Análisis de vulnerabilidades en pagos a través de NFC (tarjetas y móviles) (página 3)
Otros ataques o vulnerabilidades documentados
Fuera de las vulnerabilidades y ataques ya mencionados, existen otras que no han trascendido de la misma manera por su menor impacto social, importancia o porque sencillamente ya han sido corregidas. Entre estas se encuentran las llamadas flaws, palabra inglesa que significa "desperfecto" y hace referencias a fallos puntuales en el diseño del sistema que desembocan en vulnerabilidades definidas.
87 MILLAU, J. (10 de mayo de 2015), Banking card reader NFC (EMV) [Aplicación para Android]. Recuperado de: https://play.google.com/store/apps/details?id=com.github.devnied.emvnfccard [Consultado: 17 de mayo de 2015].
Uno de estos desperfectos88, revelado a finales de 2014 en la banca inglesa (lo que implica que ha pasado inadvertido para las autoridades durante mucho tiempo) implicaba la posibilidad de efectuar pagos en moneda extranjera por un importe ilimitado sin que el sistema solicitara la autenticación a través del PIN. O lo que es lo mismo: se aplicaba el mismo protocolo para las transacciones de gran entidad que para los pagos de menos de 20£. Las implicaciones que este agujero en la seguridad del sistema tendría si se combinara con el anteriormente descrito ataque de relay podrían ser devastadoras.
Hasta el momento, no hay noticias de que esta vulnerabilidad haya sido arreglada.
Otra posible vulnerabilidad es la inhabilitación de las funcionalidades de pago a través de chip EMV y NFC (por ejemplo, destruyendo los circuitos internos del chip mediante una sobretensión como la que se definió en el apartado del zapping de etiquetas) o la simple simulación de los mismos con el objetivo de obligar al comerciante a utilizar banda magnética. Este medio es reconocidamente inseguro, especialmente vulnerable al clonado y suele exigir únicamente la autenticación del titular a través de firma, con lo que un adversario malintencionado y con los medios técnicos adecuados dirigiría sus intereses a la consecución de este objetivo.
Vulnerabilidades de la tecnología integrada en teléfono inteligente
Antes de entrar a definir las vulnerabilidades de la funcionalidad NFC en pagos mediante teléfonos móviles, conviene perder unos instantes en consignar las dos posibilidades distintas que ofrece este medio.
La primera de las modalidades de uso se concreta a través de unas etiquetas especiales, distribuidas por las entidades bancarias que han dado el salto a las tarjetas NFC y desean fomentar la práctica del pago mediante el uso
88 EMMS, M. et álii (2014), Harvesting High Value Foreign Currency Transactions from EMV Contactless Credit Cards without the PIN, Escuela de Ciencias de la Computación, Newcastle (Reino Unido): Universidad de Newcastle
del teléfono inteligente89. Estas etiquetas, en formato pegatina, se adhieren a la parte posterior del terminal y permiten utilizar el móvil como si se tratara de una tarjeta sin contacto, pasando el terminal sobre el lector. Las pegatinas se encuentran asociadas a una tarjeta ya existente, y dadas sus características e idéntico sistema, de cara a la caracterización de sus vulnerabilidades, pueden considerarse análogas a las mencionadas en el epígrafe destinado a las propias tarjetas que montan NFC.
Por otro lado, se encuentran los dispositivos móviles que incluyen de serie un lector NFC. Como se exponía en el capítulo 2, es posible que dos entidades lectoras se comuniquen entre sí, con lo que en teoría debería ser posible activar una o varias "tarjetas virtuales" asociadas a cuentas bancarias que a través de esta funcionalidad realizaran pagos. Esto que en apariencia es tan sencillo, ha devenido en numerosos problemas prácticos debido a la necesidad de almacenar los datos sensibles como nombre del titular, número de tarjeta, etc. (en el caso de la tarjeta, almacenados en el chip) en un "elemento seguro". Este "elemento seguro" es un dispositivo hardware que ofrece una serie de servicios de seguridad (registro de cambios, criptografía, ejecución de módulos software, almacenamiento seguro, etc.). Su nivel de confianza se evalúa conforme a los Common Criteria90 y no está restringido a un solo tipo de dispositivos, sino a distintas materializaciones (procesadores, tarjetas inteligentes, memorias, etc.)91. Si bien en un principio se consideró, de cara a mantener la seguridad del sistema, que el elemento seguro para este tipo de aplicaciones debía ser un chip como el de las tarjetas inteligentes (existen implementaciones comerciales de éstos en tarjetas SIM, pero su uso es residual debido a las complejas relaciones entre entidad bancaria, titular y operadora telefónica), hoy en día se está apostando por un elemento seguro "en la nube": a través de emuladores de tarjetas inteligentes, almacenamiento
89 LÓPEZ, R. (30 de mayo de 2013), Ya circulan en España 50.000 pegatinas contactless de Visa para pagar con el móvil, Applicantes. Recuperado de: http://applicantes.com/contactless- visa-paywave-sticker-app/
90 ISO/IEC (2009), ISO/IEC 15408 – Information technology – Security techniques – Evaluation criteria for IT security – Part 1: Introduction and general model.
91 VAUCLAIR, M. (2011), Secure element, en VAN TILVORG, H. y JAJODIA, S., Encyclopedia of Cryptography and Security (2ª ed.), Heidelberg: Springer.
cifrado y "tokenización". Este tipo de tecnología se prevé clave en los desarrollos en seguridad de los próximos años, de tal forma que incluso el Informe anual de ciberamenazas publicado por el CCN-CERT menciona los ataques a este sistema como probables92.
