En la sexta y última parte de la serie “¿Cómo funcionan las tarjetas de pago?” se introducirá el concepto de tarjetas “contactless” y comunicaciones vía RFID y NFC – tecnologías que están empezando a ser ampliamente implementadas en los plásticos de las tarjetas de pago – describiendo sus ventajas y sus vulnerabilidades.


Otros artículos de esta serie:


Historia

La necesidad de utilizar una tecnología que permitiera la comunicación de datos entre dos dispositivos relativamente cercanos sin necesidad de tener contacto físico o sin la dependencia de cables con el fin de proveer movilidad fue lo que impulsó al desarrollo de dispositivos que emplean como medio de comunicación (canal) la luz infrarroja,  ondas de radio, sonido e inducción electromagnética, entre otros.  Dentro de la comunicación en un rango de distancias pequeño (unos pocos centímetros), la inducción electromagnética cobró especial importancia, dado que era una tecnología asequible y no requería de una visión directa entre emisor y receptor, como sucedía con la comunicación por infrarrojos.

Es así como en 1973 – y de la mano de Mario Cardullo – se presentó un dispositivo “pasivo”, con una memoria de 16 bits y que no requería de una fuente de energía para funcionar, ya que la obtenía de una señal externa provista por un lector. Empleando comunicación por radiofrecuencia, este dispositivo  empezó a ser empleado para identificación y monitorización. En 1983 Charles Walton patentó esta tecnología bajo el nombre de Identificación por Radiofrecuencia (Radio Frequency IDentification – RFID).

Funcionamiento

Los sistemas de RFID están compuestos por tres elementos principales:

  • Transpondedor (etiqueta RFID): Este elemento está compuesto por un chip (que contiene una memoria de lectura o lectura/escritura), un transductor y una antena. Contiene los datos que serán enviados al lector empleando la antena asociada. Estas etiquetas RFID pueden ser:
    • Pasivas: No contienen ninguna fuente de energía. La señal obtenida desde los lectores induce una carga de corriente eléctrica suficiente para activar el chip (circuito integrado). Actúan frente a una respuesta activa de un lector y suele ser el más barato en términos de implantación.
    • Activas:  Contienen una batería que de forma periódica transmite la identificación (ID) de su señal a potenciales lectores alrededor.
    • Pasivas asistidos por batería (semi-activas): Al igual que una etiqueta activa contienen una batería, pero sólo responden frente a una solicitud de un lector. La batería amplifica la señal.
  • Transceptor (lector RFID): Compuesto por una antena, un transceptor y un decodificador. Este elemento requiere de una fuente de energía continua y permanece activo enviando señales en búsqueda de etiquetas en las inmediaciones. Cuando se detecta un identificador de señal asociado a una etiqueta, ésta es leída y sus datos enviados al sistema de procesamiento. Existen dos tipos:
    • Active Reader Passive Tag (ARPT): El cual siempre se encuentra en busca de identificadores de señal de etiquetas
    • Active Reader Active Tag (ARAT): El cual se activa siempre que reciba una notificación de lec
  • Middleware (sistema de procesamiento RFID): Contiene la lógica para el procesamiento de los datos obtenidos por el lector desde la etiqueta.

Capture

ISO (International Organization for Standardization) publicó el estándar ISO/IEC 14443 “Identification cards — Contactless integrated circuit cards — Proximity cards”, el cual está dividido en cuatro partes que describen el funcionamiento de este tipo de equipamiento y sus características para interoperabilidad:

  • ISO/IEC 14443-1:2008 Part 1: Physical characteristics
  • ISO/IEC 14443-2:2010 Part 2: Radio frequency power and signal interface
  • ISO/IEC 14443-3:2011 Part 3: Initialization and anticollision
  • ISO/IEC 14443-4:2008 Part 4: Transmission protocol

Así mismo, otras organizaciones como International Electrotechnical Commission (IEC), ASTM International, DASH7 Alliance y EPCglobal han publicado sus propios estándares asociados a la tecnología RFID.

