Tag Archive: NFC


Los ‘cibercarteristas’ pueden robar de tu tarjeta NFC colando un ‘app’ en tu Android

Filed under: # Todas las categorías, Noticias generalesDeja un comentario
24 de marzo de 2015

creditcarjpg_EDIIMA20150306_0521_13

Con las nuevas tarjetas que incorporan tecnología NFC para realizar micropagos, un ‘cibercaterista’ podría estar birlándonos mientras nosotros nos entretenemos con una ‘app’ aparentemente inofensiva que hemos descargado. Quién iba a decir que, de tapadillo, esa aplicación iba a mandar los datos de nuestra tarjeta de crédito a algún amante de lo ajeno.

Cada día nos lo ponen más fácil. Si mucha gente ya no llevaba encima un solo céntimo porque en la cartera descansaba la tarjeta, ahora ni siquiera es necesario introducir el plástico en un lector o pasarlo por la ranura: con acercarla al aparato, es suficiente. Así funciona la tecnología NFC, que permite transmitir datos entre dos dispositivos sin necesidad de contacto, solo por aproximación. Muy práctico, pero las reglas del juego en materia de seguridad también han cambiado.

Si antes nos andábamos con cuidado por si a los carteristas les daba por llevarse lo que no les pertenecía, ahora podríamos no enterarnos siquiera de que alguien nos está robando. Si el carterista se ha convertido en un ‘cibercarterista’ y ha decidido sacar partido a las vulnerabilidades de NFC, probablemente no nos percatemos de nada. Sería suficiente con que nuestro móvil estuviera infectado con alguna aplicación maliciosa y actuase como aliado de los mangantes.

Así lo han demostrado los españoles José Vila y Ricardo J. Rodríguez, que han impartido una ponencia al respecto en el congreso de seguridad informática Rooted CON. Su propósito no era otro que destripar la tecnología NFC, sus distintas capas, para comprobar si podían hacerse con cierta información de valor. “Se suponía que era posible, y lo que hemos hecho es llevarlo a la práctica”, cuenta Ricardo, doctor e ingeniero en Informática por la Universidad de Zaragoza que actualmente trabaja para la Universidad de León.

Estos dos investigadores han descubierto que, en las actualizaciones más recientes de Android, es posible que un ‘smartphone’ detecte una tarjeta NFC y transmita la información a otro teléfono para que se pueda hacer pasar por ella.

Si alguien con no muy buenas intenciones consigue que descargues una ‘app’ infectada con su ‘malware’, podría copiar buena parte de la información de tu tarjeta de crédito. » Podríamos robar información de carácter personal, desde el número de la tarjeta hasta el titular de la misma, e incluso la fecha de caducidad, que son los datos que se transmiten por defecto cuando tú estás leyendo una tarjeta en NFC», explica Ricardo. Se escapa el código de verificación (CCV) y poco más.

Toda esa información podría enviarse a un segundo ‘smartphone’ (vía Bluetooth, wifi o 3G) para que este se haga pasar por la tarjeta de crédito al acercarlo a un punto de pagos móviles, y realizar así ciertos cargos en la cuenta bancaria asociada a la tarjeta.

Así es como dos ‘smartphones’ maliciosos se pueden aliar en lo que se conoce como un ataque de ‘relay’ (o de retransmisión). Mientras uno capta la información y la envía, el otro hace las veces de tarjeta replicada y puede efectuar pequeñas compras al pasar sobre un datáfono.

Según Rodríguez, el máximo que se podría cargar en la cuenta corriente de la víctima es de 20 euros en el caso de España; algo más en otros países. Además, quien nos birlase la tarjeta no podría hacer todos los pagos que quisiera. Tal y como detalla Ricardo, «los bancos metieron un mecanismo adicional de seguridad. Hay un número de veces limitado en el que puedes hacer compras, de forma consecutiva, sin introducir el código PIN».