Cabe destacar que la tecnología NFC sobre teléfono móvil está sometida en general a las mismas vulnerabilidades que las tarjetas, debido a que emplea los mismos protocolos de cifrado y autenticación antes descritos. La mejora y ampliación de las funcionalidades y comodidades en este medio tiene, por contra, el inconveniente de que aparecen vulnerabilidades particulares en este sentido.
Aplicaciones vulnerables o malignas
Una de los principales puntos del sistema que más suspicacias ha levantado es la posibilidad de que distintas aplicaciones o programas maliciosos puedan interceptar los datos bancarios con los que se opera.
Es cierto que las entidades emisoras y los bancos han puesto gran énfasis en la creación de elementos seguros que en la práctica blindan los datos que atraviesan el teléfono. Sin embargo, algo que se olvida con habitualidad es el factor humano. Al generalizarse las TIC, un gran número de personas sin conocimientos técnicos pueden verse obligadas a utilizar este tipo de tecnologías, lo que en la práctica lleva a errores fatales frente a los ataques que se aprovechan de la ignorancia o la inexperiencia.
Así, puede ser un escenario factible el desarrollo por parte de un adversario de una aplicación que, al detectar tráfico de datos a través de la funcionalidad NFC, solicite al usuario el número PIN o cualquier otro dato sensible de una tarjeta bancaria asociada a la cuenta objeto de la transacción. Esto, que es algo que en circunstancias normales nunca ocurriría (el PIN solo se debe escribirse en teclados securizados, como se deduce de la PCI DSS93) para un usuario sin conocimientos puede significar la puesta en manos de un
92 CCN-CERT (marzo de 2015), Informe de amenazas CCN-CERT IA-09/15 – Ciberamenazas 2014 y Tendencias 2015, p. 88.
93 Requerimiento 9.9.
adversario malintencionado una información que ponga en peligro su capital.
De la misma manera, pueden desarrollarse aplicaciones aparentemente íntegras y que en su interior contengan código malicioso: a día de hoy existen numerosos keyloggers y funcionalidades que registran la actividad del teléfono y las entradas de texto que se realizan en él94, pudiendo dejar al descubierto para un adversario malintencionado datos tan comprometidos como números de cuenta, de tarjeta de crédito, contraseñas de banca electrónica, etc.
Incluso puede desarrollarse un escenario especialmente peligroso en el cual el adversario, a través del malware instalado en el teléfono, tiene acceso a los mensajes SMS del usuario. Esto le podría permitir, si también conoce la información de acceso al aplicativo bancario web con que opera el usuario realizar transferencias bancarias95. Es importante destacar que éste no es un escenario tan descabellado: la banca móvil se está revelando como una opción atractiva para mucha gente, y se espera que sus usuarios crezcan con fuerza en los próximos años96.
Ataques de spoofing o suplantación de entidades
En términos de seguridad informática, los ataques de spoofing (o de suplantación de entidades) son aquellos que, mediante distintas técnicas, suplantan realidades que no varían durante la realización de un procedimiento (asignación de privilegios, autenticación, etc.). El objetivo de estas suplantaciones son normalmente nombres de dominio, direcciones IP o direcciones MAC97, de tal manera que con ello los adversarios obtienen una
94 KUMAR, S. (10 de mayo de 2015), There may be a mole in your banking app, Live Mint. Recuperado de: http://www.livemint.com/Money/nU9QCUQg0yxpLUJvmX6dfP/There-may-be- a-mole-in-your-banking-app.html
95 Para la realización de transferencias bancarias, las entidades suelen solicitar la autenticación del usuario aunque ya se haya autenticado al entrar en la plataforma online del banco con su usuario y contraseña, de tal manera que se establece un segundo filtro para prevenir acciones delictivas. Esta segunda autenticación normalmente se realiza, dependiendo del banco, mediante un código obtenido por una tarjeta de coordenadas que se entrega físicamente al usuario o mediante un mensaje SMS a su móvil.
96 CHASCO, M. (junio de 2014), Los usuarios de la banca móvil crecerán un 64% hasta 2016 en detrimento de otros canales tradicionales, PwC. Recuperado de:
http://www.pwc.es/es/sala-prensa/notas-prensa/2014/encuesta-mundial-banca-digital.jhtml
97 PELLEJERO, I. et álii (2006), Redes WLAN – Fundamentos y aplicaciones de seguridad, Barcelona: Marcombo.
ventaja radicada en la existencia de unos privilegios asignados a tal entidad.
El ataque de spoofing en NFC no es tan evidente como en los casos de redes informáticas al uso, y se encuentra más bien restringido a la obtención fraudulenta de información personal o a la explotación de recursos que a la estafa financiera, si bien ésta también es posible.
El caso típico de spoofing mediante NFC se produce cuando una etiqueta NFC maliciosa se caracteriza como una etiqueta íntegra (valgan como ejemplo las existentes en el metro de Tokio, vid. figura 8). La suplantación puede producirse de forma física, si el adversario coloca la etiqueta maliciosa en el lugar donde está la legítima (puede destruirse la
Figura 8
Póster inteligente en el metro de Tokio
etiqueta legítima o no, teniendo en cuenta que si no se destruye se podrían producir colisiones pero también se podría "camuflar" la acción del malware) o de forma lógica, modificando los valores del título y/o la URL que la etiqueta original posee para adaptarlo a los intereses del adversario98. Si bien NFC Forum modificó el estándar a raíz de ataques de este tipo99, la innovación (que tardó un año en llegar) se limitó a garantizar la integridad de los contenidos lícitos a través de un procedimiento de firma electrónica, sin impedir a los terminales el acceso a tales sitios en situaciones de fraude ni directamente modificar la etiqueta.
