Inicio Artículos Evitar el fraude mediante la tecnología RF

Evitar el fraude mediante la tecnología RF

 
Da la impresión de que casi cada semana los medios de comunicación informan de un nuevo caso de robo de datos, lo que puede llevar a pensar que ninguna información está a salvo online. Una de las mayores y más famosas brechas de seguridad se produjo en Target, la cadena minorista norteamericana. Lo que más llamó la atención de este caso fue que la empresa parecía tomarse la seguridad de los datos muy en serio y que había hecho todo lo que estaba en su mano para evitar que algo como esto ocurriera. Target aplicaba una estrategia de seguridad de manual que incluía un sistema modelo de varios niveles muy superior a las medidas de seguridad exigidas por los principales proveedores de tarjetas de crédito (tales como Visa, American Express y MasterCard). Pero, incluso con esta seguridad por capas, los hackers consiguieron introducirse en el sistema de Target, lo que causó un gran revuelo sobre cómo había podido suceder algo así.
Esta brecha de seguridad obligó a las grandes compañías de tarjetas de crédito a establecer una serie de nuevas directrices aún más estrictas, que requería el uso de tarjetas «contactless» (sin contacto). La fecha límite impuesta a los comerciantes para la instalación de lectores de tarjetas inteligentes fue octubre de 2015. De no cumplirse estas exigencias, los comerciantes serían responsables de sus propias pérdidas por fraude. Por supuesto, las tarjetas inteligentes no son ninguna novedad. Las tarjetas con microcontroladores integrados y funcionamiento por contacto llevan entre nosotros prácticamente desde principios de la década de los ochenta. Estas implementaciones se han utilizado en todo el mundo y han contribuido a una notable reducción de los casos de robo y fraude. Aunque se calcula que el fraude sigue costando a los comerciantes estadounidenses un mínimo de 12 000 millones de dólares al año, se consideraba más barato asumir ese coste que desplegar un mayor grado de seguridad mediante la instalación de terminales avanzados de punto de venta (TPV).
La brecha de seguridad de Target lo cambió todo de modo irreversible, lo que no deja de ser irónico porque el problema no se debió a las tarjetas en sí, y es probable que los datos cifrados robados no fueran de utilidad para los ladrones. Sin embargo, la conmoción causada por la brecha generó una ola de inquietud que hizo de la adopción de las tarjetas sin contacto algo inevitable. El uso de las tarjetas inteligentes en Estados Unidos, cuya adopción ha sido más lenta que en Europa, parece dispuesto a saltarse una generación tecnológica. Las tarjetas inteligentes que necesitan contacto físico están cayendo en desuso conforme se va adoptando la nueva generación de tecnología sin contacto. Al mismo tiempo aumenta el interés en todo el mundo por las aplicaciones de comunicación de campo cercano (NFC, por sus siglas en inglés) que hacen que sea totalmente innecesario disponer de una tarjeta (y utiliza en su lugar dispositivos de tipo smartphone).
La brecha de seguridad de Target no se debió a un fallo de las tarjetas
A menudo, en las conversaciones sobre la brecha de Target se olvida mencionar que las tarjetas en sí no fueron el problema. Los hackers que se introdujeron en Target utilizaron una técnica de raspado que implicaba la instalación de un software malicioso o «malware» en los TPV. El software conseguía capturar y transmitir los datos de las transacciones almacenados temporalmente en el dispositivo durante dichas transacciones. El programa de raspado se instaló en un servidor de Target, lo que permitió a los hackers acceder a la red de terminales. Una vez instalado, el malware configuró un servidor de control en la red de la empresa que almacenó los datos robados en la propia red de la compañía hasta que los ladrones pudieron descargarlos. Como mencionamos antes, Target concedía una gran importancia a la ciberseguridad. La empresa utilizaba más de 40 tipos de herramientas antivirus para buscar software malicioso, pero ninguna de ellos consiguió detectar el malware en cuestión o, si lo hizo, falló a la hora de identificarlo como tal. El malware empleado es una variante relativamente común llamada BlackPOS y cuesta menos de 2000 euros. BlackPOS se ha diseñado para atacar TPV y evitar cualquier tipo de firewall que los proteja. Por tanto, el fallo en este caso no se debió a las tarjetas con los terminales, sino a los servidores corporativos.