Tal y como nos cuenta este ingeniero informático aragonés, los ‘relay’ no son nuevos. «Estos ataques llevan investigándose desde 2008 a nivel académico; lo novedoso es que ahora Android, con sus últimas versiones, permite que este tipo de ataques sean reales. Antes no era factible, teníamos que hacer ciertas modificaciones. Se podía, pero no por defecto», nos explica. El dispositivo debía modificarse para obtener acceso ‘root’ (a la raíz del sistema operativo), un procedimiento relativamente sencillo pero que muy pocos usuarios aplican en sus móviles. El número de potenciales víctimas era, por tanto, muy reducido.

Ahora, sin embargo, basta con que el ‘smartphone’ que tiene el cometido de leer la tarjeta de crédito esté equipado con Android 2.3. y el que tiene que replicarla tenga KitKat 4.4. «Tampoco hace falta que sean nuevos modelos», asegura Ricardo.

Aunque sea una actualización de Android la que hace posible el ataque, el investigador afirma que no es culpa de Google. A medida que el sistema operativo móvil de la compañía – de código abierto – se va desarrollando, se incorporan nuevas funcionalidades más avanzadas. «La tecnología NFC define tres modos de operación. El modo lector-escritor, el punto a punto y el de emulación. Lo que ocurre es que las primeras versiones de Android solamente se podían trabajar con modo lector-escritor o modo punto a punto. Fue a partir de la versión KitKat 4.4 cuando abrieron el modo HC o emulación».

Tras su hallazgo, Rodríguez y Vila se han puesto en contacto con los bancos para informarles de que existen estos resquicios en la seguridad de sus servicios, por si consideran oportuno tomar medidas. Si bien es cierto que, a juicio de Ricardo, si de lo que se trata es de agilizar el proceso de pago, cuanta más capas de seguridad se pongan más lento será. « Si quiero que esto sea rápido y estoy insertando protocolos de seguridad, estos van a hacer que sea más lento y, por lo tanto, menos atractivo para el usuario», asegura. El difícil equilibrio entre simplicidad y seguridad, eterno dilema de un programador de ‘software’.

En cualquier caso, existen ya ciertas medidas de seguridad que pueden evitar este tipo de triquiñuelas. Ciertos mecanismos adicionales de verificación, por ejemplo, y el propio principio de proximidad que es clave en la tecnología NFC (impidiendo que los pagos se realicen desde un lugar distinto al que se encuentra el ‘chip’ de la tarjeta).

Con el método expuesto por Rodríguez y Vila, un juego entre dos teléfonos móviles que se alían, la distancia no supone una limitación relevante. Sin embargo, si además de acercar la tarjeta al aparato hiciera falta introducir alguna clave secreta, se podrían prevenir este tipo de acciones. ¿También esta clave se la acabarán saltando? Probablemente, pero la seguridad es una carrera entre los ‘malos’ y los ‘buenos’ y el premio, desgraciadamente, es tu dinero.

Fuente | Hojaderouter

Tags: , , , , , , ,
Comentarios

¿Es la seguridad el tema pendiente de la tecnología NFC y la razón por la cual Apple no la implementa?

Filed under: # Todas las categoríasDeja un comentario
12 de octubre de 2012

Seguramente recuerdes que Phil Schiller explicó, nada más presentar el iPhone 5, que la tecnologíaNFC (desde su punto de vista) no era la solución de ningún problema. No  se puede negar es que la tecnología NFC puede resultar muy interesante aunque sea para otros usos.

Uno que se empieza a ver mucho es para sincronización de dispositivos de forma más rápida. Imagina que en lugar de configurar por bluetooth tu teléfono con tu coche, simplemente hace falta tocar el salpicadero con la parte trasera de tu terminal. Y lo mismo para compartir una tarjeta de contacto como las que Moo ya ha empezado a fabricar¿No sería genial?

Pero como siempre hay que saber leer entre lineas, ¿has escuchado alguna vez a Apple hacerle ascos a una tecnología que todo el mundo ya tiene? Lo que pasa es que a la compañía le gusta integrar cosas cuando ya están mascadas (hablando de este tipo de protocolos y tecnologías secundarias) y lo que que “el NFC no es la solución para nada” no se lo cree ni el vecino de Phill.