La víctima, creyendo que se trata de un anuncio o una promoción común y no de una amenaza para su privacidad, activa el campo NFC de su terminal y
98 MULLINER, C. (18 de marzo de 2009), Vulnerability Analysis and Attacks on NFC-enabled Mobile Phones, en M. Takizawa y M. Tjoa (Presidencia), ARES 2009 – International Conference on Availability, Reliability and Security, pp. 695-700, IEEE. Conferencia llevada a cabo en el Instituto de Tecnología de Fukuoka, Japón.
99 CLARK, S. (11 de febrero de 2010), NFC Forum spec adds digital signatures to prevent tag tampering, NFC World. Recuperado de: http://www.nfcworld.com/2010/02/11/32704/nfc-forum- spec-adds-digital-signatures-to-prevent-tag-tampering/
lo acerca al área barrido por la etiqueta. El terminal móvil, en ese momento, pasa a leer dicha etiqueta y ejecuta las instrucciones que esta le dicta: "abre tal página web", "ejecuta tal plugin", "descárgate tal aplicación", etc. En este momento, el punto NFC malintencionado tiene bajo su poder la posibilidad de impeler al terminal a realizar un gran número de acciones: desde descargar una aplicación que le infecte el dispositivo con malware hasta abrir una página web para realizar una compra fraudulenta.
¿Un ataque de NFC spoofing puede forzar a nuestro dispositivo a realizar una compra no deseada? Teóricamente no. Al menos no de forma directa, ya que las entidades que operan transacciones online exigen que se ejecuten varias confirmaciones a la hora de realizar el pago (póngase como ejemplo la Play Store de Android o los comercios que permiten compras por Internet). Sin embargo, sí puede provocar una llamada de teléfono o el envío de un SMS de forma automática a números de tarificación especial, lo que en la práctica acaba siendo una forma de fraude.
También puede suponer un peligro potencial a ese respecto el hecho de que se ejecuten descargas de programas malignos. Así, solo con leer una etiqueta es posible infectar el teléfono de un usuario con una aplicación espía como las descritas anteriormente, pudiendo el atacante desarrollar una actividad de fraude bancario desde este punto. Y el vector de entrada perfecto al terminal móvil, por su fiabilidad, es el spoofing de etiquetas NFC legítimas, en las que la población confía.
Contramedidas por parte de los usuarios
Si bien la prensa técnica, la industria y muchos expertos avalan la utilidad de esta tecnología y su enorme futuro, existe un amplio sector dentro de los investigadores en materia de seguridad que aún prefiere mantener las distancias con respecto a ella. Algunos, incluso, propugnan romper con el sistema, por considerar que es una aplicación que "en la sombra, abre nuevas
formas de ser robado"100.
A este respecto, el usuario puede desarrollar una lícita inquietud acerca de cómo actuar para reducir al mínimo el riesgo de ser objeto de un fraude bancario a través de una funcionalidad NFC que posiblemente ni siquiera conozca. Así, a continuación se expone una recopilación de consejos enunciados por algunos de los expertos citados en esta obra encaminados a aumentar la seguridad de las transacciones financieras en materia de NFC.
En primer lugar, si el usuario está interesado en mantener el uso de la funcionalidad pero incrementando la seguridad de la misma (precauciones como dificultar la realización de transacciones no deseadas, asegurar de la privacidad, etc.), el objetivo fundamental de las contramedidas debe encaminarse hacia mantener unas buenas prácticas con los medios NFC que posea. Para ello, las mejores opciones implican el uso del sentido común y el conocimiento de la tecnología. La desactivación del campo NFC del dispositivo móvil mientras no se esté utilizando es una medida juiciosa a este respecto, y que además puede conllevar otras ventajas como un pingüe ahorro de energía. En el mismo orden de cosas, y hablando también de dispositivos móviles, es necesario mantener un control estricto de las aplicaciones que se instalan en los dispositivos con esta funcionalidad (a fin de evitar espionajes de datos), y configurar el terminal para no realizar acciones automáticas ante la lectura de etiquetas pasivas como las contenidas en los "pósteres inteligentes", además de solo leer aquellas que hayan sido firmadas por una entidad reconocida101. En el caso de las tarjetas, en este sentido solo puede proponerse el control y la vigilancia constante de las mismas, tratando de mantenerlas en un lugar distante de aquellos donde puedan leerse con facilidad (bolsillos exteriores en pantalones o mochilas, por ejemplo). También existe la posibilidad de utilizar carteras-jaula de Faraday102 o de fabricar mecanismos de protección ad hoc
100 NTT (15 de septiembre de 2013), How to Disable 'Contactless Payment' on Your Debit Card, Instructables. Recuperado de:
http://www.instructables.com/id/How-to-Disable-Contactless-Payment-on-Your-Debit-C/
101 LÓPEZ-NEGRETE, M., ESPARZA, J. M. (febrero de 2012), NFC: El avance imparable del pago por móvil, SiC, nº 98, p. 74.
102 Koruma – Cartera organizador con bloqueo de señales RFID (AMAZON). Recuperado de:
mediante papel de aluminio siguiendo el mismo principio físico103.
