ENGINER.eu - Consultoría técnica: Tarjetas bancarias Contactless: Seguridad y Privacidad

domingo, 30 de diciembre de 2018

Tarjetas bancarias Contactless: Seguridad y Privacidad

Supongo que por mi deformación profesional a buscar fallos de seguridad, defectos o mejoras en todo, les quiero comentar algo que me deja perplejo.
A finales de la semana pasada recibí una tarjeta de crédito nueva de mi banco. Ésta tarjeta sustituía a otra que tengo igual con el mismo banco, con fecha de caducidad a finales de año 2019. Me sorprendió ver que se anticipaba la renovación de la tarjeta sin haberla solicitado.
Leyendo la carta con la que venía adjunta, me explican que se trata de una nueva tarjeta con la nueva tecnología "Contactless", o sea que solo la acerco al TPV sin tocarlo y ya pago. Me explican que para que no tenga que esperar a la renovación de mi actual "vieja" tarjeta, me adelantan la renovación sin coste (todo un detalle...). 
A mi personalmente me resulta irrelevante que pueda pagar sin tocar el TPV, creo que mi "vieja" tarjeta ha funcionado muy así muchos años y no me ha causado ninguna molestia.
Si he de decir la verdad, no puedo evitar pensar que esto resulta casi raro, ¿tantas ganas tienen de que tenga esta tarjeta "Contactless"?.
Vamos por partes en un breve análisis:
a) que sea "Contactless" me parece inquietante que por error mío pague la cuenta a otro de delante mío muy próximo... 
b) por lo mismo anterior, aunque se diga que los terminales TPV estan muy bien controlados y no los puede tener cualquier, ya es posible programar un Arduino para leer tarjetas de éste tipo (Ref.: https://www.luisllamas.es/arduino-rfid-mifare-rc522/) y no quiero pensar, que entre otros usos menos formativos, alguien menor preocupado por lo ajeno, desee robar nada de nada, ¿verdad? ;-) (Ojo, lo dijo en voz baja, pues me falta el enlace que lo sustente, pero ya es posible crear una app maliciosa para el móvil con el propósito de robar...).
https://blogs.deia.eus/cavernacibernetica/2016/04/04/tarjetas-contactless-es-seguro-este-sistema/

c) control de presencia... ¿que he dicho?... pues si eso he dicho, CONTROL DE PRESENCIA. Lo he escrito en mayúsculas por que creo que merece su realce absolutamente. Verán, nuestras tarjetas de crédito tienen una antena que ocupa toda la superfície de ella, es MUY grande. ¿Saben que las etiquetas de la ropa o calzado llevan un "chip", bueno, pues es eso mismo.  Les ilustro un ejemplo de antena (hay enlace a la página que lo explica).
http://www.contaval.es/sistemas-identificacion-radiofrecuencia-rfid/
Permítanme que explique como funciona el RFID de forma breve: nuestras tarjetas "Contactless" como las etiquetas de la ropa, son una antena conectada a un chip que dispone de una información guardada, y ese chip no funciona nunca, esta siempre apagado por que no tiene energía. Ahora bien, cuando ese chip se acerca a un TPV o en el caso de la prenda de ropa a un detector, estos emiten una cantidad de energía que es captada por la antena conectada al chip y en ese momento emite los datos que contiene por la misma antena, o sea, los datos que han sido grabados por el banco con nuestro nombre, número de tarjeta, etc., a la antena que tiene el TPV. 
Les ilustro con éste otro enlace como funciona ésta tecnología: http://www.contaval.es/sistemas-identificacion-radiofrecuencia-rfid/
Veamos un momento, mi banco me dice "la tarjeta solo se puede leer a 20 cm de distancia como máximo del TPV"... Vamos por partes, si mi tele-peaje (Tele-Tag o el nombre que tenga en otro lugar) tiene una antena pasiva más pequeña en mi coche y paso a varios metros de la antena receptora del peaje, entonces si mi tarjeta tiene una antena mayor...? efectivamente, nuestras tarjetas solo se leen a 20 cm por que el TPV tiene una potencia de emisión MUY pequeña, la del peaje es mucho más potente. Así, si "alguien" quisiera controlar nuestra presencia, por donde estamos, a donde vamos o donde hemos estado (recuerden otro post que nuestros móviles ya guardan desde el 2013 donde hemos ido, como hemos viajado, la velocidad, etc, gracias por cortesía de Google), lo podrían hacer con antenas más potentes fijas en calles, plazas o incluso móviles portables por los cuerpos de seguridad, según su necesidad. 
Creo que si proporcionalmente vemos que el tamaño de un etiqueta de tele-peaje es de una tercera parte a la de una tarjeta de crédito, estamos hablando de un alcance de decenas de metros.
Es decir, a varias decenas de metros nos podrían localizar o robar, según se tercie.
Hago una aclaración: solo nos podrían robar 20€, que es la cantidad máxima por debajo la cuál el banco no pide el PIN (¿cómo?! y por qué NO?!). Da la sensación de que el dinero ha de "volar" más rápido... demasiado rápido.
¿Qué podemos hacer con lo que sabemos?
a) En primer lugar exigir al banco una tarjeta "normal" sin "Contactless"
b) En segundo lugar, (si se niegan a cambiarla, que efectivamente muchos bancos se niegan), pedir que se active el PIN por debajo de los 20€ también (parece que también es imposible de modificar)
c) Llevar la menor cantidad posible de estas tarjetas en la cartera, ya que si nos la roban, podrán robarnos hasta 20€ sin ningún problema.
d) Comprar estas fundas anti-RFID (ejemplo donde encontrarlas: https://www.amazon.es/antirrobo-tarjetas-seguridad)
e) Llevar o tener memorizado el teléfono de nuestro banco para avisar de la pérdida.
Otro tema igual sin desperdicio: si su móvil tiene NFC, sepa que es lo mismo de lo mismo... pues eso, buena suerte para usted... no mire, le daré también unos consejos:
https://en.wikipedia.org/wiki/Digitalcouragea) No activa jamás el NFC
b) No instale jamás el app "wallet" de su banco para pagar vía NFC como si fuera una tarjeta "Contactless". 
c) Recuerde que si tuviera el "wallet" y el NFC en marcha y le roban el teléfono, no solo le han robado el teléfono, sino bien pudiera ser 20€ y el acceso a su cuenta bancaria (el móvil puede ser un grandísimo chivato, pues San Google le puede "recordar" sus claves de acceso y luego.... ya solo
tiene que hacer una transferencia de varios cientos y miles y confirmarla... con una clave enviada... SI a SU mismo móvil que le han robado... ya saben, ojo con los móviles. (si desea otra funda anti-RFOD para su móvil: https://www.amazon.es/funda)
Por su seguridad y por su privacidad, tenga presente este artículo y actúe con previsión.