr\u00eda montar un lector personalizado para operar a largo alcance.<\/p>\n

Este tipo de dispositivos tiene la capacidad de gestionar solicitudes de tarjetas contactless en entornos p\u00fablicos, como centros comerciales, aeropuertos y otros lugares concurridos. En muchos pa\u00edses, las tarjetas compatibles con NFC est\u00e1n en todas las carteras, por lo tanto, los lugares con mucha masificaci\u00f3n de gente pueden ser una gran fuente de posibles v\u00edctimas para los delincuentes.<\/p>\n

Actualmente ya no se necesita una proximidad f\u00edsica o un esc\u00e1ner personalizado para realizar un ataque.\u00a0Los hackers espa\u00f1oles, Ricardo Rodriguez y Jos\u00e9 Vila<\/span><\/a>,\u00a0desarrollaron un sistema para \u201celiminar la distancia\u201d y lo presentaron en la conferencia Hack in the Box.<\/p>\n

Cifrado<\/strong><\/p>\n

La primera l\u00ednea de defensa ha de ser el cifrado. Las transacciones contactless est\u00e1n protegidas por el mismo est\u00e1ndar EMV, que protege a las tarjetas de pago tradicionales que est\u00e1n equipadas con un chip EMV. Las bandas magn\u00e9ticas son f\u00e1ciles de clonar, a diferencia de los chips. Al recibir una solicitud de un TPV, su chip interno genera una clave de un solo uso. Esta clave podr\u00eda ser interceptada, pero no ser\u00eda v\u00e1lida para la siguiente transacci\u00f3n.<\/p>\n

$\"money-256314_1280\"$ Los analistas de seguridad han mencionado varias veces su preocupaci\u00f3n por el sistema EMV; sin embargo, en la vida real, a\u00fan no se han escuchado casos de hackeo de estas tarjetas. En una implementaci\u00f3n est\u00e1ndar, el concepto de seguridad de la tarjeta EMV est\u00e1 basado en la combinaci\u00f3n de claves de cifrado y un c\u00f3digo PIN introducido por el usuario. En el caso de las transacciones contactless, no siempre es necesario el c\u00f3digo PIN, por lo tanto los sistemas de protecci\u00f3n est\u00e1n limitados a claves de cifrado generadas por una tarjeta y un terminal.<\/p>\n

En teor\u00eda, es posible producir un terminal que lea datos de una tarjeta NFC de un bolsillo. Sin embargo, este terminal personalizado debe emplear claves de cifrado obtenidas desde un banco y un sistema de pago. Las claves son emitidas por la entidad bancaria, por lo que resulta muy f\u00e1cil investigar e identificar una estafa.<\/p>\n

El valor de la transacci\u00f3n<\/strong><\/p>\n

Otra l\u00ednea de defensa es la limitaci\u00f3n del valor de las transacciones de pagos contactless. Este l\u00edmite se codifica en los ajustes del TPV, de manera que sea adecuada al banco, basado en recomendaciones obtenidas por los sistemas de pago. En Espa\u00f1a, a cantidad m\u00e1xima suele ser 20 euros.<\/p>\n

En caso de que el l\u00edmite se excediera, la transacci\u00f3n se rechazar\u00eda o requerir\u00eda una prueba de validez adicional, por ejemplo un c\u00f3digo PIN o una firma, dependiendo de los ajustes aplicados por el banco emisor. Para prevenir los intentos de cobros continuos de peque\u00f1as cantidades se necesitar\u00eda un mecanismo de seguridad adicional.<\/p>\n

Sin embargo, este sistema tiene un inconveniente. Hace casi un a\u00f1o, otro equipo de investigadores de la universidad de Newcastle (Reino Unido), inform\u00f3 de la existencia de una vulnerabilidad en el sistema de seguridad de las tarjetas contactless de Visa. Al elegir otra divisa que no fuera la libra, se pod\u00eda superar el l\u00edmite. Si el TPV est\u00e1 desconectado de la red, el valor m\u00e1ximo de transacci\u00f3n puede alcanzar hasta 1 mill\u00f3n de euros. Los representantes de Visa negaron la viabilidad de este ataque en la vida real, declarando que una transacci\u00f3n de tal magnitud ser\u00eda rechazada por los sistemas de seguridad de los bancos.<\/p>\n

El resultado final<\/strong><\/p>\n

Aunque la tecnolog\u00eda de pago contactless presupone varias capas de protecci\u00f3n, esto no significa que el dinero est\u00e9 100% seguro. Muchos elementos de las tarjetas bancarias est\u00e1n basados en tecnolog\u00edas obsoletas como las bandas magn\u00e9ticas, la posibilidad de realizar pagos online sin una autenticaci\u00f3n adicional, etc., seg\u00fan Kaspersky Lab.<\/p>\n

En muchos aspectos, la seguridad depende de los ajustes utilizados por las instituciones financieras y por las tiendas online. \u00c9stas, en la b\u00fasqueda de la compra r\u00e1pida, prefieren sacrificar la seguridad del pago por obtener mayores\u00a0 ingresos.<\/p>\n

Es por eso que las recomendaciones de seguridad b\u00e1sicas siguen estando a la orden del d\u00eda, incluso en el caso de los pagos contactless:<\/p>\n

– El objetivo es evitar que otras personas vean tu n\u00famero PIN o la informaci\u00f3n de tu tarjeta. Para ello, nunca se debe ense\u00f1ar la tarjeta, y se debe extremar la precauci\u00f3n al descargar ciertas aplicaciones en el smartphone.<\/p>\n

– La mejor soluci\u00f3n siempre pasa por instalar un antivirus, activar las notificaciones de los movimientos bancarios por mensaje de texto y avisar al banco en cuanto se observe alguna actividad sospechosa.<\/p>\n

– Para asegurarse de que nadie lea tu tarjeta NFC, es necesario comprar un sistema de protecci\u00f3n para tu\u00a0cartera.<\/p>\n","protected":false},"excerpt":{"rendered":"