Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
▼
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
▼
marzo
(Total:
36
)
- Doble factor de autenticación o verificación en do...
- CopperheadOS es el fork abierto ultraseguro de And...
- Cabeceras de Seguridad HTTPS en el servidor web Ng...
- Lexar presenta una tarjeta microSDXC UHS-I de 200GB
- Gigabyte presenta la nueva GTX 960 Xtreme Gaming
- El FBI logra hackear el iPhone de San Bernardino
- 1 de cada 4 internautas españoles utiliza adblockers
- Aplicaciones bancarias móviles: la mayoría no apru...
- Las nuevas tarjetas contactless NFC no son tan seg...
- Apple criticada tras “burlarse de la gente pobre”
- Cómo tener dos cuentas a la vez de WhatsApp, Faceb...
- Cellebrite, la compañía israelí que ayuda al FBI a...
- La piratería de la TV de pago con CardSharing
- Kali Linux 2.1.2 para dispositivos ARM ya es compa...
- La herramienta BinDiff es ahora gratuita
- Surprise, un ransomware que se instala a través de...
- Empleados de Apple amenazan con dimitir antes de s...
- Un estudiante se imprime un aparato dental en 3D p...
- El propietario de una conexión wifi en un bar no e...
- ProtonMail, el correo cifrado, ultraseguro y libre...
- Metaphor, un exploit basado en Stagefright, secues...
- Así obtuvo las fotos íntimas de famosas el hacker ...
- Google Nexus 5X y Nexus 6P bajan de precio
- Navega de forma anónima (VPN + TOR) con un router ...
- PiDrive, el disco duro económico de 314 GB para la...
- AMD anuncia Radeon Pro Duo, la tarjeta gráfica más...
- El error ortográfico de un delincuente le impide r...
- Verizon pagará 1,2 millones a las autoridades esta...
- Facebook soluciona fallo que permitía hackear cuen...
- KeRanger es el primer ataque de ransomware para Ma...
- Recopilación comandos Windows con interfaz gráfica
- SSD de 16TB de Samsung ya está a la venta a un pre...
- Cazan a Kanye West, defensor del copyright, con un...
- DROWN: vulnerabilidad crítica en sitios HTTPS con ...
- FBI reconoce un error al manejar el iphone del aut...
- Facebook activa la posibilidad de emitir vídeo en ...
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
237
)
manual
(
222
)
software
(
206
)
hardware
(
196
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Las nuevas tarjetas contactless NFC no son tan seguras como crees
lunes, 28 de marzo de 2016
|
Publicado por
el-brujo
|
Editar entrada
Las tarjetas 'contactless' de débito y crédito ya están entre nosotros. Sin embargo, varias pruebas y estudios han demostrado que son mucho más inseguras de lo que parecen
NFC son las siglas en inglés de Comunicación en el Campo Cercano. Esta expresión no se refiere literalmente a la distancia física a la antena, sino a una región del campo de radiación de una antena que recibe el nombre de Campo Cercano Reactivo.
Será un gesto cada vez más cotidiano: al pagar, ya no meteremos la tarjeta de crédito por la ranura del datáfono, sino que la acercaremos unos centímetros al dispositivo de pago y, sin contacto físico (de ahí lo de 'contactless'), vía comunicación inalámbrica, pagaremos. Si la compra es menor de 20€ no tendremos ni que poner el PIN. Rápido, fácil, indoloro pero... ¿seguro? No tanto como parece.
NFC son las siglas en inglés de Comunicación en el Campo Cercano. Esta expresión no se refiere literalmente a la distancia física a la antena, sino a una región del campo de radiación de una antena que recibe el nombre de Campo Cercano Reactivo.
Será un gesto cada vez más cotidiano: al pagar, ya no meteremos la tarjeta de crédito por la ranura del datáfono, sino que la acercaremos unos centímetros al dispositivo de pago y, sin contacto físico (de ahí lo de 'contactless'), vía comunicación inalámbrica, pagaremos. Si la compra es menor de 20€ no tendremos ni que poner el PIN. Rápido, fácil, indoloro pero... ¿seguro? No tanto como parece.
