Las tecnologías NFC y RFID permiten la comunicación inalámbrica entre dispositivos y facilitar así procesos de pagos, el seguimiento de productos y los controles de acceso. Como es evidente, estas se han vuelto parte de la vida cotidiana. Sin embargo, ahora también son usadas para robar datos importantes como la información bancaria.
MIRA: Perú destaca en regulación de IA, pero tropieza con el viejo truco del phishing
Cómo usamos las tecnologías NFC y RFID
Según explica David González, especialista en seguridad informática de ESET Latinoamérica, los sistemas RFID (Radio Frequency Identification) son útiles en los entornos logísticos para organizar cargas, paquetes e inventarios, recopilando estadísticas e información relevante. También se emplean en tiendas de ropa para identificar las prendas y su ubicación, agilizando el funcionamiento diario y estableciendo una medida extra de seguridad.
En el caso de los sistemas NFC (Near Field Communication), son la base de dispositivos de proximidad tan habituales como los teléfonos móviles y las tarjetas bancarias de pago sin contacto. Lo mismo ocurre con las tarjetas que permiten la entrada de las personas autorizadas a los edificios a través de los sistemas de control de acceso y presencia.
NFC es una tecnología de comunicación de corto alcance que funciona a una distancia de unos 4 cm. (Foto: ESET)
A su vez, las tarjetas de proximidad NFC se emplean para abrir las cerraduras electrónicas de habitaciones de hotel, apartamentos turísticos y alojamientos vacacionales, permitiendo a los clientes acceder a sus estancias de forma cómoda mediante la aproximación de la tarjeta al lector. El chip con los datos identificativos se puede incorporar en otros objetos como pulseras o llaveros, personalizando aún más la experiencia de los huéspedes.
“Así pues, los sistemas NFC, en realidad, forman parte de la tecnología RFID, es decir, pueden considerarse como un subgrupo dentro de las técnicas RFID. La principal diferencia radica en que los componentes RFID pueden operar y comunicarse entre sí a una distancia mucho mayor. Esto hace que se utilicen en distintos ámbitos”, acota Gonzáles.
Amenazas en auge
Con el avance de ambas tecnologías, los delincuentes exploraron nuevas formas de fraude sin contacto en las que capturan la información de las tarjetas RFID, o realizan operaciones sin autorización.
Skimming: hay dispositivos que permiten este tipo de fraude en el que los delincuentes copian los datos de la tarjeta de la víctima. Una vez capturados los datos se requiere un paso adicional como la clonación de tarjetas o el uso de datos robados en transacciones en línea para realizar fraudes.
Según el especialista, “un estafador usa un lector NFC o RFID oculto para capturar los datos de una tarjeta de pago sin contacto cuando alguien la acerca demasiado. Aunque los datos robados no suelen incluir el PIN, algunos atacantes pueden usarlos para compras en línea en tiendas con baja seguridad”.
Como medida de prevención se puede usar carteras con bloqueo RFID o envolver la tarjeta en papel de aluminio. Es recomendable activar notificaciones en tiempo real de las compras, usar tarjetas virtuales o temporales para compras en línea y monitorear las transacciones.
“Relay Attack”: en este caso, un atacante intercepta la señal entre una tarjeta NFC y un terminal de pago, amplificándola para hacer creer que la tarjeta está presente en otro lugar. Esto permite realizar pagos sin que el dueño se dé cuenta.
Se aconseja usar una billetera NFC/RFID protegida, desactivar el pago sin contacto cuando no lo uses, usar autenticación biométrica para pagos (huella o Face ID).
E-wallet Hacking o Robo de Datos en Pagos Móviles: los ciberdelincuentes pueden explotar vulnerabilidades en apps de pago (Apple Pay, Google Pay) o interceptar datos en redes wifi públicas. Pueden realizar pagos no autorizados si consiguen acceso a la cuenta del usuario.
Para contrarrestar esta modalidad se recomienda colocar contraseñas seguras y autenticación en dos pasos (2FA), nunca hacer pagos en redes wifi públicas sin una VPN, usar tarjetas virtuales para transacciones en línea y monitorear las transacciones.
Instalación de lectores NFC falsos: un estafador o ciberdelincuente coloca un lector NFC modificado en terminales de pago o cajeros automáticos. Al pasar la tarjeta o el móvil, captura los datos del usuario.
En este caso, siempre es importante revisar que el terminal de pago no tenga algo sospechoso adherido o modificado. También, se puede usar tarjetas con chip y PIN en lugar de solo NFC cuando sea posible y no aceptar pagos NFC en dispositivos de desconocidos.
Phishing con NFC: una conocida técnica aplicada a la actualidad. El estafador o ciberdelincuente busca engañar al usuario para que acerque su móvil a un chip NFC falso. Por ejemplo, un póster con un chip NFC modificado que redirige a una página maliciosa para después poder instalar malware o robar credenciales.
Lo recomendable es no escanear etiquetas NFC en lugares sospechosos y configurar el teléfono móvil para pedir confirmación antes de abrir enlaces NFC.
“Las cifras de víctimas por este tipo de ataques varía de país en país, aunque es un hecho que hay un aumento de fraudes relacionados con tarjetas sin contacto, especialmente durante temporadas de alto consumo como la navideña, San Valentín o año nuevo por mencionar alguno”, añade el experto de ESET.
Otros detalles a tener en cuenta son los lugares más comunes donde se realiza este tipo de ataques. Podemos mencionar, por ejemplo, eventos deportivos en estadios, conciertos, transportes públicos o hipermercados en fechas especiales.