Pero es que no todo son “maravillas” respecto al sistema NFC, como ya se ha comprobado en más de una ocasión el sistema no es infalible y lo que es peor, su seguridad ha sido puesta entredicho en más de una ocasión. Por lo que integrar un sistema para parear dos dispositivos parece factible, pero lo de realizar pagos con dicha tecnología aún se escapa de las opciones actuales.

No se puede negar que pagar con esta tecnología es bastante curioso, yo mismo cuento con una tarjeta contactless y por un momento parece que te encuentras en una película del futuro cuando para pagar un café únicamente debes de deslizar tu cartera sobre la superficie del TPV.

¿Pero que pasa si te roban la cartera? Pues que amigo mío te la han liado, y mucho. Los pago contactless tienen un límite de 20 libras (en mi caso) y únicamente puedes realizar un máximo de 10 en menos de 2 horas, en caso contrario la tarjeta queda bloqueada. En cualquier caso pueden llegar a ser casi 200 libras que te pueden “robar” sin ningún tipo de seguridad.

Y parece que es este punto el que hace que Apple pare los pies a la tecnología y se lo piense dos veces… claro que esto tendría mucho más sentido si la compañía no se dedicará a patentar cada pocas meses tecnologías relacionadas con los sensores de huellas digitales e incluso que haya comprado la compañía Authentec, relativamente importante, relacionada con el tema.

¿Para que quiere Apple dicha tecnología en sus dispositivos?

La forma más básica de implementación, y que se puede ver reflejada e ilustrada en la última patente relacionada con el tema, es la de gestión de usuarios. Imagina que tu iPhone únicamente puede ser usado por una persona en el mundo: tú.

Dicha implementación parece algo futurista, sobre todo por el hardware extra que conlleva, aunque seguro que es realidad algún día. En cualquier caso la tecnología existe, de hecho la compra de Authentec ha sido un gran paso atrás para algunas compañías como HP, Dell, Lenovo o Fujitsu las cuales licenciaban tecnologías de dicha compañía para implementaciones similares a esta, aunque lógicamente no en un smartphone.

Otra de las ideas que podríamos considerar como relativamente factibles, si es que la tecnología se consigue integrar en un dispositivo como el iPhone, es la de aumentar la seguridad en los pagos mediante NFC. Una forma de aumentar hasta un nivel casi desconocido la seguridad de los pagos.

Imagina que puedes pagar con tu iPhone tu próximas entradas del cine, el proceso sería así: una vez enlazado tu iPhone con la cuenta de tu banco, deberías de deslizar el dispositivo sobre el TPV y posteriormente confirmar el pago con tu huella digital desde el propio iPhone como si del PIN de tu tarjeta se tratase.

Venga vale, ya se que por un momento no queda claro si estoy en Minority Report o simplemente en los cines de mi barrio, pero lo cierto es que aunque falta alguna que otra vuelta de tuerca, todas las tecnologías descritas existe casi en su totalidad.

¿Veremos algún día una integración similar de estas tecnologías en un dispositivo de Apple? Pues pondría la mano en el fuego para decir que si y es que la industria en general (no hablo de Apple, existen muchas más compañías en el mundo) esta empujando muy fuerte para integrar los pagos con este tipo de tecnologías. Sólo hace falta ver como en Inglaterra todos los terminales TPV soportan pagos contactless y lo que es más importantes, es relativamente fácil conseguir una tarjeta compatible con dicha tecnología sin excesivas complicaciones.

Fuente | Applesfera

Tags: , , ,
Comentarios

Tecnología NFC para móvil ¿Seguridad máxima?

