¿El pago NFC es seguro y cómo lo configuro?

Al comprar un teléfono o tableta nuevos, el usuario, por regla general, obtiene un dispositivo que admite NFC, pero a menudo, sin siquiera saber qué ventajas ofrece dicha tecnología. Es útil saber si el pago NFC es seguro y cómo configurarlo para pagar compras sin contacto.

¿Qué es NFC?

Esta es una tecnología para transferir información a distancias cortas, combinando un lector y una tarjeta inteligente en un solo dispositivo. Esta última es una tarjeta de plástico con una marca tipo RFID, gracias a la cual las personas pasan por torniquetes de oficinas y entradas de vehículos abiertas. Los billetes en el transporte público de la capital o una tarjeta bancaria con pago sin contacto es una tarjeta inteligente.

En él se instala un microchip que, al momento de tocar un dispositivo de lectura (un torniquete de oficina o una máquina de alguna institución), intercambia información en cuestión de segundos. En pocas palabras, transfiere datos sobre su propietario al sistema de seguridad o permite retirar una cantidad específica de fondos.

Este microchip se llama Elemento seguro y el fabricante lo integra en el teléfono o lo coloca en una tarjeta SD o SIM. La unidad NSF, por su parte, se instala exclusivamente en la planta del fabricante y desempeña el papel de una opción de controlador. En pocas palabras, administra este módulo.

¿Cómo funciona NFC?

Conectar un teléfono inteligente a la máquina expendedora para pagar los productos es mucho más cómodo en comparación con llevar un par de tarjetas de crédito en el bolsillo.

La tecnología NFC (Near Field Communication) se basa en la interconexión de 2 bobinas electromagnéticas, una de las cuales está en el smartphone y la otra, respectivamente, en la máquina. Para iniciar la relación, ambos dispositivos deben ubicarse a una distancia de no más de 5 cm entre sí.

¿Cómo habilito NFC? ¿Cómo saber si hay un módulo en un teléfono inteligente?

Es bastante sencillo. Para comprender si hay un módulo NFC en el teléfono o tableta de un usuario con Android y activarlo, el usuario debe ir a "Configuración" - "Comunicaciones inalámbricas" - "NFC".

Si el usuario no tiene este valor en el menú, entonces no hay NFC en su teléfono inteligente.

Método 1. Tarjeta de crédito de Android

Si el usuario tiene un mal hábito en todas partes y olvida constantemente su propia tarjeta de crédito, entonces, en esta situación, si su dispositivo está equipado con un módulo NFC, se le da la oportunidad de convertir su propio teléfono en una tarjeta de crédito real. Esto se hace de la siguiente manera:

• Primero, necesita una tarjeta de crédito que admita la tecnología paypass;
• Es necesario instalar en el teléfono inteligente el programa (cliente) del banco del usuario en el que se realiza la tarjeta;
• Abra el programa instalado, busque el parámetro responsable de NFC y selecciónelo. Después de eso, se debe colocar una tarjeta de crédito en la parte posterior del teléfono o tableta para que se considere;
• Después de una lectura exitosa, al usuario se le enviará una contraseña que consta de 4 números a través de SMS, que debe guardar. Este código PIN deberá ingresarse cuando el usuario pague usando un teléfono o tableta.

Los desarrolladores del módulo afirman que es seguro usarlo porque:

1. El usuario siempre debe ingresar el código PIN antes de comprar algo.
2. El alcance del microprocesador NFC es de solo 10 cm (en realidad, incluso menos).

Método 2. Etiquetas NFC

Una situación típica: una persona se despertó, desayunó, miró las existencias en el refrigerador y abrió el programa Buy Baton o Google Keep para agregar lo que debe comprarse a la lista. Después de eso, sale del apartamento y enciende la red móvil, se sube al automóvil y activa GPS, Bluetooth para llegar de manera segura al lugar de trabajo. Allí cambia el teléfono inteligente al modo de vibración y abre "Evernote".

Hoy en día, todas estas acciones se pueden realizar no de forma mecánica, sino en modo automático gracias a las etiquetas NFC.

Qué se necesita para esto:

1. Instale el software NFC ReTAG.
2. Busque etiquetas NFC o, si el usuario tiene tarjetas de pago sin contacto para el metro o el transporte público, o quizás tarjetas bancarias olvidadas o no utilizadas que admitan Pay Pass.
3. Abra NFC ReTAG, escanee una tarjeta o etiqueta, agréguela y asígnele el nombre que desee el usuario.
4. Después de eso, debe seleccionar la acción que se llevará a cabo en el teléfono inteligente cuando el usuario lo adjunte a la etiqueta y presione el botón "Acción".
5. Cree una acción, por ejemplo, inicie el programa Buy Baton.

Después de que el usuario haya creado la acción, puede adjuntar una tarjeta o una etiqueta al refrigerador (o ponerla al lado). A partir de ahora, cada vez que un usuario ingresa a la cocina, se le da la oportunidad de iniciar instantáneamente el programa Buy Baton y guardar un recordatorio con una lista de compras requeridas.