Sin embargo, si lo que se pretende es neutralizar por completo la capacidad NFC de una tarjeta (con el móvil serviría deshabilitarla simplemente en el menú de opciones), el usuario se encuentra de bruces con una serie de problemas para poner en marcha contramedidas eficaces. Para empezar, muchas entidades bancarias ya han implantado de forma generalizada el pago NFC, de tal manera que las tarjetas de crédito y débito que reparten incluyen en todos los casos el chip de pago sin contacto, sin posibilidad de deshabilitar tal funcionalidad, independientemente del deseo expreso del cliente.
¿Qué posibilidades restan, entonces, a un usuario que quiera deshabilitar esta funcionalidad? Los ya mencionados Vila y Rodríguez comentaron en su conferencia de las jornadas STIC 2012 la posibilidad de troquelar la tarjeta de tal manera que se dañara la antena, pero sin afectar al chip EMV. El procedimiento consiste en encontrar un lugar por donde atravesar la
tarjeta, abriendo el circuito e inutilizando
Fuente: Universal Smart Cards
así únicamente la funcionalidad NFC. La ISO/IEC 14443-1104 define la posición de la antena en la tarjeta (aunque conviene recordar que no todas las tarjetas siguen esta normativa), con lo que solo habría que calcular la distancia a los extremos (o mirar la tarjeta a trasluz respecto de una fuente luminosa de alta intensidad) y proceder al troquelado con una taladradora o una herramienta análoga en algún punto donde se considere que se encuentra la antena.
Otros autores (Esparza, 20 dic. 2012) mencionan también la posibilidad de introducir la tarjeta en un microondas. Sin embargo, esta práctica, aparte de
http://www.amazon.es/Koruma-Cartera-organizador-bloqueo-se%C3%B1ales/dp/B00915P8QQ [Consultado: 18 de mayo de 2015].
103 PENALVA, J. (2005), Cómo hacerte tu propia cartera anti RFID, Xataka. Recuperado de: http://www.xataka.com/otros/como-hacerte-tu-propia-cartera-anti-rfid
104 ISO/IEC (2008), ISO/IEC 14443-1 Identification cards – Contactless integrated circuit cards – Proximity cards – Part 1: Physical characteristics, p. 3.
peligrosa, es complicada de ejecutar con éxito. Acorde a un experimento realizado por el propio investigador que suscribe, un horno microondas a una potencia de 800W es capaz de inutilizar por completo una tarjeta bancaria NFC en menos de tres segundos, incluido el propio chip EMV. Es posible que si el tiempo es menor, solo se destruya la antena, pero la complicación práctica de esto lo hace poco viable.
A este respecto es importante reseñar que, aunque depende del contrato firmado con la entidad, por lo general las tarjetas bancarias suelen ser propiedad del banco, quien cede su uso al titular de las mismas. Así pues, el uso indebido (o lo que considere el banco por uso indebido) podría devenir en responsabilidades civiles y/o penales.
Consideraciones legales
El presente capítulo, que compone la última parte de la investigación, pretende concernir al marco legal que ampara a los usuarios de los sistemas NFC. En él, el investigador tratará de explicar cómo afecta la normativa aplicable al uso de esta tecnología, tanto a nivel de conocimiento de los derechos que amparan a cada parte implicada como a nivel penal, en previsión de posibles ataques que aprovechen las vulnerabilidades antes descritas.
En los últimos tiempos, las nuevas tecnologías han cobrado una importancia fundamental en materia legal. El dinamismo con el que se desarrollan cada día nuevos sistemas informáticos contrasta con el inmovilismo típico del Derecho, que siempre suele ir un paso por detrás. Por otro lado, el sentido generalista del que se dota a las leyes, y más específicamente a los códigos penales con el fin de que estos textos sean aplicables independientemente de la tecnología existente en cada momento (de igual manera ocurre con los sistemas consuetudinarios equivalentes en los países en que rige el Derecho anglosajón, aunque por otros motivos), consigue en muchas ocasiones que ciertas actividades que a priori pudieran parecer a todas luces delictivas sean resueltas por la judicatura sin responsabilidad.
La idiosincrasia de los pagos mediante NFC es un paso más allá en este sentido. Es complicado incluso definir si la tecnología NFC es un mero medio de transmisión de datos (Finkenzeller óp. cit., p. 57), a lo que se podrían imputar tipos penales relacionados con el descubrimiento y revelación de secretos o si, al poder emplearse conjuntamente con medios de pago como tarjetas, se le concede el estatus de medio de pago en sí mismo, lo que abre una serie de tipos penales distintos. Las siguientes páginas se desarrollan en las arenas movedizas de la indefinición y el vacío legal, y no suponen más que conjeturas desarrolladas en base a legislación consolidada y a jurisprudencia.
Tipos delictivos asociados al uso fraudulento de las tarjetas de crédito
La ya amplia andadura de las tarjetas de crédito en nuestro país ha devenido en una vasta jurisprudencia al respecto en materia penal. No
obstante, la gran cantidad de formas de fraude a través de estos medios de pago hace necesaria una identificación clara del problema a tratar antes de su evaluación; más aún si cabe desde que en marzo de este mismo año las Cortes Españolas aprobaran un nuevo Código Penal (actualmente en vacatio legis hasta julio de 2015), en base al cual tratarán de exponerse las conductas punibles a este respecto. Así pues, utilizando la diferenciación realizada por Javato para las tarjetas bancarias convencionales (2013, p. 4) y haciéndola extensiva a la tecnología en cuestión en el presente texto, pueden existir distintas modalidades de fraude bancario objeto de estudio, las cuales pasan a ser descritas a continuación, considerando las posibilidades de dicho fraude en base a las vulnerabilidades descritas en el artículo anterior.
