Los riesgos de las tarjetas ‘contactless’

Tener una tarjeta bancaria contactless, o sin contacto, evita que el usuario tenga que pasar su tarjeta por datáfonos al hacer el pago en el establecimiento o recordar el PIN (cuando los pagos sean inferiores a 20 euros aproximadamente), y también es más cómodo para los vendedores que reciben el pago, sin embargo, Kaspersky, a pesar de que recomienda su uso, también quiere avisar de los problemas de seguridad que puede suponer a sus usuarios.

Estas tarjetas funcionan con la tecnología NFC, cuentan con un microchip integrado y una antena que responde a las órdenes del terminal de pago mediante una gama de frecuencia de 13.56 MHz. Y advierten desde Kaspersky que “el alcance en la transmisión NFC es muy corto, por lo que la primera línea de defensa es física”, eso supone que el pago no puede hacerse de forma clandestina puesto que hay que acercar la tarjeta al lector.

Otro problema que ven desde la empresa de seguridad es que “en muchos países, las tarjetas compatibles con NFC están en todas las carteras, por lo que, en aquellas regiones del mundo donde sea una tecnología muy extendida, probablemente también se comenzarán a desarrollar ataques por aprte de cyberdelincuentes.

Por otro lado, destaca un informe de Kaspersky que “las transacciones contactless están protegidas por el mismo estándar EMV que protege a las tarjetas de pago tradicionales que están equipadas con un chip EMV“. Sobre esta tecnología, los analistas de seguridad han mencionado varias veces su preocupación por el sistema EMV; aunque aún no se han escuchado casos de hackeo de estas tarjetas. Dicen los expertos que “en el caso de las transacciones contactless, no siempre es necesario el código PIN, por lo tanto los sistemas de protección están limitados a claves de cifrado generadas por una tarjeta y un terminal”.

Otra línea de defensa es la limitación del valor de las transacciones de pagos contactless. Este límite se codifica en los ajustes del TPV, de manera que sea adecuada al banco, basado en recomendaciones obtenidas por los sistemas de pago. Recuerdan desde Kaspersky que en España, a cantidad máxima suele ser 20 euros.

Sin embargo, este sistema tiene un inconveniente. Hace casi un año, otro equipo de investigadores británicos informó de la existencia de una vulnerabilidad en el sistema de seguridad de las tarjetas contactless de Visa y era que al elegir otra divisa que no fuera la libra, se podía superar el límite.

La firma de seguridad recomienda a los usuarios que eviten que otras personas vean el número PIN o la información de la tarjeta, además de instalar un antivirus, activar las notificaciones de los movimientos bancarios por mensaje de texto y avisar al banco en cuanto se observe alguna actividad sospechosa.