Eventos
“El lado oscuro de la tecnología: Cómo los delincuentes aprovechan NFC y RFID para el robo sin contacto en eventos masivos”
Las tecnologías NFC y RFID posibilitan la comunicación inalámbrica entre dispositivos, facilitando así procesos de pago, el rastreo de productos y los controles de acceso. Es evidente que se han integrado en la vida diaria. No obstante, actualmente también son empleadas para sustraer datos cruciales, como la información bancaria.
MIRA: Perú sobresale en la regulación de IA, pero cae en la trampa del phishing
Cómo utilizamos las tecnologías NFC y RFID
David González, experto en ciberseguridad de ESET Latinoamérica, señala que los sistemas RFID (Identificación por Radiofrecuencia) son valiosos en los entornos logísticos para organizar cargas, bultos e inventarios, recopilando estadísticas e información pertinente. También se utilizan en comercios de ropa para identificar las prendas y su localización, acelerando las operaciones diarias y proporcionando una medida adicional de seguridad.
En el caso de los sistemas NFC (Comunicación de Campo Cercano), son la base de dispositivos de proximidad tan comunes como los teléfonos inteligentes y las tarjetas bancarias de pago sin contacto. De igual manera, se utilizan tarjetas que permiten la entrada de personas autorizadas a edificios a través de sistemas de control de acceso y asistencia.
NFC es una tecnología de comunicación de corto alcance que opera a una distancia de aproximadamente 4 cm. (Foto: ESET)
A su vez, las tarjetas NFC de proximidad se usan para desbloquear cerraduras electrónicas en habitaciones de hotel, apartamentos turísticos y alojamientos temporales, permitiendo a los huéspedes ingresar a sus estancias de manera sencilla al acercar la tarjeta al lector. El chip que contiene los datos identificativos puede integrarse en otros objetos como pulseras o llaveros, personalizando aún más la experiencia de los visitantes.
“Por tanto, los sistemas NFC son en realidad una parte de la tecnología RFID, es decir, se pueden clasificar como un subgrupo dentro de las técnicas RFID. La principal distinción radica en que los componentes RFID pueden operar y comunicarse entre sí a mayores distancias. Esto hace que se usen en diferentes áreas”, puntualiza González.
Amenazas en crecimiento
Con el desarrollo de ambas tecnologías, los criminales han explorado nuevas modalidades de fraude sin contacto, donde capturan la información de las tarjetas RFID o ejecutan transacciones no autorizadas.
Skimming: existen dispositivos que posibilitan este tipo de fraude en el cual los estafadores duplican los datos de la tarjeta de la víctima. Una vez que los datos son obtenidos, es necesario un paso adicional como la clonación de tarjetas o el uso de datos robados en compras en línea para realizar fraudes.
De acuerdo con el especialista, “un estafador utiliza un lector NFC o RFID camuflado para capturar los datos de una tarjeta de pago sin contacto cuando alguien la acerca demasiado. Aunque generalmente los datos robados no incluyen el PIN, algunos atacantes pueden aprovecharlos para compras en línea en tiendas con escasa seguridad”.
Como medida preventiva, se pueden utilizar carteras con bloqueo RFID o envolver la tarjeta en papel.
de aluminio. Es aconsejable habilitar notificaciones en tiempo real de las adquisiciones, emplear tarjetas virtuales o temporales para compras en línea y supervisar las transacciones.
“Relay Attack”: en esta situación, un delincuente captura la señal entre una tarjeta NFC y un terminal de cobro, amplificándola para convencer que la tarjeta está en otro lugar. Esto permite efectuar pagos sin que el propietario se percate.
Se sugiere utilizar una billetera NFC/RFID segura, desactivar el pago sin contacto cuando no se esté usando, emplear autenticación biométrica para pagos (huella digital o reconocimiento facial).
Hacking de E-wallet o Robo de Información en Pagos Móviles: los cibercriminales pueden aprovechar fallos en aplicaciones de pago (Apple Pay, Google Pay) o interceptar datos en redes wifi públicas. Pueden llevar a cabo pagos no autorizados si consiguen acceso a la cuenta del usuario.
Para combatir esta modalidad se recomienda establecer contraseñas seguras y activar la autenticación en dos pasos (2FA), nunca realizar pagos en redes wifi públicas sin una VPN, utilizar tarjetas virtuales para transacciones en línea y supervisar las transacciones.
Instalación de lectores NFC fraudulentos: un estafador o cibercriminal coloca un lector NFC alterado en terminales de pago o cajeros automáticos. Al acercar la tarjeta o el móvil, captura la información del usuario.
En este caso, siempre es fundamental verificar que el terminal de pago no tenga nada sospechoso adherido o alterado. Además, se sugiere usar tarjetas con chip y PIN en lugar de solo NFC cuando sea posible y no aceptar pagos NFC en dispositivos ajenos.
Phishing mediante NFC: una técnica conocida aplicada en la actualidad. El estafador o cibercriminal intenta engañar al usuario para que acerque su móvil a un chip NFC falso. Por ejemplo, un cartel con un chip NFC alterado que redirige a una página maliciosa para posteriormente poder instalar malware o robar credenciales.
Se recomienda no escanear etiquetas NFC en lugares inusuales y ajustar la configuración del teléfono móvil para que solicite confirmación antes de abrir enlaces NFC.
“Las cifras de víctimas por este tipo de ataques varían de un país a otro, aunque es un hecho que hay un incremento de fraudes relacionados con tarjetas sin contacto, especialmente durante épocas de alto consumo como las navidades, San Valentín o año nuevo, por mencionar algunos”, añade el especialista de ESET.
Otros aspectos a considerar son los lugares más comunes donde se ejecutan este tipo de ataques. Se pueden mencionar, por ejemplo, eventos deportivos en estadios, conciertos, transporte público o hipermercados en fechas especiales.