Tarjetas de pago “Contactless”

En vista de la utilidad operativa que los sistemas RFID le podían proveer a los entornos de pago con tarjetas y a su fácil integración con el plástico, esta tecnología se empezó a hacer presente poco a poco en comercios y puntos de venta. Para que este sistema sea funcional, a la tarjeta (plástico) se le debe incorporar un transpondedor pasivo integrado con una antena que sea capaz de transmitir los datos del chip EMV o de la banda magnética y un lector que se encuentre integrado en la terminal.

contactless_smart_card

Las tarjetas que incorporan esta tecnología son identificadas con el siguiente símbolo:

contactless

El funcionamiento de este tipo de tarjetas es muy sencillo:

  1. El usuario presenta una tarjeta contactless para proceder con una transacción
  2. La tarjeta contactless es aproximada a una distancia prudente (entre 0 y 10 centímetros) de un TPV (Terminal de Punto de Venta) que incorpore un lector
  3. El proceso de comunicación entre terminal y tarjeta es exactamente el mismo que con una tarjeta de contacto, salvo que el medio por el cual se transmitirán los datos será radiofrecuencia (RF)
  4. En función de las políticas del banco emisor, el PIN podrá ser solicitado o no dependiendo de los umbrales del coste de la transacción y de una cantidad de transacciones específica.

present

Dentro de las tarjetas de pago contactless se pueden identificar dos categorías principales:

  • Contactless MSD (magnetic stripe data): Este tipo de tarjetas son únicamente empleadas en Estados Unidos. Son similares a las tarjetas que emplean banda magnética, ya que intercambian la misma información con la terminal igual que como lo realizan las tarjetas de banda al ser leídas. En este caso, los pagos no requieren un PIN y por lo general las autorizaciones son realizadas fuera de línea (offline).
  • Contactless EMV: Estas tarjetas suelen tener dos interfaces: contact and contactless y funcionan igual que una tarjeta EMV salvo por el canal de comunicación empleado. Algunas de estas tarjetas pueden incorporar en su memoria algunos datos relacionados con el balance de la cuenta, con el fin de realizar autorizaciones offline.

visa_nfc

Debido al potencial comercio derivado de las tarjetas contactless, cada una de las marcas inició un programa de adaptación a dicha tecnología, agregando sus propias particularidades:

Tarjetas de pago y tecnologías NFC (Near Field Communication)

Una de las limitaciones principales de RFID es que la comunicación entre el transpondedor y el transceptor es de una sola vía (one-way). Para superar este obstáculo, la evolución de la tecnología debería establecer un método para que la comunicación fuera en dos vías (two-way), permitiendo un canal interactivo entre ambos componentes. Para cubrir esta necesidad, se implementó NFC (Near Field Communication), un modelo de comunicación de datos inalámbrico que tuvo como base el estándar ISO/IEC 14443 (RFID).

EMV_NFC

Como se puede observar, las tecnologías RFID y NFC simplemente definen la capa de comunicación entre dos dispositivos (el transpondedor y el transceptor), permaneciendo iguales las capas superiores (en este caso EMV).

En el 2004 se fundó el NFC Fórum (compuesto en sus inicios por Nokia, Philips y NPX Semiconductors), quienes establecieron las bases de esta nueva tecnología, que también fue estandarizada por ISO en  ISO/IEC 18092 “Telecommunications and information exchange between systems — Near Field Communication — Interface and Protocol”. Los dispositivos que soportan esta tecnología son identificados con el siguiente logo:

NFC

Otra de las características importantes de NFC es que permite la lectura tanto de dispositivos activos como de pasivos. En este último caso, permite la lectura de etiquetas RFID  (13.56 MHz ISO/IEC 18000-3) de una sola vía sin ningún problema, con lo cual muchas de las antiguas etiquetas RFID han pasado a ser etiquetas NFC. Aprovechando estas funcionalidades, el futuro de las tarjetas de pago contactless estará basado en NFC a pesar que actualmente convivan los dos modelos (RFID y NFC).

Etiquetas NFC y pagos con teléfono móvil (NFC TAP Stickers)

Con el fin de ayudar en la masificación de pagos con dispositivos NFC, tanto las marcas de pago como diferentes bancos y entidades financieras han desarrollado unos adhesivos especiales NFC que incorporan el chip EMV con los datos encriptados de la tarjeta y se colocan en el reverso del móvil. Estos adhesivos se denominan “etiquetas TAP” y funcionan de la misma manera que una tarjeta de plástico EMV con soporte NFC, independientemente del teléfono móvil en donde se adhieran, actuando como un transpondedor pasivo.

barclaycard-paytag

Para usarlas, simplemente hay que acercar el teléfono móvil con la etiqueta TAP al lector.

Por otro lado, estas mismas etiquetas TAP pueden ser empleadas en otros dispositivos como llaveros o micro-tarjetas, permitiendo gran movilidad al usuario final.

Visa-Micro-Tag

Un ejemplo de estas etiquetas TAP se puede encontrar con Samsung TecTiles, etiquetas NFC programables para distintos usos, que utilizan la misma tecnología que se emplea para pagos “contactless”.