La primera de las posibilidades de fraude es el pago mediante la presentación de una tarjeta ajena en comercios. La antigua redacción del Código Penal105 consideraba reo de estafa a todo aquel que "utilizando tarjetas de crédito o débito […] o los datos obrantes en cualquiera de ellos, realice operaciones de cualquier clase en perjuicio de su titular o de un tercero", fijando en 400€ la cuantía a partir de la cual se consideraba delito (art. 249). Teniendo en cuenta que la mayoría de estas acciones no superarían los 20 euros por razones antes mencionadas, tenemos que esta actitud caería en general bajo la definición de falta de estafa. Con la eliminación del Libro III del CP en base a la nueva redacción106 en la cual la tipificación del reo de estafa no cambia (ni las consideraciones respecto a las tarjetas bancarias), la antigua falta de estafa pasa a considerarse "delito leve" tipificado en el artículo 249, penado con multa de uno a tres meses, de igual manera que se mantiene la pena para delitos de estafa, de 6 meses a 3 años de prisión en su modalidad no agravada. Otro aspecto importante en este tipo delictivo es que la doctrina del TS ha venido señalando107 la posibilidad de la tipificación de la misma como delito de estafa en concurso medial con falsedad en documento mercantil (art. 390 CP) cuando exista simulación de la firma del titular, caso en el cual pasaría
105 Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, BOE núm. 281, de 24 de noviembre de 1995.
106 Ley Orgánica 1/2015, de 30 de marzo, por la que se modifica la LO 10/1995, de 23 de noviembre, del Código Penal, BOE núm.77, de 31 marzo de 2015.
107 SSTS de 9 y 30 de mayo de 2007.
a aplicarse la pena del delito más grave en su mitad superior. Aunque últimamente este medio de autenticación ha caído en desuso, es posible que en próximos desarrollos se retome en base a los nuevos avances en materia de biometría. También conviene destacar que la nueva redacción del CP establece la posibilidad de condenar a un sujeto por delito de estafa en su modalidad agravada (de 1 a 6 años de prisión) si el reo hubiera sido condenado previamente tres veces por delitos contenidos en capítulo VI. A este respecto se remarca la novedad de que la nueva redacción abre la puerta a que tal condena se produzca en base a tres delitos leves antes tipificados como faltas, o, más cercano a lo expuesto en este texto, tres fraudes de menos de veinte euros. En resumidas cuentas, la compra fraudulenta en comercios a través de tarjetas de crédito ajenas, actividad a la que también parecen poder adscribirse los ataques de relay, queda consignada como delito de estafa si el importe de la operación excede de 400€ o delito leve de estafa si es inferior, pudiendo darse concurso medial si existe simulación de firma y agravante de reincidencia si se comete más de tres veces, independientemente de la cuantía.
Otra posibilidad de fraude se constituye a partir del pago no presencial a mediante datos obtenidos ilícitamente (números de tarjeta, PIN, etc.). En este caso, el CP es claro en su artículo 248, donde califica como reos de estafa a "los que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro". Y así se contempla en la doctrina de distintos tribunales108. Es el caso aplicable a los ataques de explotación de vulnerabilidades en el almacenamiento de datos, en el desarrollo de aplicaciones maliciosas y el spoofing de etiquetas.
El caso práctico de los descritos en el presente texto que resta por tratar es la clonación de tarjetas de crédito fruto de la explotación de las vulnerabilidades en el almacenamiento de datos en las tarjetas inteligentes con funcionalidad NFC, así como su uso en cajeros y en comercios. Esta modalidad
108 Un ejemplo práctico muy parecido al escenario propuesto puede encontrarse en la reciente Sentencia nº 128/2015 de la Audiencia Provincial de Madrid, así como en la anterior Sentencia del Tribunal Supremo nº 896/2008.
delictiva, conocida como skimming y que con NFC puede adquirir una nueva dimensión, ha sido ampliamente tratada y hoy día se encuentra ya asentada, si bien el desarrollo de este respaldo no ha estado exento de polémica. Así, Laborda (2011, pp. 25) señala que, ante un sinnúmero de vaivenes en la tipificación, se ha formalizado que tanto la disposición de efectivo en cajero mediante una tarjeta clonada como su uso para pagos en comercios caiga bajo la tipificación del artículo 399 bis del CP (ap. 3), incluido en la reforma de 2010 en base a las dificultades que ofrecía el ya mencionado artículo 248.2109 (estafa informática), que era el artículo en el que se enmarcaban ambas conductas. Esta antigua tipificación hubiera dado problemas en la materia tratada en este texto, ya que exigía la existencia de engaño para consignar la tipificación110. Finalmente, la falsificación de tarjetas y el tráfico de tarjetas falsificadas están penados también en el artículo 399 bis (ap. 1 y 2), y su redacción no deja lugar a dudas si bien hasta 2010 vinieron enmarcándose en el artículo 386.1.