¡Ejemplo! Cuando una persona entra al automóvil, se ubica una etiqueta en él, luego de escanearla, el GPS se activa automáticamente y se abre Bluetooth.

¿Cómo hacerlo?

1. Necesita escanear una tarjeta o una etiqueta, asígnele un nombre.
2. Indique acción: inicie el programa GPS y también abra la transmisión inalámbrica de información Bluetooth.

¡Consejo! Es mejor dejar la etiqueta en el automóvil para que no se olvide de escanearla cada vez que suba al automóvil.

Si el teléfono inteligente tiene derechos de Root, esto también aumentará las posibilidades de usar etiquetas NFC y la persona tendrá más "chips" para automatizar los procesos del teléfono o tableta.

Método 3. Android Beam

Es un método de transferencia de datos (similar a Bluetooth) que utiliza un microprocesador NFC. Es importante recordar que la velocidad de intercambio de datos usando Android Beam es muy baja, por lo que será recomendable utilizarlo exclusivamente para transferir una pequeña cantidad de texto o enlaces.

Esto requiere:

• Presione la tecla "Expandir";
• Acerque ambos dispositivos;
• Cuando la imagen en la pantalla del dispositivo transmisor se haga más pequeña, haga clic en ella para iniciar la transmisión.

Método 4. Anillo o pulsera NFC

Una pulsera inteligente o un anillo con una opción NFC es un proyecto innovador de desarrolladores de China, que es adecuado para teléfonos que funcionan con varios sistemas operativos. La pulsera se puede elegir para cualquier tamaño de mano (una situación similar con un anillo). El peso del dispositivo es muy pequeño, pero lo principal es que es totalmente compatible con la tecnología NFC.

El papel del chip, por ejemplo, en el dispositivo Band 3 BFC, lo desempeña un chipset especializado. Con la ayuda de este último, la pulsera inteligente ayuda al teléfono a transmitir información a través de un canal sin contacto, manteniendo así una alta seguridad. La información del dispositivo se puede reescribir un número ilimitado de veces.

La pulsera almacena información de facturación, registros y otra información personal. No será difícil ver la información; todo lo que necesita hacer es colocar la pulsera en la pantalla del teléfono. En cuestión de segundos, establecerá una conexión con el teléfono inteligente y desactivará el bloqueo de la pantalla, y también actuará como una tecla "rápida". Por ejemplo, cuando llevas la pulsera al teléfono, la cámara, red o programa de red social se activa en el mismo momento.

Otras opciones

Los módulos NFC se encuentran en las etiquetas de las tiendas o en los museos en las placas de información, durante las cuales se llevará al usuario a un sitio con información completa sobre el producto o el estante.

Seguridad NFC

Para los usuarios que han estado usando tarjetas sin contacto durante mucho tiempo, no tiene sentido hablar sobre qué es la tecnología NFC. Este método de pago es más seguro que el método habitual de activar una tarjeta PIN en una máquina, porque nadie ve el código. Incluso si le roban el teléfono, el ladrón no podrá retirar más de mil rublos de la tarjeta debido a los límites vigentes a nivel mundial sobre la limitación de montos en transacciones sin contacto.

En algunos medios de comunicación, hay información de que los piratas terminales creados, que se utilizan en lugares concurridos, robando fondos sigilosamente. Pero esto solo es posible cuando el teléfono está desbloqueado.

¡Recomendación! Si el atacante aún logró retirar fondos ilegalmente, entonces el propietario de la cuenta siempre tiene la oportunidad de ir a una institución bancaria y contactarlo con una solicitud para rastrear el movimiento de dinero. El saldo del pirata informático se encontrará instantáneamente y los fondos se devolverán al propietario, si el ladrón aún no los ha agotado.

Mitos e investigación sobre seguridad NFC

Para entenderlo completamente, a continuación se muestran todo tipo de mitos, rumores y situaciones reales relacionados con la seguridad de la tecnología NFC.

Distancia

Las tarjetas sin contacto se utilizan para transferir información con tecnología NFC, subcategoría RFID. La tarjeta de crédito contiene un procesador y una antena que responden a una solicitud de un terminal de pago a una frecuencia de radio de 13,56 MHz. Varios sistemas de pago utilizan sus propios estándares, como Visa Pay Wave o MasterCard Pay Pass. Pero todos se basan casi en el mismo principio.

La distancia para transmitir información mediante NFC varía en unos pocos centímetros, en este sentido, la primera etapa de seguridad es física. El lector, de hecho, debe acercarse a la tarjeta de crédito, lo que es bastante difícil de realizar en secreto.

Sin embargo, es posible crear un lector extraordinario que trabaje a larga distancia. Por ejemplo, científicos de la Universidad de Surrey en Gran Bretaña han mostrado la tecnología de lectura de información NFC a una distancia de unos 80 cm gracias a un práctico escáner.