"Alrededor del 80% de nuestras tarjetas ya son 'contactless' y el objetivo es que a finales de 2016 sea el 100%", asegura a Teknautas un portavoz de ING Direct. La misma situación se comparte en el resto de entidades financieras españolas, decididas a acabar el año con esta nueva forma de pago convertida en estándar. Pero algunos no lo ven tan claro, como el profesor de la Universidad de Zaragoza, Ricardo J. Rodríguez, quien lleva años investigando los posibles fallos del 'contactless'.
El año pasado, Rodríguez y su alumno José Vila demostraron en diversas conferencias de seguridad informática cómo una 'app' maliciosa en el móvil, con capacidad para "leer" de forma inalámbrica los datos de nuestra tarjeta, podría robarlos. Por ejemplo, si móvil y tarjeta estuviesen en el mismo bolsillo. Después, la 'app' mandaría los datos a otro 'smartphone', desde el que se pagarían compras por cantidades que no necesitan PIN.
En una prueba de concepto, consiguieron pagar en un terminal punto de venta (TPV) TPV en Madrid con una tarjeta de crédito ubicada físicamente en Nueva York, a más de 8.000 km, donde Rodríguez estaba dando la charla. La demostración provocó expectación mundial y, aunque algunos fabricantes de tarjetas trabajan en solucionarlo, a día de hoy el ataque sigue siendo viable. "Las tarjetas de crédito NFC son parcialmente seguras", explica a Teknautas el investigador. El problema reside en el protocolo de comunicación de la tarjeta, llamado NFC por ser las siglas en inglés de "Comunicación en el Campo Cercano".
Miguel Herrero, del Instituto Nacional de Ciberseguridad (INCIBE), lo explica muy bien: "En el campo cercano se produce un fenómeno de inducción magnética entre las dos antenas de los elementos que se desean comunicar", en este caso el TPV y la tarjeta. Esta tiene la antena embutida dentro, no se ve a simple vista, sólo a través de rayos X. La antena NFC se puede meter también en teléfonos móviles o pulseras, dispositivos que ya están bastante maduros para funcionar como métodos de pago".
El campo de acción de una tarjeta NFC se limita, según Herrero, a unos 20 centímetros, "10 centímetros en la práctica". Esto obliga al delincuente que quiera robar datos de la tarjeta a acercarse mucho a la víctima, en entornos de masificación como el tren en hora punta o una discoteca. Pero, si lo consigue, tiene vía libre porque el problema de estas tarjetas es que "son simpáticas con los desconocidos", bromea Ricardo J. Rodríguez. O sea: sus datos no viajan cifrados y los dan a cualquier 'app' o dispositivo que se los pidan
En un informe reciente, el CERT gubernamental español avisa claramente sobre este problema: "La tecnología NFC es insegura tal y como se ha demostrado en multitud de trabajos científicos, en donde se han relatado sus problemas de seguridad inherentes que son, básicamente, la escucha secreta o a escondidas, la alteración de la información transmitida y los ataques de retransmisión".
Según el informe, un dispositivo equipado con antena NFC puede leer y copiar los siguientes datos de una tarjeta de crédito también NFC: "Número de tarjeta, fecha de expiración, titular de la tarjeta e histórico de transacciones realizadas con la tarjeta, no sólo mediante NFC sinó también las verificadas con el chip de la tarjeta", algo que entra ya en el terreno no sólo del robo sino también de la violación de la privacidad.
Con esta información es posible clonar la tarjeta y usarla en compras menores, como sugiere Rodríguez: "Una tarjeta clónica para sacar el café en la máquina, subir al metro o fichar en la oficina". Cabe aclarar, dice el informe, que "los fabricantes de tarjetas están limitando al máximo la información que se filtra por NFC, evitando que las nuevas tarjetas emitan el titular y el histórico".
Otro tipo de ataque que detalla el informe del CCN-CERT español sería la modificación de la información que se transmite entre la tarjeta y el TPV: algunas triquiñuelas podrían conseguir abortar la transacción o bloquear la tarjeta.