Billeteras electrónicas (E-Wallet, m-Wallet o D-Wallet)

El concepto de billetera electrónica (E-Wallet (Electronic Wallet), m-Wallet (Mobile Wallet) o D-Wallet (Digital Wallet)) data de 1995, cuando Gaston Schwabacher patentó dicha idea. La intención detrás de esta tecnología es almacenar los datos de pago en un dispositivo electrónico en vez de tenerlos en una tarjeta plástica. Una billetera electrónica consta de tres partes principales:

  1. Un sistema (infraestructura electrónica)
  2. Una aplicación (software que opera sobre la capa de sistema)
  3. Un dispositivo

Gracias al uso de los teléfonos móviles y a las tecnologías “contactless”, las billeteras electrónicas se vislumbran como los potenciales sustitutos de las tarjetas plásticas.

Estas billeteras electrónicas pueden ser implementadas de diferentes formas:

  • Almacenando la información de la tarjeta en un servidor central (para pagos no presenciales): Bajo este escenario, el usuario previamente almacena toda la información de sus tarjetas en un servidor centralizado gestionado por un proveedor seguro. Empleando tecnologías como NFC o códigos QR se realiza el pago, que para ser autenticado requiere de un PIN o una contraseña provista por el usuario.  Requiere de la instalación de un aplicativo de gestión en el teléfono móvil del usuario.
  • Almacenando la información de la tarjeta en un chip seguro en el teléfono (para pagos presenciales): En este modelo, los datos de la tarjeta de pago (usualmente los mismos almacenados en la banda magnética o en el chip) son almacenados en una ubicación segura dentro del teléfono móvil (una tarjeta SIM o un “elemento seguro” (“Secure Element”)). Cuando se requiere hacer un pago, el usuario simplemente acerca su teléfono móvil a un lector y usando NFC (o cualquier otra tecnología inalámbrica) los datos almacenados de la tarjeta son transmitidos al lector.
  • Almacenando la información de la tarjeta en un servidor central y en el teléfono: En esta modalidad, la billetera electrónica almacena los datos de la tarjeta tanto en el teléfono móvil como en un servidor central para permitir pagos presenciales y no presenciales.

Vulnerabilidades de los sistemas “contactless”

Los sistemas “Contactless” son susceptibles a las siguientes vulnerabilidades (entre otras):

Obtención de información de la tarjeta

Mediante un lector NFC y conociendo las primitivas de EMV es posible extraer la información del chip EMV debido a que no existe autenticación en el uso de la API de solicitud/respuesta.

NFC

Captura de tráfico NFC (canal no cifrado)

Dentro de la arquitectura de NFC no se contempla cifrado en el tráfico, por lo que la transferencia de datos empleando NFC se realiza en texto claro. Este es un gran problema asociado a esta tecnología, permitiendo que un potencial atacante que cuente con un dispositivo de sniffing (captura pasiva) de NFC pueda obtener la información de una tarjeta cercana en el momento de una transacción. Con la información del chip intercambiada en el proceso de pago se puede realizar “clonación” de la tarjeta o transacciones fraudulentas.

card_sniff

Actualmente, el proyecto OpenPCD (Passive RFID Project https://www.openpcd.org/) desarrolla hardware y software (LiveCD) especializados para el análisis pasivo de comunicaciones empleando protocolos RFID incluyendo NFC, que puede ser empleado para atacar esta vulnerabilidad.

NFC_Sniffer

Más información en http://2012.hackitoergosum.org/blog/wp-content/uploads/2012/04/HES-2012-rlifchitz-contactless-payments-insecurity.pdf

Pagos no autorizados debido a la ausencia de autenticación

Para impulsar la introducción de pagos empleando tecnologías “contactless” en los comercios asociados, muchos bancos y entidades financieras establecieron un monto máximo en una transacción cuando se utiliza este tipo de dispositivos. Cuando se realiza un pago que no supera dicho monto, la terminal no solicita autenticación al cliente (PIN). Conociendo esta configuración, un potencial atacante con un dispositivo de lectura NFC (un teléfono móvil, por ejemplo) puede acercarse a una tarjeta o dispositivo que soporte esta tecnología y realizar un cobro que no supere este límite o extraer los datos de la tarjeta de pago. Esto se conoce como “Electronic Pickpocketing” e inclusive existen aplicaciones en Internet para demostrarlo (Electronic Pickpocket RFID https://play.google.com/store/apps/details?id=com.idstronghold.CCReaderMkt&hl=en).

Para minimizar este problema, se optó por requerir autenticación posterior a un número determinado de transacciones. Sin embargo, es un riesgo latente, sobre todo conociendo que los dispositivos NFC desplegados en las tarjetas de pago son pasivos y están a la espera de una terminal para transmitir sus datos.

