La idea de pagar algo sin usar su número PIN ya no es algo nuevo. A pesar de eso, el concepto te expone a tantas vulnerabilidades (si no más) de lo que antes.
Anteriormente, he escrito sobreSistema de pago móvil sin PIN de Android Payy las consecuencias negativas pueden sufrir reemplazando sus números PIN con autenticación biométrica. Ahora hay dispositivos comoAnillos de pago de NFCque exacerban aún más los problemas de vulnerabilidad anteriores de otras soluciones similares. Resulta que hay un par de cosas que debe saber antes de subir al carro de la conveniencia que proporcionan los pagos sin contacto.
La gente puede escuchar las transacciones
Evesdropping en las señales de radio es, con mucho, una de las prácticas más antiguas de la historia moderna. Lo hemos estado haciendo desde la Primera Guerra Mundial y hemos confiado en gran medida la segunda vez. Los dispositivos pueden haberse vuelto más avanzados, pero la técnica aún está relativamente intacta. Usted hace un dispositivo de escucha que sintoniza la misma radiofrecuencia que otras dos partes están usando y escuchan sobre ellas.
Hackers e investigadoreshe sido consciente de la espía de NFCDesde al menos 2013, cuando algunas personas elaboraron un carrito de compras que fácilmente podría deslizarse y "escuchar" las transacciones que se realizan por pago sin contacto. Para evitar que ocurra tal fenómeno, los lectores deben cifrar sus conexiones de extremo a extremo. Incluso entonces, todavía existe la posibilidad de espirarse. Para que los consumidores estén seguros de manera confiable, es mejor evitar el uso de NFC en lugares llenos de gente.
Los datos pueden ser invalidados
Este problema particular molesta a los minoristas tanto como a los compradores. Un hacker puede colocar un dispositivo cerca del lector que corrompe los datos que entran en el lector, lo que hace que sea imposible hacer una compra en ese mostrador en particular. Los piratas informáticos pueden tener un incentivo para hacer esto junto con la espía para asegurarse de que el cliente no vacíe su equilibrio antes de tener la oportunidad de usarlo.
La solución a este problema es la misma aquí que para espiar. Los minoristas deben usar canales seguros para transmitir y recibir datos sobre sus lectores de NFC. Aunque este ataque en particular no presenta una amenaza particular para el minorista o al cliente (solo mucha frustración), vale la pena repetir el hecho de que puede ser especialmente peligroso para el cliente cuando los piratas informáticos eligen combinar esto con espibuera.
El ataque "hombre en el medio"
Descrito con mejor detallede aquí, un ataque de hombre en el medio (MIM) es una forma sofisticada de espía en la que el hacker interceptará la conversación entre el dispositivo NFC y el lector procesando el pago y enviará información falsa a ambos. De esta manera, los piratas informáticos pueden invalidar los datos (enviar la información de basura del lector como he descrito anteriormente) y recibir el pago de NFC en función de lo que el dispositivo NFC intentó enviar al lector.
Debido a su sofisticación, tales ataques son muy raros, pero las vulnerabilidades actualmente presentes en las transacciones de NFC crean un incentivo para que los piratas informáticos comiencen a invertir más tiempo para hacer herramientas que llevarán a cabo estos ataques. Para empeorar las cosas, los piratas informáticos pueden escuchar activamente la conexión antes de que el "apretón de manos" de cifrado esté completo, lo que hace que el cifrado sea bastante inútil en este momento. Pero una cosa que los minoristas podrían hacer es tener un estilo de comunicación activo-pasivo donde el dispositivo NFC simplemente envía sus datos, y el lector simplemente procesa la información y envía la confirmación de compra.
Nunca subestimes los campos
Por supuesto, cuando no está cortado por piratear hábilmente su camino hacia los portales de pago, su mejor opción es simplemente tomar lo que la gente esté usando para pagar las cosas en estos días. Una tarjeta es un poco más difícil de robar, ya que normalmente tendría que robar toda la billetera que está sentada dentro de un bolsillo la mayor parte del tiempo (algunas personas usan su bolsillo interior para sus billeteras, lo que hace que esto sea más desafiante).
Pero los teléfonos a menudo se mantienen fuera de los bolsillos y se pierden fácilmente. Incluso si están en un bolsillo, la mayoría de las personas no tratarán sus teléfonos con tal cuidado como sus billeteras. Los anillos de pago de NFC llevan esto un poco más lejos, ya que es aún más fácil perder anillos. Robarlos es solo una cuestión de encontrar un momento oportuno cuando alguien se quita los anillos para lavarse las manos.
Mi sugerencia para las personas que usan teléfonos es asegurarse de que tengan alguna forma de bloquear el dispositivo de forma remota si se pierde. Aparte de eso, debe evitar los pagos de NFC por completo si es muy importante para usted minimizar las posibilidades de que su dinero sea robado en cualquiera de las formas desagradables que he descrito anteriormente.
¿Usas pagos NFC? ¿Cómo protege sus finanzas? ¡Cuéntanos en un comentario!