Finalmente, es conveniente citar como marco legal aplicable la Ley 16/2009, de 13 de noviembre, de servicios de pago. En ella se definen los derechos y obligaciones que rigen las relaciones entre partes. Lo más destacable de esta ley para este texto es lo relativo al establecimiento de responsabilidades en casos de operaciones no autorizadas. Así, en su artículo 32, consigna la responsabilidad del ordenante (usuario), estableciendo que será éste quien se haga cargo de las pérdidas: 1, si éstas son menores de 150 euros, en casos de medios de pago extraviados o sustraídos (salvo notificación previa al cargo); y 2, si éstas son consecuencia de su negligencia o incumplimiento de sus obligaciones. Sin embargo, estas disposiciones no se prevén de aplicación al caso de NFC, al menos en sus primeros momentos, ya que las entidades bancarias, como ya se ha mencionado anteriormente, prefieren asumir las pérdidas derivadas del mal uso antes que se publiquen noticias en base a la seguridad que pongan el riesgo el futuro de la tecnología.
109 TRIBUNAL SUPREMO (Sala de lo Penal, Sección 1ª). Sentencia núm. 369/2007 de 9 de mayo.
110 Necesidad avalada por la Sentencia del Tribunal Supremo 692/2006 de 26 de junio.
Conclusiones
En las siguientes líneas, se pretende unificar las distintas ideas e impresiones obtenidas en cada una de las líneas de investigación expuestas en la introducción del trabajo.
Ciertamente, el proceso de maduración de una idea es complicado y exige una fuerte mentalidad crítica, al mismo tiempo que una objetividad que permita realizar un juicio acertado, evitando tomar partido de forma particular, en base a creencias y ofuscaciones personales. Esta realidad cobra una importancia aún mayor cuando se trata de temas tan disputados como el expuesto en este texto: una tecnología puntera, llamada por unos a convertirse en el futuro de las transacciones financieras, y desairada por otros, que la consideran poco menos que una vulnerabilidad en sí misma.
En esta situación, el trabajo del investigador no es tomar partido por uno u otro extremo, sino exponer detalladamente las características del sistema una a una, desgranando sus capacidades, sus potencialidades, los riesgos que la amenazan y sus puntos vulnerables. Y, de esa firme y objetiva exposición, inferir una serie de enunciados que, sin implicar opiniones partidistas, supongan la necesaria deducción del trabajo de investigación realizado.
Así, pasan a exponerse una por una las conclusiones obtenidas tras varios meses de investigación, relacionándose con los capítulos del texto en que más se ha profundizado al respecto; y finalmente, se verifica si la hipótesis propuesta al inicio de la misma es válida o no.
En primer lugar, se comprueba que el uso de la tecnología NFC para la realización de pagos lleva consigo una fuerte inversión por parte de entidades bancarias, emisores y comerciantes, quienes han apostado fuerte por una tecnología aún desconocida en Europa pero con arraigo ya en países como Japón o Corea. Esta inversión no es solo percibida en base a los esfuerzos realizados por la implantación del estándar, sino también y sobre todo de los pasos que se han ido dando en el desarrollo de las distintas funcionalidades que en algún momento han estado presentes en las tarjetas de pago (capítulos
1 y 2).
Es un hecho que esta apuesta no se debe a cuestiones relacionadas con la seguridad del sistema, sino más bien con la implementación de estrategias empresariales e institucionales que mejoren las estadísticas de consumo de la población general a través de un incremento en el uso de los medios de pago de tipo tarjeta bancaria (crédito o débito). La razón se encuentra de forma sencilla en el empeño que se lleva mostrando desde hace años por precipitar un cambio en la mentalidad de la población que no acaba de llegar (capítulos 2 y 3). Lo que nos lleva a la siguiente conclusión.
Ciertamente, no existe demanda por parte de la población en general de este tipo de medios. O no, al menos, de la forma en que la industria lo esperaba o deseaba. Solo así se explican las drásticas medidas tomadas por estas instituciones, que mediante la imposición del estándar NFC en las vidas de las personas (obligación de ostentar tarjetas bancarias sin contacto, imposibilidad de desactivar la funcionalidad, agresivas campaña de marketing…) esperan crear en la sociedad tal demanda por la fuerza (capítulos 1 y 3).
Por otro lado, es un hecho también que existe una creciente preocupación en materia de seguridad a este respecto tanto por parte de las entidades anteriormente mencionadas, así como por parte de los clientes del sistema, quienes les exigen soluciones para los problemas que van apareciendo. Esto es un arma de doble filo para los desarrolladores: por un lado, implica que la población comienza a interesarse por una tecnología que lleva años buscando su lugar y que no acaba de despegar, pero por otro, las exigencias en materia de seguridad en vista del estado actual de la tecnología, pueden desembocar en una contestación social que acabe por dinamitar los esfuerzos realizados para poder situar este estándar en un punto central de las vidas de los ciudadanos (capítulo 3).
Y es que, efectivamente, la conclusión principal que se extrae de las páginas anteriores es que la tecnología NFC adolece de numerosas vulnerabilidades. Y a este respecto, una de las realidades más remarcables es
que dichas vulnerabilidades no se dan (o se dan de forma testimonial) en tecnologías análogas, como la del chip EMV, lo que a muchos ojos pone en duda la utilidad de la tecnología sin contacto (capiítulos 1, 2 y 3).
Una vez más, se extrae otra conclusión desde las anteriores: NFC no es una tecnología desarrollada con el fin de proveer de una mayor seguridad a las transacciones realizadas mediante tarjeta, sino para crear un entorno de mayor comodidad en las mismas (capítulos 1, 2 y 3). Objetivo de otro trabajo de investigación puede ser la evaluación de si, socialmente, la población prefiere abogar por una mayor seguridad o una mayor comodidad en estas transacciones, para caracterizar hasta qué punto es procedente la inversión en estas tecnologías.