Los TPV se ha diseñado para recopilar datos sin importar si la tarjeta es de contacto (en cuyo caso los contactos eléctricos de la superficie de la tarjeta se conectan con el mecanismo del lector de tarjetas), sin contacto (con la que se utiliza el sistema RFID), o si ni siquiera hay una tarjeta (para aprovechar la tecnología NFC). Por tanto, ¿por qué se consideran más seguras las tarjetas sin contacto? Aunque para el tipo medio de robo de terminales puedan resultar más seguras, en algunos casos (como el ataque a Target) es posible que no lo sean. Antes de hablar de los últimos desarrollos en el ámbito de la seguridad de tarjetas, hagamos un repaso de la evolución de la tecnología de pago y veamos cuáles son los tipos de mecanismos disponibles actualmente, con sus respectivas ventajas e inconvenientes.
Tarjetas de contacto
Las tarjetas de crédito que necesitan establecer contacto físico suelen utilizar tecnología de RF pasiva. El lector envía una señal y la antena de cuadro de la tarjeta la lee. La tarjeta utiliza energía para transmitir a su vez una señal de muy baja potencia que responde al lector y se identifica. A continuación, el sistema de control del lector autentica la tarjeta mediante la información de una base de datos. Las tarjetas RFID son similares en el sentido de que ambas utilizan tecnología sin cables y necesitan un circuito impreso y una memoria interna para el almacenamiento. Además de algunas pequeñas excepciones, eso es todo lo que las dos tecnologías tienen en común. Las etiquetas RFID pasivas son muy baratas (por lo general cuestan menos de 0,10 euros), lo que las hace enormemente adecuadas para cualquier aplicación de gran volumen y, en especial, para servicios de seguimiento y logística. Por el contrario, las etiquetas RFID activas suelen ser de mayor tamaño, más complejas y de mayor coste, ya que necesitan una batería para transmitir.
Por su parte, las etiquetas RFID pasivas tienen muy poca o ninguna inteligencia, y tanto las tarjetas de contacto como las sin contacto se consideran «inteligentes». Estas tarjetas inteligentes pueden ofrecer un conjunto de características mucho más completo para las aplicaciones de seguridad. Estas características pueden incluir microcontroladores seguros y memoria, así como cifrado en placa. Por tanto, el abanico de tecnologías utilizadas varía mucho también entre sí. Las etiquetas RFID pasivas ofrecen un alcance muy bajo, de unos 15 cm, mientras que la potencia de la batería permite la lectura de las etiquetas activas a una distancia mucho mayor (en muchos casos, hasta a 200 m de distancia del lector).
Generalmente, y por razones de seguridad, las tarjetas sin contacto solo se pueden leer a una distancia máxima de 5 cm. Son muchas las aplicaciones, tanto seguras como no seguras, que usan RFID. Las etiquetas se incorporan incluso en pasaportes para almacenar una imagen del titular y proporcionar así seguridad adicional. La cadena de supermercados norteamericanos Walmart es otra de las primeras empresas que decidieron adoptar la tecnología desde el principio. La compañía pidió a sus 100 principales proveedores que utilizasen etiquetas RFID en productos destinados a los centros de distribución Walmart. La prueba permitió que la mercancía etiquetada se repusiera unas tres veces más rápido que aquella que no lo estaba.
Fue tal el éxito que Walmart decidió expandir el sistema de etiquetado a todos sus proveedores. Ahora, muchas empresas han seguido el ejemplo de Walmart y han introducido el etiquetado RFID en sus mercancías. Mientras que el RFID es una tecnología muy efectiva para aplicaciones relacionadas con el seguimiento, sus limitadas funciones de seguridad y su falta de inteligencia implican que tan solo unas pocas y simples aplicaciones hayan adoptado su uso en actividades de tipo transaccional.
Tarjetas sin contacto
La principal diferencia entre las tarjetas de contacto y las tarjetas sin contacto es la sustitución de los contactos eléctricos por una funcionalidad RFID. El resto de componentes son prácticamente los mismos. La sección RF evita la necesidad de contacto físico entre la tarjeta y el lector. Otra de las capas de seguridad que incluye es la introducción de un número PIN. La solicitud de este PIN se puede configurar tanto para cada transacción como tras un número determinado de ellas. Asimismo, se puede limitar la cantidad de dinero que se puede gastar en cada transacción, si bien actualmente el importe es bastante bajo en la mayoría de los proveedores. Las tarjetas sin contacto existen desde hace ya algún tiempo. Su primera implementación se remonta a 1995, cuando se utilizaron para la emisión de billetes electrónicos en Corea. Desde entonces, su uso se ha adoptado en todo el mundo.