Este dispositivo es realmente capaz de "sondear" en secreto tarjetas sin contacto en minibuses, centros comerciales, aeropuertos y otros lugares masivos. Afortunadamente, en muchos países, una de cada dos personas tiene tarjetas de crédito adecuadas en sus billeteras.

Sin embargo, existe la oportunidad de ir mucho más allá y prescindir de un escáner y una presencia personal. Los hackers de España presentaron otra solución inusual al problema del alcance. R. Rodríguez y H. Villa, quienes presentaron una conferencia en el encuentro Hack In The Box.

La mayoría de los teléfonos Android nuevos están equipados con un bloque NFC. Al mismo tiempo, los dispositivos suelen estar ubicados muy cerca de la billetera, por ejemplo, en una mochila. Villa y Rodríguez han desarrollado el concepto de un troyano (virus) en Android, que convierte el teléfono de la víctima en algo así como un repetidor de señal NFC.

En el momento en que el teléfono inteligente infectado está al lado de la tarjeta de crédito sin contacto, envía una señal a los piratas informáticos a través de la red sobre el alcance de la operación. Los atacantes lanzan un terminal de pago ordinario y le conectan su propio teléfono NFC. Por lo tanto, se "construye" un puente utilizando una red entre el terminal y la tarjeta NFC, que pueden estar a cualquier distancia entre sí.

El virus se puede transmitir de la forma habitual, por ejemplo, en combinación con un programa de pago "pirateado". Todo lo que se necesita es Android 4.4 o posterior. No se requieren derechos de root, sin embargo, se recomiendan para que el virus pueda funcionar incluso después de que la pantalla del dispositivo esté bloqueada.

Criptografía

Por supuesto, acercarse al mapa tiene un 50% de éxito. A continuación, es necesario romper una barrera mucho más poderosa, que se basa en la criptografía.

Las transacciones sin contacto están protegidas por el mismo estándar EMV que las tarjetas procesadoras. En comparación con la pista del imán, que en realidad se copia, este movimiento no funcionará con el procesador. A petición del terminal, el microcircuito crea una clave de un solo uso cada vez. Es posible interceptar dicha clave, pero ya no será adecuada para la operación posterior.

Los científicos de seguridad han dudado de la seguridad de los EMV más de una vez, pero hasta el día de hoy, no se ha encontrado ninguna elusión en la vida real.

Por cierto, hay un matiz. En la implementación habitual, la seguridad del procesamiento de tarjetas se basa en una combinación de claves criptográficas y un PIN de entrada humana. En el proceso de transacciones sin contacto, el código PIN a menudo no es necesario, por lo que solo quedan las claves criptográficas del procesador de tarjetas y el terminal.

Monto de la compra

Hay otro paso de seguridad: el límite de la cantidad máxima de transacciones sin contacto. Esta limitación en la configuración de los equipos terminales la establece el adquirente (banco), que se guía por el asesoramiento de los sistemas de pago. En la Federación de Rusia, el monto máximo de pago es de mil rublos, y en Estados Unidos el umbral es de $ 25.

Se rechazará un pago por una gran cantidad o la máquina comenzará a requerir una identificación auxiliar (firma o código PIN), todo depende de la configuración del adquirente, el emisor de la tarjeta. Durante los intentos de retirar alternativamente un par de cantidades inferiores al límite, también se debe activar el sistema de seguridad auxiliar.

Pero aquí también hay una especificidad. Otro grupo de científicos de la Universidad de Newcastle de Gran Bretaña casi un año antes dijo que habían encontrado una laguna en la seguridad de las transacciones sin contacto del sistema de pago Visa.

Si solicita un pago no en libras esterlinas, sino en otra moneda extranjera, entonces no se incluye el límite del monto. Y si el terminal no está conectado a la World Wide Web, entonces el monto máximo de una operación de hacker puede llegar al millón de euros.

Los empleados del sistema de pago Visa negaron la implementación de tal hack en la práctica, diciendo que la operación sería rechazada por los sistemas de seguridad del banco. Si cree en las palabras de Taratorin de Raiffeisenbank, entonces el terminal controla el monto límite del pago, independientemente de la moneda en la que se haya realizado.

Conclusión

En conclusión, vale la pena señalar que la tecnología de pago sin contacto está, de hecho, cubierta por una excelente protección en múltiples etapas, pero esto no significa en absoluto que los fondos de los usuarios estén seguros con ella. Demasiado en las tarjetas de las instituciones bancarias está interconectado con tecnologías muy "antiguas" (una tira de un imán, un pago en red sin verificación adicional, etc.)

Además, mucho radica en la atención de la configuración de determinadas instituciones financieras y puntos de venta. Cabe señalar que estos últimos, en la carrera por compras rápidas y un pequeño porcentaje de "cestas abandonadas", descuidan la seguridad de las transacciones.