Por último, las tarjetas NFC son vulnerables a ataques de "relay" como el demostrado por Rodríguez y Vila. En un convención en Nueva York, Ricardo robó en directo los datos de una tarjeta NFC con una 'app' en su móvil y los mandó al móvil de Pepe, en Madrid, quien con este móvil realizó un pago de un euro en el TPV de su oficina. Así, una tarjeta que teóricamente sólo puede pagar a 10 centímetros de distancia, pagó a 8.000 kilémetros.
No hay banco consultado que no asegure que estamos ante una tecnología "madura y segura". Así lo afirman en ING Direct: "Se trata de buscar un balance entre la ventaja que se ofrece al cliente, su experiencia, la mejora de un servicio, y el posible fraude". O en el blog de BBVA: "La tecnología 'contactless' es segura y además existen mecanismos para aumentar la seguridad de tus tarjetas".
El investigador zaragozano Ricardo J. Rodríguez añade, respecto a los ataques de "relay" que demostró que eran posibles: "Las tarjetas nuevas, al menos las de Mastercard, están empezando a incorporar mecanismos de protección, como los protocolos de acotamiento de distancia que permitirían poder detectar cuándo una tarjeta NFC se está leyendo de manera ilegítima. Sin embargo, esto puede ser complicado llevar a la práctica ante la cantidad de dispositivos móviles NFC que abundan en el mercado, o las propias apps de determinados móviles que "realmente" están haciendo ellas mismas un relay con el banco".
¿Usa Ricardo J. Rodríguez tarjetas de crédito 'contactless'? "Sí, me parecen muy útiles y es una tecnología que ha venido a quedarse, e irá a más en los próximos años. Quizá hasta desaparezcan las tarjetas de crédito y llevemos únicamente el móvil con capacidades NFC o... ¿el reloj inteligente con NFC?".
Fuentes:
http://www.elconfidencial.com/tecnologia/2016-03-28/tarjetas-contactless-debito-seguridad-bancos_1173539/
https://www.incibe.es/blogs/post/Seguridad/BlogSeguridad/Articulo_y_comentarios/tecnologia_NFC
El año pasado, Rodríguez y su alumno José Vila demostraron en diversas conferencias de seguridad informática cómo una 'app' maliciosa en el móvil, con capacidad para "leer" de forma inalámbrica los datos de nuestra tarjeta, podría robarlos. Por ejemplo, si móvil y tarjeta estuviesen en el mismo bolsillo. Después, la 'app' mandaría los datos a otro 'smartphone', desde el que se pagarían compras por cantidades que no necesitan PIN.
Expertos en seguridad consiguieron pagar en un TPV en Madrid con una tarjeta de crédito 'contactless' ubicada en Nueva York, a más de 8.000 km
En una prueba de concepto, consiguieron pagar en un terminal punto de venta (TPV) TPV en Madrid con una tarjeta de crédito ubicada físicamente en Nueva York, a más de 8.000 km, donde Rodríguez estaba dando la charla. La demostración provocó expectación mundial y, aunque algunos fabricantes de tarjetas trabajan en solucionarlo, a día de hoy el ataque sigue siendo viable. "Las tarjetas de crédito NFC son parcialmente seguras", explica a Teknautas el investigador. El problema reside en el protocolo de comunicación de la tarjeta, llamado NFC por ser las siglas en inglés de "Comunicación en el Campo Cercano".
Miguel Herrero, del Instituto Nacional de Ciberseguridad (INCIBE), lo explica muy bien: "En el campo cercano se produce un fenómeno de inducción magnética entre las dos antenas de los elementos que se desean comunicar", en este caso el TPV y la tarjeta. Esta tiene la antena embutida dentro, no se ve a simple vista, sólo a través de rayos X. La antena NFC se puede meter también en teléfonos móviles o pulseras, dispositivos que ya están bastante maduros para funcionar como métodos de pago".