Filed under: # Todas las categoríasDeja un comentario
5 de abril de 2011

Dentro de poco tiempo podremos pagar con dispositivos móviles, incluso se estudia la posibilidad de integrar el DNI en la tarjeta SIM de los terminales, y aunque se perfila como un nuevo avance que nos hará la vida un poco más cómoda, lo cierto es que las amenazas de virus en nuestros teléfonos móviles también están incrementando de manera exponencial.

Es muy posible que el próximo año veamos un aumento de los dispositivos móviles que integran tecnología NFC (Near Field Communication). Este avance nos permitirá pagar en comercios y servicios públicos con nuestro móvil, sin la necesidad de usar las antiguas tarjetas. Los dispositivos se convertirán por tanto en una forma de pago virtual que simplificará el proceso de compra. Una entidad financiera respaldará la tarjeta de pago que se integrará en la tarjeta SIM del móvil. Las distintas compañías de teléfono proporcionarán la tarjeta añadiendo nuevas medidas de seguridad en ella. Los comercios contarán con terminales preparados para interpretar la señal de los teléfonos y finalmente, para pagar, el usuario sólo deberá acercar su móvil a menos de 20 centímetros del lector de la tienda, de esta forma se generará un intercambio de datos que el usuario tendrá que autorizar introduciendo un código PIN.

Ante esta noticia se abre un debate, mientras que la mayoría de las ciudades y municipios se plantean ya la integración de estos dispositivos en su vida cotidiana (como el caso de Murcia y Madrid, lugares donde ya se está trabajando para establecer esta forma de pago en el medio de transporte urbano), muchos otros se plantean si este avance es seguro. Y es que, aunque la idea de la tecnología NFC se nos vende como la forma más segura de realizar nuestras compras, asegurando que las tarjetas SIM son una fortaleza para nuestros datos personales, nos encontramos con noticias que anuncian que durante este último mes de Febrero, han aumentado de forma más que considerables los ataques por troyanos en los dispositivos móviles.

La idea es buena, nuestros dispositivos cada día están más abiertos al mundo. Lo que antes nos servía simplemente para comunicarnos con otras personas, ahora se transforma en una ventana sin límite de apertura que nos conduce a cualquier parte del mundo. Hemos registrado muchos avances en muy poco tiempo, y lejos de sentirnos abrumados tenemos la necesidad de integrar todas estas nuevas aplicaciones que aseguran hacernos la vida mucho más fácil. Pero ¿Quién nos asegura que toda esa supuesta seguridad no podrá ser sobrevolada por alguien?

La compañía ESET, dedicada a la seguridad frente a las amenazas informáticas, ha realizado una lista con las amenazas más candentes durante estos últimos meses, y encontramos que los ataques a dispositivos móviles se perfilan como favoritos en el mundo de los piratas informáticos. Durante este último mes ha surgido un nuevo troyano que es capaz de controlar el móvil de forma remota generando lo que se llama redes zombies o botnets (en pocas palabras, los móviles ya no los controlamos nosotros). Unido a esto tenemos también la noticia de que Google se ha visto empujado a borrar más de cincuenta aplicaciones que resultaban maliciosas para los dispositivos. Frente a estas noticias sería absurdo pensar que las amenazas de seguridad móvil van a terminar aquí. Es bastante posible que a medida que la tecnología NFC avance, estas nuevas amenazas crezcan también.

Puede ser que el problema sea que nos olvidamos de que ya no estamos utilizando los antiguos móviles que simplemente hacían llamadas. Ahora contamos con pequeños ordenadores portátiles guardados en nuestro bolsillo. Se abre la posibilidad de acción, pero también aumenta la posibilidad de infección. Por este motivo quizá tengamos que ser un poco más precavidos a la hora de descargar aplicaciones de forma compulsiva o utilizar el bluetooth con mayor mesura. Lo que está claro es que las empresas que trabajan con esta nueva tecnología NFC, tendrán que lidiar con el aumento de virus para móviles y el mal uso que muchos de nosotros hacemos de nuestros dispositivos, solo así podrán dar un resultado fiable y seguro para las nuevos avances en este campo.

Fuente

Tags: ,
Comentarios