La comunicación en campo cercano (NFC) y las tecnologías de identificación por radiofrecuencia (RFID) son innovaciones que han cambiado la forma en la que las personas interactúan con dispositivos y sistemas. Estas tecnologías permiten la comunicación inalámbrica entre dispositivos, lo que facilita no solo los pagos sin contacto, sino también el monitoreo eficiente de productos y los controles de acceso en diversos lugares públicos y privados.
A pesar de su utilidad, estas tecnologías presentan un lado oscuro ya que pueden ser utilizadas para robar información valiosa. Esto es particularmente preocupante en lugares concurridos como eventos deportivos, conciertos, estaciones de transporte público o incluso supermercados, donde la distracción es común y las oportunidades para el robo de datos proliferan.
¿Cómo funciona?
David González, especialista en seguridad informática de ESET Latinoamérica, explica que los sistemas RFID en entornos logísticos son abundantes en su utilización para organizar tarifas, paquetes e inventarios. Estos sistemas permiten no solo la recopilación de estadísticas, sino que también proporcionan información relevante para una gestión eficiente. En el ámbito del retail, RFID se utiliza para identificar distintas prendas de vestir y su localización, acelerando así procesos cotidianos y añadiendo una capa adicional de seguridad.
Por otro lado, el sistema NFC se encuentra comúnmente en dispositivos de pago, como teléfonos móviles y tarjetas de crédito que permiten realizar transacciones sin contacto. También son utilizadas en sistemas de control de acceso, facilitando la entrada a edificios y asegurando la presencia de personas en determinados lugares.
Las tarjetas de proximidad también son típicamente un componente de los sistemas NFC, permitiendo a los usuarios acceder a habitaciones de hotel, apartamentos turísticos y otros alojamientos mediante un simple acercamiento de la tarjeta al lector, lo que mejora enormemente la experiencia del huésped. Incluso es posible integrar el chip NFC en otros objetos, como pulseras o anillos, adaptando así la experiencia a diferentes tipos de usuarios.
González comenta: «Los sistemas NFC son en realidad una categoría dentro de la tecnología RFID, siendo una subespecie de estas técnicas. La diferencia clave radica en que las tecnologías RFID pueden operar y comunicarse a distancias significativamente mayores que la NFC, permitiendo su aplicación en diversas áreas y sectores.”
Se recomienda utilizar una billetera protegida con capacidades NFC/RFID para desactivar el contacto sin contacto del teléfono. Foto:Pexels: Foto de Mikhail Nilov
Amenazas en auge
Con el avance de ambas tecnologías, los delincuentes han comenzado a examinar nuevas formas de aprovechar sistemas de contacto sin contacto, a través de los cuales pueden obtener información de tarjetas o llevar a cabo transacciones no autorizadas.
Un tipo común de fraude es el skimming, donde los delincuentes copian los datos de la tarjeta de la víctima de manera furtiva. Después de recopilar la información, se requiere un paso adicional, por ejemplo, el clonado de la tarjeta o el uso de los datos robados para realizar compras en línea, creando así un fraude.
El especialista señala que «Un estafador puede utilizar un lector NFC o RFID para registrar la información de una tarjeta de contacto sin contacto si se acerca demasiado al dispositivo. Aunque los datos robados no suelen incluir el PIN, algunos atacantes son capaces de hacer compras en línea utilizando esta información en transacciones de baja seguridad.”
Las billeteras con bloque RFID pueden ser una inversión preventiva, así como envolver la tarjeta en una película protectora. También es aconsejable activar notificaciones en tiempo real sobre las compras realizadas, emplear tarjetas virtuales o temporales para transacciones en línea y monitorear constantemente las actividades de la cuenta.
Otro tipo de ataque conocido es el ataque de relé, donde un atacante intercepta la señal entre una tarjeta NFC y un punto de venta, haciendo creer que la tarjeta está disponible en una ubicación diferente, permitiendo así pagos que el propietario no advertirá.