Tecnología NFC
El paso siguiente a las tarjetas sin contacto se basa en los mismos principios elementales, aunque prescinde de las tarjetas en sí. La tecnología NFC se ha diseñado principalmente para teléfonos móviles y tabletas. El estándar define los protocolos de comunicación y los formatos de intercambio de datos que se utilizan para realizar transacciones entre el dispositivo móvil y el lector. Los estándares de NFC se definieron en el Foro NFC, un consorcio de empresas del ámbito electrónico encabezadas por NXP, Sony y Nokia. Posteriormente, la asociación de operadores de telefonía móvil, la GSMA, adoptó el estándar NFC y continúa trabajando para implementar una arquitectura centrada en las empresas de transporte. Sin embargo, esto no significa que la arquitectura de la GSMA haya sido adoptada universalmente por todas las partes implicadas en los mercados de telefonía móvil. Google, por ejemplo, incorporó primero su propio sistema NFC, al que llamó «Host Card Emulation» (HCE), en su versión de Android 4.4 KitKat. Así, HCE no sigue el estándar NFC de la GSMA. Algunos operadores de telefonía móvil están intentando unirse para crear una plataforma unificada.
Por ejemplo, aquí en Europa, las compañías EE, Telefónica y Vodafone colaboran actualmente para alcanzar este objetivo. La tecnología NFC aplica un enfoque similar al de la de las tarjetas sin contacto que mencionamos anteriormente en este mismo artículo. Ambos sistemas utilizan una interacción por inducción magnética entre las antenas de cuadro del receptor y el cliente para crear un transformador virtual. Al operar en la banda ISM de 13,56 MHz, la tecnología tiene un alcance teórico de 15 cm, aunque en aplicaciones prácticas, la máxima distancia útil habitual es de 5 cm. Una de las ventajas que ofrece la tecnología NFC frente a las tarjetas sin contacto es que permite una comunicación bidireccional entre la tarjeta y el lector. Esto significa que el sistema puede utilizar la potencia de procesamiento del smartphone para cuestiones de seguridad y cifrado. Asimismo, las funciones del teléfono se pueden incluso combinar para ofrecer métodos de interacción más sencillos.
Este es el caso de Google, que ha combinado Bluetooth y NFC en su sistema Android Beam. Los dos dispositivos se emparejan mediante Bluetooth, que a continuación se desactiva hasta que la transacción se haya completado. Samsung ha tomado otro camino con su tecnología S-Beam, que utiliza NFC para compartir direcciones MAC e IP antes de completar las transferencias mediante Wi-Fi. Esta técnica presenta una velocidad de transferencia mayor que la de Bluetooth, lo que permite compartir archivos de mayor tamaño a velocidades de hasta 300 Mb/s. Su gran cantidad de usuarios potenciales otorga a la tecnología NFC unas perspectivas muy atractivas para los operadores de redes. T-Mobile, AT&T y Verizon han fundado una empresa conjunta bajo el nombre de Softpay para crear una arquitectura única para transacciones NFC móviles. El objetivo de esta empresa es conseguir que los dispositivos móviles tengan las mismas funcionalidades que las tarjetas sin contacto. Actualmente, Google ha absorbido Softpay y la ha integrado en Android Pay.
Resumen
La industria no tiene ninguna duda de que la era del pago sin contacto ha llegado, y en muchos países ya forma parte del día a día de las personas. El uso de los pagos sin contacto reduce inherentemente el fraude y el robo, una medida que, sin duda, convence a todo el mundo. La brecha de seguridad sufrida por Target demuestra que los robos no son culpa de las tarjetas y que, al mismo tiempo, es necesario abordar algunos asuntos relacionados con la seguridad de las redes empresariales. No cabe duda de que, conforme la adopción de los sistemas sin contacto aumente, los hackers dirigirán cada vez más sus esfuerzos a vulnerar estos sistemas, como ya hacen con las transacciones por Internet. Por lo tanto, es tarea de los operadores de redes, los fabricantes de teléfonos móviles y las entidades industriales garantizar que se han aprendido las elecciones de anteriores brechas de seguridad y, mientras tanto, trabajar en la implementación de los sistemas de seguridad más estrictos posibles.