Los 'cibercarteristas' pueden robar de tu tarjeta NFC colando un 'app' en tu Android

Cada día nos lo ponen más fácil. Si mucha gente ya no llevaba encima un solo céntimo porque en la cartera descansaba la tarjeta, ahora ni siquiera es necesario introducir el plástico en un lector o pasarlo por la ranura: con acercarla al aparato, es suficiente. Así funciona la tecnología NFC, que permite transmitir datos entre dos dispositivos sin necesidad de contacto, solo por aproximación. Muy práctico, pero las reglas del juego en materia de seguridad también han cambiado.

Si antes nos andábamos con cuidado por si a los carteristas les daba por llevarse lo que no les pertenecía, ahora podríamos no enterarnos siquiera de que alguien nos está robando. Si el carterista se ha convertido en un 'cibercarterista' y ha decidido sacar partido a las vulnerabilidades de NFC, probablemente no nos percatemos de nada. Sería suficiente con que nuestro móvil estuviera infectado con alguna aplicación maliciosa y actuase como aliado de los mangantes.

Así lo han demostrado los españoles José Vila y Ricardo J. Rodríguez, que han impartido una ponencia al respecto en el congreso de seguridad informática Rooted CON. Su propósito no era otro que destripar la tecnología NFC, sus distintas capas, para comprobar si podían hacerse con cierta información de valor. “Se suponía que era posible, y lo que hemos hecho es llevarlo a la práctica”, cuenta Ricardo, doctor e ingeniero en Informática por la Universidad de Zaragoza que actualmente trabaja para la Universidad de León, a HojaDeRouter.com.

Estos dos investigadores han descubierto que, en las actualizaciones más recientes de Android, es posible que un 'smartphone' detecte una tarjeta NFC y transmita la información a otro teléfono para que se pueda hacer pasar por ella.

Si alguien con no muy buenas intenciones consigue que descargues una 'app' infectada con su 'malware', podría copiar buena parte de la información de tu tarjeta de crédito. “Podríamos robar información de carácter personal, desde el número de la tarjeta hasta el titular de la misma, e incluso la fecha de caducidad, que son los datos que se transmiten por defecto cuando tú estás leyendo una tarjeta en NFC”, explica Ricardo. Se escapa el código de verificación (CCV) y poco más.

Toda esa información podría enviarse a un segundo 'smartphone' (vía Bluetooth, wifi o 3G) para que este se haga pasar por la tarjeta de crédito al acercarlo a un punto de pagos móviles, y realizar así ciertos cargos en la cuenta bancaria asociada a la tarjeta.

Así es como dos 'smartphones' maliciosos se pueden aliar en lo que se conoce como un ataque de 'relay' (o de retransmisión). Mientras uno capta la información y la envía, el otro hace las veces de tarjeta replicada y puede efectuar pequeñas compras al pasar sobre un datáfono.

Según Rodríguez, el máximo que se podría cargar en la cuenta corriente de la víctima es de 20 euros en el caso de España; algo más en otros países. Además, quien nos birlase la tarjeta no podría hacer todos los pagos que quisiera. Tal y como detalla Ricardo, “los bancos metieron un mecanismo adicional de seguridad. Hay un número de veces limitado en el que puedes hacer compras, de forma consecutiva, sin introducir el código PIN”.

Tal y como nos cuenta este ingeniero informático aragonés, los 'relay' no son nuevos. “Estos ataques llevan investigándose desde 2008 a nivel académico; lo novedoso es que ahora Android, con sus últimas versiones, permite que este tipo de ataques sean reales. Antes no era factible, teníamos que hacer ciertas modificaciones. Se podía, pero no por defecto”, nos explica. El dispositivo debía modificarse para obtener acceso 'root' (a la raíz del sistema operativo), un procedimiento relativamente sencillo pero que muy pocos usuarios aplican en sus móviles. El número de potenciales víctimas era, por tanto, muy reducido.

Ahora, sin embargo, basta con que el 'smartphone' que tiene el cometido de leer la tarjeta de crédito esté equipado con Android 2.3. y el que tiene que replicarla tenga KitKat 4.4. “Tampoco hace falta que sean nuevos modelos”, asegura Ricardo.

Aunque sea una actualización de Android la que hace posible el ataque, el investigador afirma que no es culpa de Google. A medida que el sistema operativo móvil de la compañía - de código abierto - se va desarrollando, se incorporan nuevas funcionalidades más avanzadas. “La tecnología NFC define tres modos de operación. El modo lector-escritor, el punto a punto y el de emulación. Lo que ocurre es que las primeras versiones de Android solamente se podian trabajar con modo lector-escritor o modo punto a punto. Fue a partir de la versión KitKat 4.4 cuando abrieron el modo HC o emulación”.

Tras su hallazgo, Rodríguez y Vila se han puesto en contacto con los bancos para informarles de que existen estos resquicios en la seguridad de sus servicios, por si consideran oportuno tomar medidas. Si bien es cierto que, a juicio de Ricardo, si de lo que se trata es de agilizar el proceso de pago, cuanta más capas de seguridad se pongan más lento será. “Si quiero que esto sea rápido y estoy insertando protocolos de seguridad, estos van a hacer que sea más lento y, por lo tanto, menos atractivo para el usuario”, asegura. El difícil equilibrio entre simplicidad y seguridad, eterno dilema de un programador de 'software'.

En cualquier caso, existen ya ciertas medidas de seguridad que pueden evitar este tipo de triquiñuelas. Ciertos mecanismos adicionales de verificación, por ejemplo, y el propio principio de proximidad que es clave en la tecnología NFC (impidiendo que los pagos se realicen desde un lugar distinto al que se encuentra el 'chip' de la tarjeta).

Con el método expuesto por Rodríguez y Vila, un juego entre dos teléfonos móviles que se alían, la distancia no supone una limitación relevante. Sin embargo, si además de acercar la tarjeta al aparato hiciera falta introducir alguna clave secreta, se podrían prevenir este tipo de acciones. ¿También esta clave se la acabarán saltando? Probablemente, pero la seguridad es una carrera entre los 'malos' y los 'buenos' y el premio, desgraciadamente, es tu dinero.

------------

Las imágenes de este artículo son propiedad, por orden de aparición, de HojadeRouter.com, Sean MacEntee y Wikimedia Commons. HojadeRouter.comSean MacEnteeWikimedia Commons.