Para mitigar este tipo de amenazas, es recomendable utilizar billeteras diseñadas para NFC/RFID, desactivar el contacto sin contacto desde el teléfono cuando no se usa, y emplear autenticación biométrica para los pagos (como huellas dactilares o reconocimiento facial).
Los expertos en ciberseguridad también advierten sobre el peligro de la piratería de billeteras electrónicas o el robo de datos a través de pagos móviles. Esto ocurre cuando los ciberdelincuentes aprovechan vulnerabilidades en aplicaciones de pago (como Apple Pay o Google Pay) o interceptan datos en redes públicas de WI-FI. Esto les proporciona un acceso no autorizado a las cuentas de los usuarios.
En este contexto, Kaspersky ha señalado que ciertos criminales adquieren múltiples teléfonos inteligentes, crean cuentas de Apple o Google y evitan instalar aplicaciones de pago. Si una víctima accede a un sitio web malicioso, se verá forzada a vincular su tarjeta o realizar un pequeño pago obligatorio, lo que requiere que introduzca sus datos de tarjeta y confirme la propiedad mediante un código de uso único (OTP).
El skimming es una técnica de fraude donde los datos de la tarjeta son copiados ilegalmente. Foto:Pexels: Foto de tecnología IMin
A pesar de que las tarjetas no reflejan las tarifas de inmediato, la información se transfiere de manera casi instantánea al cibercriminal, quien busca vincularla a una billetera móvil en su teléfono. “Para acelerar este proceso, los atacantes utilizan software especializado que recoge los datos de la víctima y crea una imagen de la tarjeta que replica perfectamente. Luego, simplemente toman una instantánea de esa imagen para usarla en Apple Pay o Google Wallet.”
Para combatir estos métodos fraudulentos, es crucial mantenerse alerta. Se recomienda retirar dinero antes de poder usarlo, así como no almacenar grandes sumas en tarjetas virtuales, recargándolas justo antes de realizar una compra en línea. Si es posible, y el emisor de la tarjeta lo permite, también se sugiere desactivar los pagos sin contacto y la opción de pago en efectivo asociada con estas tarjetas. Además, es importante estar alerta a las transacciones en curso.
Otra táctica de robo se basa en la instalación incorrecta de lectores NFC. Este comportamiento implica que un estafador coloca un lector NFC alterado en conexiones de pago o cajeros automáticos que recopilan información de tarjetas o teléfonos móviles de los usuarios desprevenidos.
Por lo tanto, siempre es esencial verificar que la terminal de pago no haya sido manipulada o alterada. Además, cuando sea posible, preferir el uso de tarjetas con chip y PIN en lugar de NFC, y no realizar pagos de NFC en terminales desconocidas.
La amenaza del phishing mediante NFC también es relevante; los delincuentes buscan engañar al usuario para que acerque su dispositivo móvil a un chip NFC malicioso. Kaspersky advierte que, al hacer esto, los usuarios pueden ser redirigidos a sitios web de phishing, iniciar acciones no deseadas en sus dispositivos o incluso descargar malware.
Los ladrones podrían establecer lectores falsos en áreas de alta afluencia como estaciones de transporte, cafés o tiendas, causando daños significativos. Como medida de seguridad, se aconseja evitar escanear inscripciones NFC en lugares sospechosos y configurar el dispositivo móvil para solicitar confirmación antes de abrir cualquier enlace NFC.
“El número de víctimas por este tipo de ataques varía de un país a otro, aunque es evidente que ha habido un aumento en el fraude relacionado con tarjetas sin chip, especialmente en períodos de alto consumo como la Navidad, el Día de San Valentín o el Año Nuevo. Esta tendencia ha sido respaldada por David González, especialista en seguridad informática de Eset Latinoamérica.
Diego Barrio de Mendoza
El Comercio (Perú) – GDA
Con información adicional de El TIempo.