Con el avance de las tecnologías NFC y RFID, que permiten los pagos de proximidad, los delincuentes exploraron nuevas formas de fraude sin contacto en las que capturan la información de las tarjetas RFID o realizan transacciones sin autorización.
ESET, compañía líder en detección proactiva de amenazas, explica cómo funcionan las tecnologías NFC y RFID, cómo ocurren las estafas en eventos públicos y qué medidas de protección puede adoptar y además de cómo configurar los medios de pago sin contacto.
“Las tecnologías RFID (Radiofrecuency Identification, o identificación por radiofrecuencia) y NFC (Near Field Communication, o comunicación de campo cercano) se han vuelto comunes en la vida diaria al permitir la comunicación inalámbrica entre dispositivos y facilitar así procesos de pagos, el seguimiento de productos y los controles de acceso. Del mismo modo, los dispositivos de lectura NFC se están utilizando cada vez más para llevar a cabo distintos tipos de robo por lo que es importante utilizar medidas de protección para evitar que los delincuentes obtengan acceso a los datos personales sin conocimiento”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
En cuanto a RFID, esta es la base para la identificación sin contacto, ya que utiliza ondas de radio para transferir datos entre un dispositivo lector y una etiqueta o tarjeta equipada con un chip RFID. Este proceso se produce sin necesidad de contacto físico, aunque sí una cercanía. Hay dos tipos principales:
· RFID pasivo, que no tiene batería propia y se activa únicamente por la energía de la señal de radio emitida por el lector. Se usa comúnmente en tarjetas de transporte, etiquetas de productos y documentos de identificación.
· RFID activo, que cuenta con una batería interna y permite la transmisión de señales a mayor distancia. Se utiliza con mayor frecuencia en el seguimiento de mercancías, dispositivos de seguridad e incluso en automóviles.
Por otro lado, NFC es una versión más avanzada de RFID, que permite la comunicación bidireccional entre dispositivos.
Mientras que RFID se limita a la comunicación unidireccional (del lector a la etiqueta), NFC permite el intercambio de datos entre dos dispositivos, como teléfonos inteligentes o tarjetas de crédito. Esta tecnología es muy utilizada en pagos sin contacto y transferencias de datos.
Su principal ventaja de NFC es su practicidad, ya que permite pagos rápidos sin necesidad de introducir contraseñas y facilita la vida a consumidores y empresas.
“Ambos métodos utilizan la misma tecnología NFC, pero la principal diferencia radica en el medio (tarjeta física frente a dispositivo móvil) y las capas adicionales de seguridad que los dispositivos móviles suelen ofrecer. Si bien la mayoría de los fraudes NFC/RFID requieren un acceso cercano a la víctima, ya que la distancia de lectura suele ser muy corta, es importante prestar atención a los entornos en los que se encuentra.”, alerta el investigador de ESET.
Existen dispositivos que permiten el skimming, un tipo de fraude en el que los delincuentes copian los datos de la tarjeta de crédito o débito de la víctima y, en algunos casos, incluso realizan transacciones con esos datos. Una vez capturada la información, se requiere un paso adicional, como la clonación de tarjetas o el uso de datos robados en transacciones en línea, para cometer fraudes.
Consejos sencillos y eficaces para proteger los datos contra golpes de NFC y RFID:
· Establecer límites de pago bajos: al fijar un límite bajo en las transacciones sin contacto de una tarjeta de crédito o débito, se puede minimizar el daño. Si un delincuente accede a los datos, el impacto financiero será mucho menor.
· Autenticación biométrica o PIN: Esta capa de seguridad impide que terceros realicen pagos sin consentimiento, incluso si se tiene acceso al dispositivo. Es recomendable habilitar métodos de autenticación, como el reconocimiento facial o huella digital, para proteger los pagos sin contacto.
· Uso de tokenización: Las billeteras digitales utilizan un proceso llamado tokenización, que reemplaza los datos reales de una tarjeta con un número virtual (token) para cada transacción. Esto evita que los detalles garantizan que los detalles de una tarjeta no sean expuestos, incluso si los datos son interceptados. Utilizar billeteras digitales que empleen tokenización para aumentar la seguridad de los pagos y proteger su información bancaria.
· Desactivar la función de pago sin contacto (si es posible), y desactivar NFC en tu dispostivo: Si bien las tarjetas contactless son convenientes, algunas personas prefieren desactivar la función de pago sin contacto para mayor seguridad. Si un banco o entidad emisora lo permite, considera desactivar temporalmente la opción de pago sin contacto, especialmente si no se usa con frecuencia.
· Asegurar los dispositivos: Utilizar contraseñas seguras, un patrón de desbloqueo o el reconocimiento facial para dificultar la acción de los delincuentes. Cuantas más capas de seguridad agregues, más difícil será para un delincuente piratear los datos.
· Mantener los dispositivos actualizados: Así se mantienen protegidos contra nuevas amenazas de seguridad ya que las actualizaciones del sistema a menudo incluyen correcciones para fallas de seguridad, que pueden ser explotadas.
· Monitorear las transacciones: De esta forma se puede detectar rápidamente cualquier actividad sospechosa, identificar cargos no autorizados y tomar medidas de inmediato, cómo comunicarse con el banco o bloquear la tarjeta.
· Usar bloqueadores de RFID: Aunque no todos son igual de efectivos y algunos NFC de dispositivos de alta gama pueden penetrar, este tipo de funda puede ayudar a minimizar el riesgo y dificultar que los dispositivos de lectura RFID/NFC capturen datos sin autorización.
“Si bien las tecnologías NFC y RFID son bastante convenientes, también tienen vulnerabilidades que los delincuentes han aprovechado para el robo sin contacto. Mediante el uso de dispositivos portátiles de lectura RFID/NFC, los delincuentes pueden capturar información de tarjetas o documentos que tienen chips RFID sin que la víctima se dé cuenta. Estos dispositivos son pequeños y discretos, lo que permite leer los datos de forma rápida y sin necesidad de contacto físico. Mantenerse al tanto de las novedades e implementar medidas de protección es una tarea esencial para que nuestros equipos y datos estén seguros”, agrega Gutierrez Amaya de ESET.