Este problema es tan grave que los desarrolladores de malware ya están creando aplicaciones maliciosas que se instalan en un teléfono móvil y realizan de forma pasiva la lectura de cualquier tarjeta de pago que soporte NFC que se encuentre a su alrededor. Tal es el caso del malware para Android Android.Ecardgrabber (http://www.symantec.com/security_response/writeup.jsp?docid=2012-062215-0939-99&tabid=2), que puede extraer:

  • PAN (Primary Account Number)
  • Fecha de activación de la tarjeta
  • Fecha de expiración de la tarjeta
  • Tipo de tarjeta

2012-062215-0939-99_3

Ataques de Denegación de Servicio (DoS)

Las tecnologías “contactless” son susceptibles a diversos tipos de ataques de denegación de servicio, entre los cuales se encuentran:

  • Bloqueo por intentos fallidos de autenticación: Como control para evitar potenciales pagos no autorizados en montos menores, después de una cantidad establecida de pagos sin autenticación se pide el PIN al usuario.  Si dicho PIN es ingresado de forma errónea varias veces, la tarjeta de bloquea. Empleando esta restricción, un atacante con un lector NFC puede “emular” solicitudes de pago en la tarjeta y enviar datos de PIN erróneos, causando un bloqueo de la tarjeta atacada.
  • Bloqueo por inhibición de frecuencia: En este ataque, un usuario malintencionado empleando un inhibidor de frecuencia puede bloquear la comunicación entre el transpondedor y el transceptor.

Ataque de relay

Bajo este modelo, un atacante se introduce en la comunicación entre una tarjeta NFC y un lector, capturando la información intercambiada y emulándola con una tarjeta falsa en transacciones posteriores. Este tipo de ataque fue válido en las primeras versiones de Google Wallet.

Más información en “Applying Relay Attacks to Google Wallethttp://www.mroland.at/fileadmin/mroland/papers/201304_GoogleWalletRelay_slides.pdf

¿Cómo protegerse de las vulnerabilidades de los sistemas contactless?

Como respuesta a las diferentes vulnerabilidades analizadas en las tecnologías “contactless”, han surgido alternativas para gestionar estos problemas, entre las cuales se encuentran:

untitled

Los estándares del PCI SSC y las tecnologías “contactless”

El estándar PCI DSS en el requerimiento 4.4.1 afirma lo siguiente:

4.1.1 Asegúrese de que las redes inalámbricas que transmiten datos de los titulares de las tarjetas o que están conectadas al entorno de datos del titular de la tarjeta utilizan las mejores prácticas de la industria (por ejemplo, IEEE 802.11i) a efectos de implementar cifrados sólidos para la autenticación y transmisión.

El cumplimiento de este control con tecnologías “contactless” da pie a muchas discusiones.  El hecho que NFC (que es una tecnología inalámbrica) sea susceptible a la captura de datos de tarjeta en texto claro implica que este control se incumple. Sin embargo, las propias marcas afirman lo contrario (http://www.visaeurope.com/en/cardholders/visa_contactless_payments/faqs.aspx):

Could the information from Visa payWave be intercepted during a transaction?

Visa payWave only works when a card is in very close proximity to a card reader – making it virtually impossible for the payment information to be intercepted en route.

Also, each card reader contains security technology based on industry-wide standards. Visa has worked with a wide range of industry bodies and technology companies to ensure only the best security solutions are adopted.

Por otro lado, el PCI SSC ha publicado los documentos “Guideline: PCI Mobile Payment Acceptance Security Guidelines” (https://www.pcisecuritystandards.org/documents/Mobile_Payment_Security_Guidelines_Merchants_v1.pdf) y “Guideline: PCI Mobile Payment Acceptance Security Guidelines” (https://www.pcisecuritystandards.org/documents/Mobile_Payment_Security_Guidelines_Developers_v1.pdf) en donde se describen una serie de recomendaciones generales tanto para comercios como para desarrolladores involucrados en la gestión de pagos empleando teléfonos móviles, que incluyen tecnologías “contactless”.

Como conclusión, las tecnologías “contactless” (RFID y NFC) traen consigo una serie de mejoras en la experiencia del usuario, ya que se desprende del uso del plástico tradicional remplazándolo con una etiqueta “contactless” o con un teléfono con capacidades inalámbricas, lo cual facilita la movilidad y facilidad en las transacciones. Sin embargo – y al igual que todas las tecnologías – estos desarrollos presentan una serie de vulnerabilidades que deben ser gestionadas para evitar potenciales fraudes.

Referencias:

A Global Overview of  Digital Wallet Technologies (http://propid.ischool.utoronto.ca/digiwallet_overview/)