Los chips de las tarjetas bancarias usan tecnología NFC, es decir, sólo transmite la señal cuando está entre 4 a 2 cm del lector NFC del terminal responsable de abrir la comunicación entre ambos. También, para que esta comunicación se pueda producir sin interrupciones, además de la condición de proximidad, se deben dar las condiciones de orientación de la señal, quietud en los dos extremos y no intermediar objetos que la inhiban. Por ejemplo, te habrás dado cuenta que, cuando pagas, no basta con acercar la tarjeta al datáfono, sino que debes situar el chip encima del lector NFC y no moverla.
Por otro lado, para capturar los datos de la tarjeta se deben emplear sofisticadas técnicas de escucha de la señal que aguantan muy bien en el laboratorio, pero se desploman en entornos reales.
Vulnerabilidades posibles, que no probables, del pago contactless
En este punto, toca desmontar mitos.
Fuente: Guardia Civil (@guardiacivil)
Todos hemos oído hablar del ladrón que se pasea por los vagones de metro enchufando un datáfono en el pompis de los despistados pasajeros. En realidad, lo que se sabe del caso es que es un bulo que ha circulado por las RRSS y que aparece y desaparece a conveniencia de ingenuos y oportunistas, que nunca ha sido corroborado por nadie y que ha sido desmentido tanto por Visa y Mastercard, como por la Guardia Civil, como por numerosos medios de comunicación. A lo sumo, el Banco de España advierte que sería posible pero una opción muy limitada.
¿Por qué es posible pero prácticamente inviable? Además de lo comentado anteriormente sobre la física de la señal NFC, hay que tener en cuenta que EMVCo, el consorcio responsable del estándar EMV, ha puesto otros cortafuegos a los listillos. Por un lado, se debe disponer de muy buena cobertura para retransmitir los datos de la transacción a sus servidores, de lo contrario, si las respuestas esperadas no llegan en la ventana de tiempo prevista (5 segundos a los sumo), la retransmisión se cortará, y el ladronzuelo deberá volver a introducir de nuevo la orden de pago. Por otro lado, el datáfono debe estar a nombre de un comercio del país, con lo cual el fraude dejará huellas claras del viaje realizado. Además, para disponer de un datáfono, el banco le pedirá unos requisitos que debe demostrar como comerciante. Y, todo esto, para llevarse calderilla, porque, al menos en España, el titular de la tarjeta deberá introducir el PIN para pagos de más de 50€.