Delincuentes a 10 centímetros
El campo de acción de una tarjeta NFC se limita, según Herrero, a unos 20 centímetros, "10 centímetros en la práctica". Esto obliga al delincuente que quiera robar datos de la tarjeta a acercarse mucho a la víctima, en entornos de masificación como el tren en hora punta o una discoteca. Pero, si lo consigue, tiene vía libre porque el problema de estas tarjetas es que "son simpáticas con los desconocidos", bromea Ricardo J. Rodríguez. O sea: sus datos no viajan cifrados y los dan a cualquier 'app' o dispositivo que se los pidan
En un informe reciente, el CERT gubernamental español avisa claramente sobre este problema: "La tecnología NFC es insegura tal y como se ha demostrado en multitud de trabajos científicos, en donde se han relatado sus problemas de seguridad inherentes que son, básicamente, la escucha secreta o a escondidas, la alteración de la información transmitida y los ataques de retransmisión".
Según el informe, un dispositivo equipado con antena NFC puede leer y copiar los siguientes datos de una tarjeta de crédito también NFC: "Número de tarjeta, fecha de expiración, titular de la tarjeta e histórico de transacciones realizadas con la tarjeta, no sólo mediante NFC sinó también las verificadas con el chip de la tarjeta", algo que entra ya en el terreno no sólo del robo sino también de la violación de la privacidad.
Con esta información es posible clonar la tarjeta y usarla en compras menores, como sugiere Rodríguez: "Una tarjeta clónica para sacar el café en la máquina, subir al metro o fichar en la oficina". Cabe aclarar, dice el informe, que "los fabricantes de tarjetas están limitando al máximo la información que se filtra por NFC, evitando que las nuevas tarjetas emitan el titular y el histórico".
Otro tipo de ataque que detalla el informe del CCN-CERT español sería la modificación de la información que se transmite entre la tarjeta y el TPV: algunas triquiñuelas podrían conseguir abortar la transacción o bloquear la tarjeta.
Por último, las tarjetas NFC son vulnerables a ataques de "relay" como el demostrado por Rodríguez y Vila. En un convención en Nueva York, Ricardo robó en directo los datos de una tarjeta NFC con una 'app' en su móvil y los mandó al móvil de Pepe, en Madrid, quien con este móvil realizó un pago de un euro en el TPV de su oficina. Así, una tarjeta que teóricamente sólo puede pagar a 10 centímetros de distancia, pagó a 8.000 kilémetros.
No hay banco consultado que no asegure que estamos ante una tecnología "madura y segura". Así lo afirman en ING Direct: "Se trata de buscar un balance entre la ventaja que se ofrece al cliente, su experiencia, la mejora de un servicio, y el posible fraude". O en el blog de BBVA: "La tecnología 'contactless' es segura y además existen mecanismos para aumentar la seguridad de tus tarjetas".
El investigador zaragozano Ricardo J. Rodríguez añade, respecto a los ataques de "relay" que demostró que eran posibles: "Las tarjetas nuevas, al menos las de Mastercard, están empezando a incorporar mecanismos de protección, como los protocolos de acotamiento de distancia que permitirían poder detectar cuándo una tarjeta NFC se está leyendo de manera ilegítima. Sin embargo, esto puede ser complicado llevar a la práctica ante la cantidad de dispositivos móviles NFC que abundan en el mercado, o las propias apps de determinados móviles que "realmente" están haciendo ellas mismas un relay con el banco".
¿Usa Ricardo J. Rodríguez tarjetas de crédito 'contactless'? "Sí, me parecen muy útiles y es una tecnología que ha venido a quedarse, e irá a más en los próximos años. Quizá hasta desaparezcan las tarjetas de crédito y llevemos únicamente el móvil con capacidades NFC o... ¿el reloj inteligente con NFC?".
Fuentes:
http://www.elconfidencial.com/tecnologia/2016-03-28/tarjetas-contactless-debito-seguridad-bancos_1173539/
https://www.incibe.es/blogs/post/Seguridad/BlogSeguridad/Articulo_y_comentarios/tecnologia_NFC
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.