Para terminar, se considera que el marco normativo español en materia de control de actividades ilícitas relacionadas con medios de pago, está lo suficientemente avanzado como para acoger con éxito la llegada de esta nueva funcionalidad sin tener que enfrentarse a vacíos legales ni dejar desprotegidos a los usuarios de la misma (capítulo 4).
En base a lo anteriormente expuesto, así como a lo investigado por el autor en las páginas precedentes, se considera que la hipótesis señalada al inicio del trabajo111 ha sido verificada con éxito. Por más que el uso de NFC genere riesgos, no existen en la práctica vulnerabilidades que supongan un peligro crítico para la estabilidad del sistema o de sus usuarios.
Sin embargo, una consideración que sería procedente añadir, a ojos del autor, es la referente a la dudosa necesidad de esta tecnología por parte de la sociedad: la existencia de sistemas análogos más seguros y aceptados por el usuario genera una duda razonable en cuanto a la posible aceptación por parte de los usuarios de tarjetas bancarias del estándar NFC en su día a día.
111 Esto es, que el pago a través de medios NFC no es realmente seguro en tanto a que adolece de diversas vulnerabilidades, si bien estas pueden no suponer impedimento efectivo para su utilización de forma generalizada.
GLOSARIO DE TÉRMINOS TÉCNICOS
Autenticación: Proceso por el cual el usuario se identifica en forma inequívoca; es decir, sin duda o equivocación de que es quien dice ser (Fuente: CITEL).
Botnet: Anglicismo referido a la entidad compuesta por una red de ordenadores conectados entre sí de forma automática y generalmente sin conocimiento de sus dueños (a través de malware y vulnerabilidades de los sistemas) que son operados por un adversario malintencionado en su beneficio (realización de ataques DDoS, ruptura de claves, etc.).
Colisión: Proceso indeseado que ocurre cuando varios lectores RFID tratan de leer una misma etiqueta, o simplemente cuando existen varias tarjetas en el espacio barrido por un lector.
Concurso medial: Forma de determinación de la pena que se produce en los casos en que una actuación delictiva constituye dos o más delitos siendo uno de ellos un medio imprescindible para cometer otro (Fuente: Enciclopedia Jurídica).
Confidencialidad: Prevención de la divulgación no autorizada de una información (Fuente: ITSEC).
Criptosistema de clave pública: O criptosistema asimétrico, es un sistema de seguridad de la información mediante el cual los procesos de cifrado – descifrado se realizan mediante duplas de claves: una pública, conocida por toda la infraestructura (usuarios), y otra privada, e individual, conocida únicamente por el usuario que la ostenta. Supone la base sobre la que se asientan los fundamentos de la firma electrónica.
Disponibilidad: Característica de la información por la cual se encuentra disponible de manera inequívoca para quienes deben acceder a ella.
Esteganografía: Conjunto de técnicas y saberes por los cuales se intenta ocultar la existencia de una comunicación y/o de un mensaje (Fuente: Tapiador y Peris).
Inducción magnética: Proceso por el cual campos magnéticos generan campos eléctricos, o viceversa.
Ingeniería social: Conjunto de técnicas a través de las cuales se emplea la psicología estadística aplicada a personas o a masas de personas con el objetivo de obtener unos resultados concretos.
Infraestructura de clave pública (PKI): Combinación de hardware, software, políticas y procedimientos de seguridad que permiten la ejecución con garantías de operaciones criptográficas como el cifrado, la firma digital o el no repudio de transacciones electrónicas (Fuente: Wikipedia)
Integridad: Propiedad de la información que se encuentra libre de manipulación y corrupción.
Librería: Conjunto de implementaciones funcionales, codificadas en un lenguaje de programación, que ofrece una interfaz bien definida para la funcionalidad que se invoca
Norma de facto: Norma que, sin haber sido adoptada por un organismo de normalización oficial (ISO, AENOR,etc.) es adoptada como tal por la comunidad.
Seguridad de la información: Entidad abstracta, unión de los conceptos de confidencialidad, integridad y disponibilidad.
Skimming: O clonado de tarjetas, práctica delictiva por la cual se produce la manipulación de los datos de las pistas de la banda magnética de una tarjeta genuina una vez ha sido copiada, alterando también los datos concernientes al nombre del titular con el objetivo de hacerse con parte del patrimonio de la víctima (Fuente: Tribunal Supremo).
Bibliografía
ACOSTA, D. (2013), ¿Cómo funcionan las tarjetas de pago? Parte IV: Banda Magnética, PCI Hispano, http://www.pcihispano.com/como-funcionan-las- tarjetas-de-pago-parte-iv-banda-magnetica/ [Consultado: 18 de abril de 2015].
ADICAE (2012), Estudio Jurídico sobre el impacto del fraude, Asociación de Usuarios de Bancos, Cajas y Seguros, Zaragoza: ADICAE. Recuperado de: http://asp.adicae.net/proyectos/internacionales/fraudemediosdepago/semina rio/archivos/EstudioJuridicoFraude_ES.pdf [Consultado: 17 de mayo de 2015].
AGUADO, J.M., FEIJÓO, C., MARTÍNEZ, I. (2014), La comunicación móvil, hacia un nuevo ecosistema digital, Barcelona: Gedisa.
AUDIENCIA PROVINCIAL DE MADRID (Sección 1ª). Sentencia núm. 128/2015 de 17 de marzo.
