FYI.

This story is over 5 years old.

ESPAÑA

Los riesgos del 'contactless' o cómo robarte sin tener que meter mano a tu bolsillo

La extensión de nuevos métodos de pago puede hacerte la vida más fácil, o más difícil. Bastan 30 centímetros de distancia para que un ladrón pueda leer tu chip de identificación por radiofrecuencia RFID y sustraer dinero de tu cuenta bancaria.
Imagen vía Wikimedia Commons.
Síguenos en Facebook para saber qué pasa en el mundo.

En febrero del año pasado Ana Botín anunció que entraría en la carrera con los gigantes de Silicon Valley, Google, Facebook y Apple, convirtiendo al Santander, el banco que dirige, en el primero en ofrecer almacenamiento de datos en la nube. Botín no escatimó en dardos envenenados: "Los datos de los ciudadanos están seguros con nosotros. No sé si se puede decir lo mismo de los tres grandes".

Aunque fuentes de la entidad afirman a VICE News que, todavía, no han empezado a desarrollar esta idea, el despliegue digital es una obligación estratégica para todos los bancos que no quieran sucumbir ante los imponentes monstruos de la tecnología digital.

Publicidad

Los pagos realizados con dispositivo móvil sustituyendo al tradicional cobro con tarjeta ya son una realidad, y cada vez es más común que los usuarios de la banca utilicen tarjetas de identificación por radiofrecuencia (RFID en inglés), también llamadas contactless, que permiten efectuar el pago acercando la tarjeta a un datáfono y sin necesidad de introducir ninguna contraseña. Pero hecha la innovación, hecha la trampa.

Las actuaciones de diferentes fuerzas y cuerpos de seguridad españoles cuestionan el agravio comparativo del banco de Botín con el gigante de las búsquedas y sus otros dos futuros competidores. En este sentido, fuentes de la Guardia Civil explican a VICE News lo último en robos.

Un miembro de una organización criminal llama a una operadora de teléfonos haciéndose pasar por una persona determinada hasta que encuentran la empresa de telefonía que ésta tiene contratada. Cuando dan con la compañía telefónica de la víctima piden un duplicado de tarjeta que remiten al extranjero.

Con el duplicado en la mano buscan el banco de la persona estafada y piden una copia de la tarjeta, también al banco, recibiendo a veces hasta el código pin. Para poder disponer de la tarjeta te envían un mensaje al móvil, y al disponer de un duplicado reciben el mensaje. Si el afectado no está atento al teléfono pueden vaciarle la cuenta.

Hasta ahora las fuentes consultadas de la unidad de delitos tecnológicos del instituto armado han contabilizado dos casos como éste.

Publicidad

Otra técnica puntera de robo que la Policía Nacional ha detectado se basa en acercar una aplicación o un dispositivo determinado a 30 centímetros de una tarjeta contactless. Para ello hace falta que la distancia sea corta y situaciones como la cola de un supermercado son muy propicias para cometer este tipo de delitos. Esta forma de pago permite la sustracción de pequeñas cantidades mediante este sistema, pues normalmente hay un límite de no más de 20 euros por transacción.

En 2005 la Comisión de Libertades e Informática (CLI) ya expresó sus dudas sobre los posibles usos fraudulentos del RFID. Alertaba de la elaboración indiscriminada de perfiles, su utilización con fines de identificación que pudiera acarrear robos de identidad, o el desarrollo de técnicas de rastreo.

Si te han robado el DNI, la mafia podría estar llamando en tu nombre. Leer más aquí.

Y es que ya hace 10 años que investigadores especializados en este ámbito señalan los riesgos de las contactless. "Sin ninguna necesidad de sacar una tarjeta de una cartera o de un bolsillo, los consumidores pueden ver su privacidad y su seguridad potencialmente comprometidas", escribía entonces Ari Juels, autora de un artículo de investigación de la compañía RSA.

"Un escáner situado en una concurrida parada de metro puede recabar a escondidas datos de las tarjetas de crédito de los transeúntes", añadía Juels. En 2008, un estudiante de la Universidad de Virginia descubrió una vía de acceso RFID que comprometía la seguridad de 2 millones de tarjetas.

Publicidad

Aún así, las fuentes de la policía española a quienes ha tenido acceso VICE News consideran que, dentro del abanico de actividades delictivas, estas fórmulas no constituyen las principales vías de lucro de los criminales. "Sería el caso del criminal que, pudiendo robar un banco, roba una cartera", ilustran.

Se trata de prácticas similares a un caso que la Guardia detalla para VICE News: recuerdan el caso de una empleada en una joyería que colgaba su móvil con velcro debajo del mostrador. Cuando un cliente pagaba con tarjeta ella activaba la grabación con vídeo y captaba el número y el código CVC que hay detrás. Luego vendía los datos a terceros. Una técnica sencilla y rudimentaria, pero igualmente efectiva y rentable.

El anuncio de introducción de este tipo de chips en los Documentos Nacionales de Identidad (DNI) españoles en 2006 generó una cierta preocupación. El analista en seguridad Yago Jesús escribió a principios del año pasado un artículo que desmontaba los falsos mitos del RFID.

Este experto en ciberseguridad cuenta a VICE News que es importante entender que hay varios tipos de chips que abarcan multitud de posibilidades y tecnologías. Los RFID del DNI son más complejos que los que utiliza una marca de ropa para controlar el recorrido de sus productos, pues funcionan con autentificación múltiple.

Al no tener el DNI una batería, es el lector el que debe activar el chip en cuestión, algo que dificultaría la identificación, según Yago Jesús, quien recuerda que se requiere una clave impresa en el documento para llegar a la información que contiene. El lector es doblemente necesario.

Aunque el mismo analista reconoce que no es descartable que en un futuro por lo menos sea posible geolocalizar al portador de esta tarjeta. Lo dicho: hecha la innovación, hecha la trampa.

Sigue a Quique Badia en Twitter: @qbadiamasoni

Sigue a VICE News en español en Twitter: @VICENewsES