El pago electrónico a través de tarjetas 'contactless', o que no requieren contacto, se ha disparado en los últimos años y los españoles no se han quedado ni mucho menos atrás. De hecho, nueve de cada diez españoles ya utilizan esta opción cuando pagan con tarjeta, según un informe de Minsait Payments, filial de Indra, que posiciona a España como el país europeo en el que más ha aumento su uso.
Entre las razones de la creciente popularidad del pago contactless destacan principalmente su rapidez y comodidad, pero ¿es un método seguro?. ESET ha puesto el foco sobre esta cuestión realizando un análisis sobre la seguridad de los pagos NFC que concluye advirtiendo que no están exentos de riesgos, por lo que ha instado a tomar varias medidas para evitarlos. Antes de abordar los peligros que implican los pagos NFC y las medidas que ayudan a contrarrestarlos conviene conocer las claves de esta tecnología.
Según explica la compañía de ciberseguridad en su análisis, la "comunicación de campo cercano" o NFC (Near Field Communitation), derivada de la identificación por radiofrecuencia (RFID), surgió como un nuevo estándar de pago en los últimos años siendo una evolución de las tarjetas con chip, las cuales representaron un "avance significativo" respecto a las tarjetas bancarias con banda magnética al introducir cifrado de datos, autenticación mediante PIN y una mayor seguridad. No obstante, las tarjetas con chip seguían presentando riesgos de clonación o robo de información, si bien eran más desafiantes para los criminales en comparación con las tarjetas únicamente magnéticas.
Con la tecnología NFC, ESET señala que las tarjetas con chip se han vuelto más útiles, ya que en lugar de tener que introducirlas en terminales de pago y cajeros automáticos, basta con tocar un dispositivo de pago habilitado para NFC para realizar un pago. Además, resalta que los teléfonos móviles y otros dispositivos también permiten el uso de esta tecnología para realizar pagos a través de servicios como Apple Pay o Google Pay. Sin embargo, subraya que el NFC tiene un corto alcance, por lo que no es práctico para grandes transferencias de datos.
"A diferencia del Wi-Fi o del Bluetooth, es más lento y requiere que los dos dispositivos que se comunican estén muy cerca. Esto tiene cierto parecido con las transferencias de archivos por infrarrojos del pasado, que funcionaban de forma similar, pero eran mucho menos cómodas y no funcionaban bien todas las veces. Había que ser muy preciso con la colocación de los teléfonos, y los sensores tenían que casi tocarse", indica Josep Albors, director de Investigación y Concienciación de ESET España.
¿Es segura la tecnología NFC?
Como recalca ESET, la principal aplicación de la tecnología NFC es facilitar las transacciones sin contacto, por lo que debería ser totalmente segura. En esta línea, apunta que, debido a la gran proximidad necesaria para su funcionamiento, es mucho más difícil de interceptar que otros métodos de comunicación inalámbrica, pero que eso no significa que sea imperceptible para algunas formas de ciberataques. Según la compañía, uno de los más comunes cuando se trata de comunicaciones inalámbricas son los ataques man-in-the-middle (MITM).
"Para que funcionen, tiene que haber alguna herramienta (equipo, sitio web falso, correos electrónicos) que intercepte la comunicación entre dos dispositivos/usuarios, que luego descifre y transmita los datos necesarios al atacante. Esta es una de las razones por las que el uso de Wi-Fi públicas puede resultar peligroso. No cuesta mucho montar un punto de acceso falso con el mismo nombre que la ubicación de una empresa/ciudad, y como la gente tiende a conectarse a ellos, un delincuente puede comprometer fácilmente la comunicación procedente de los dispositivos que utilicen esos puntos de acceso", avisa Albors.
Aunque técnicamente los ataques MITM son una de las grandes amenazas de los pagos NFC, no son tan viables por varias razones, explica ESET. En primer lugar, porque para "burlar" la comunicación NFC, un lector tiene que acercarse bastante a la tarjeta/teléfono para poder leer los datos necesarios. Y, en segundo lugar, porque el delincuente también necesita alguna herramienta especial para hacerlo.
Por otro lado, potencialmente, los terminales de pago pueden verse comprometidos. Sin embargo, a diferencia de las tarjetas normales, la comunicación NFC está cifrada y tokenizada, lo que significa que una tarjeta difícilmente puede duplicarse gracias a que su información está oculta, apunta ESET.
La firma de ciberseguridad también ha analizado las funciones NFC presentes en los teléfonos móviles y asegura que ofrecen "cierta seguridad añadida", ya que para autorizar el pago requieren medidas adicionales de protección como son introducir el PIN, la huella dactilar o el escaner facial. Además, apostilla que ambos servicios de pago solo funcionan cuando están activados, por lo que hay menos posibilidades de que alguien inicie un pago tuyo sin más, y que al utilizar Apple o Google Pay no se transmiten los datos de la cuenta y, en caso de que se pierda el dispositivo, es bastante sencillo desactivar estos servicios de forma remota.
Medidas para hacer más seguros los pagos contactless
Como hemos comentado, ESET también ha destacado algunas de las principales medidas que se deben tener en cuenta para que los pagos sin contacto sean más seguros:
- Prueba los bloqueadores RFID: se trata de pequeñas fundas para tarjetas o carteras que crean una barrera entre su tarjeta y el mundo exterior, mitigando los posibles ataques de skimming.
- Establezca límites de pago bajos: esto puede hacerse a través de su banco o de su software, en el que puede establecer un límite máximo sobre cuánto puede comprar a través de pagos sin contacto.
- Utiliza los pagos por teléfono: aunque estas aplicaciones pueden tener sus defectos, siguen siendo un poco más seguras que las tarjetas sin contacto, gracias a los requisitos adicionales de autenticación.
- Omita los smartwatches: debido a su menor seguridad, habilitar los pagos en los smartwatches podría plantear problemas potenciales dependiendo del modelo utilizado.
- Obtén una tarjeta de viaje: Si le preocupa el tema de los pagos exprés, trate de obtener una tarjeta de viaje recargable, en lugar de utilizar su propia tarjeta de crédito/teléfono como medio de pago de los billetes.