Las tarjetas de pago sin contacto (contactless), que permiten realizar compras tan solo acercando la tarjeta al terminal de pago de punto de venta de los comercios (TPV/datáfonos), son un fenómeno de reciente aparición en Europa, que ya ha está generando una nueva categoría de ladrones: los carteristas 2.0.
Millones de titulares de tarjetas de crédito y débito están en riesgo de que sus datos personales sean extraídos por ladrones expertos, que explotan una debilidad de la tecnología de pago sin contacto, llamada NFC (Near Field Communication), un sistema de comunicación inalámbrico de corto alcance.
En Reino Unido, país en el que las tarjetas contactless llevan ya en circulación cinco años, su uso se ha popularizado por las ventajas de rapidez que ofrecen en las transacciones comerciales. Basándose en la experiencia de uso en territorio británico, investigadores del Centre for Cybercrime and Computer Security asociado a la Universidad de Newcastle alertaron de la brecha de seguridad que suponen estas tarjetas, frente al nuevo sistema de chip integrado.
En concreto, los investigadores alertaban en un estudio de campo, de que los números de la tarjeta y los datos personales contenidos en la misma pueden ser leídos casi al instante por un dispositivo remoto, simplemente acercado a la cartera del incauto ciudadano, usando simplemente un smartphone modificado y con el software pirata adecuado.
Una juerga de 100 euros
El sistema de pago sin contacto se enfoca a las pequeñas compras, ya que está limitado a operaciones en las que el importe de la transacción sea menor a 20 euros. Al superar este importe, el cliente deberá introducir su PIN en el terminal para finalizar la compra.
Pero el estudio realizado por el centro adscrito a la Universidad de Newcastle destaca además, que cualquiera que robe de forma tradicional una de las nuevas tarjetas sin contacto, se puede correr una pequeña juerga con cinco pagos de 20 euros, la cantidad máxima en una jornada que obliga a poner el PIN al usuario.
Pero la teoría se demuestra con la práctica, así que un equipo del Centre for Cybercrime and Computer preparó un smartphone para robar datos de las tarjetas contactless, con elementos comprados en Internet por menos de 30 euros.
El experimento resultó satisfactorio para el carterismo 2.0, ya que con el smartphone modificado comprobaron cómo se copiaban facilmente los detalles de las tarjetas de pago sin contacto. Además, el móvil trucado permitía también acceder a las últimas diez operaciones realizadas en la cuenta de la tarjeta hackeada.
Guante blanco en dos segundos
Simplemente manteniendo el smartphone cerca de una cartera, por ejemplo en el Metro, pudieron descargar los datos de la misma en dos segundos, lo que alimenta el temor de que esta tecnología sea explotada por los carteristas en cualquier una multitud o simplemente realizando un discreto barrido cerca de cualquier transeunte.
La víctima del robo no tendría ni idea de que sus datos habían sido robados hasta ver el estado de su cuenta bancaria, mientras que el amigo de lo ajeno podría ya estar usando la información robada para hacer compras online en portales como Amazon, que no piden un PIN para la mayoría de las compras.
Con el nuevo sistema de pago, la principal ventaja que se logra es que los consumidores ahorren tiempo, y los comercios eviten hacer esperar a los clientes, ya que acercar la tarjeta al datáfono es mucho más facil y ágil que el pago convencional. El problema es que los ladrones también se acerquen a los clientes, sin posibilidad de devolución que valga.
El último caso: Al presidente de PayPal le roban los datos de la tarjeta de crédito y se van de compras
El presidente de PayPal, David Marcus, ha anunciado que los detalles de su tarjeta de crédito han sido robados y que la información se ha utilizado para gastos fraudulentos.
Así lo ha anunciado en Twitter, donde ha explicado que cree que los delincuentes copiaron la tarjeta en el hotel o en un comercio que visitó durante un viaje reciente a Reino Unido. «La clonaron y luego se fueron de compras», ha escrito el ejecutivo. Marcus ha señalado que su tarjeta de crédito cuenta con chips EMV, un sistema más seguro que se usa en Europa, pero que eso no impidió que se robaran los datos y se utilizaran para transacciones fraudulentas.
Según el presidente de PayPal, el robo se produjo gracias a un »skimmer», un dispositivo que se fija en el terminal de pago que secretamente retiene la información de una tarjeta cuando se pasa por la máquina. Marcus ha aprovechado para recalcar que esto «no hubiera pasado si el comerciante hubiera aceptado PayPal como forma de pago».