BAGAD, V., DHOTRE, I. (2009), Computer Networks – II, p. 5-73, Pune: Technical Publications Pune.
BANCO DE ESPAÑA (2014), La estabilidad del sistema financiero: el dinero, http://aulavirtual.bde.es/wav/html/estabilidad_financiera/dinero_pop.html [Consultado: 13 de abril de 2015].
BOUREANU, I. et álii (2013), Practical & Provably Secure Distance-Bounding, Lausana (Suiza): Escuela Politécnica Federal de Lausana
BORGHELLO, C. F. (2014), Seguridad Lógica – Identificación y Autentificación, Segu-Info, http://www.segu-info.com.ar/logica/identificacion.htm
BOYD, C. (2003), Protocols for authentication and key establishment, Heidelberg: Springer-Verlag.
CARDWERK, ISO 7816,
http://www.cardwerk.com/smartcards/smartcard_standard_ISO7816.aspx
CCN-CERT (marzo de 2015), Informe de amenazas CCN-CERT IA-09/15 – Ciberamenazas 2014 y Tendencias 2015.
CHASCO, M. (junio de 2014), Los usuarios de la banca móvil crecerán un 64% hasta 2016 en detrimento de otros canales tradicionales, PwC. Recuperado de: http://www.pwc.es/es/sala-prensa/notas-prensa/2014/encuesta-mundial- banca-digital.jhtml
CLARK, S. (11 de febrero de 2010), NFC Forum spec adds digital signatures to prevent tag tampering, NFC World. Recuperado de:
http://www.nfcworld.com/2010/02/11/32704/nfc-forum-spec-adds-digital- signatures-to-prevent-tag-tampering/
COCA, C. (2012), ¿Dónde está el dinero?, ABC. Recuperado de: http://www.abc.es/20111118/economia/abci-dinero-donde-esta- 201111180803.html
CRYPTOMATHIC (2013), EMV Key Management – Explained. http://www.cryptomathic.com/media/51203/cryptomathic%20white%20paper emv%20key%20management.pdf
CUGC (2014), Manual de Ciencias Forenses II de 4º curso, Aranjuez: CUGC.
DAEMEN, J., RIJMEN, V. (2002), The Design of Rijndael: AES – The Advanced Encryption Standard, Berlin: Springer-Verlag.
DINERS CLUB INTERNATIONAL (2015), About us: timeline,
http://www.dinersclub.com/about-us-timeline.html [Consulta: 10 de abril de 2015].
DRIMER, S., MURDOCH, S. (2007), Keep your enemies close: Distance bounding against smartcard relay attacks, Laboratorio de Computación, Cambridge (Reino Unido): Universidad de Cambridge.
EFFING, W., RANKL, W. (2003), Smart Card Handbook, Chichester: Wiley.
EMMS, M. et álii (2014), Harvesting High Value Foreign Currency Transactions from EMV Contactless Credit Cards without the PIN, Escuela de Ciencias de la Computación, Newcastle (Reino Unido): Universidad de Newcastle
EMVCO (2015), About EMVco, http://www.emvco.com/about_emvco.aspx
EFF (Martes, 19 de enero de 1999), RSA Code-Breaking Contest Again Won by Distributed.Net and Electronic Frontier Foundation (EFF) – DES Challenge III Broken in Record 22 Hours, eff.org. Recuperado de: http://web.archive.org/web/20011125074747/http://www.eff.org/Privacy/Cryp to_misc/DESCracker/HTML/19990119_deschallenge3.html
ENCICLOPEDIA JURÍDICA (2014), http://www.enciclopedia- juridica.biz14.com/inicio-enciclopedia-diccionario-juridico.html
ESPARZA, J. M. (1 de noviembre de 2012), Give me your credit card, the NFC way, en J. N. Castellano (Presidencia), No cON Name 2012, conferencia llevada a cabo en Barcelona, España. Recuperado de: https://www.noconname.org/paper-item/give-me-your-credit-card-the-nfc- way/
ESPARZA, J. M. (20 de diciembre de 2012), Give me your credit card, the NFC way. Eternal Todo [Blog]. Recuperado de: http://eternal- todo.com/es/blog/give-me-credit-card-nfc-way
FRINKENZELLER, K. (2010), RFID Handbook (Third Edition), Chichester: Wiley.
GARCÍA, J. M. et álii (2013), Protocolos Anticolisión en RFID, Telem@tica, 12(1),
p. 4.
GORDON, D. (1992), Designing and Detecting Trapdoors for Discrete Log.
Cryptosystems. Advances in Cryptology-CRYPTO92, Berlín: Springer- Verlag.
GOZALBES, M., RIPOLLÉS, P. (2013), La fabricación de moneda en la antigüedad, Servicio de Investigación Prehistórica, Universitat de Valencia. Recuperado de http://www.uv.es/ripolles/Web_PP/Tema-3.htm [Consulta: 8 de abril de 2015].
HAIDAR, B. (2009), Professional ASP.NET 3.5 Security, Membership, and Role Management with C# and VB, Indianapolis: Wiley.
HANSEN, J. (2009), A Four Component Cryptographic Hash Framework, Ann Arbor: ProQuest LLC.
HASHEM, M. (2007), Paiements électroniques sécurisés, París: Presse polytechniques et universitaires romandes, Groupe des Écoles des Télécommunications.
HERMANN, T. O. (20 de marzo de 2009), Building a RFID Zapper – Hacking a Disposable Camera [Archivo de vídeo]. Recuperado de: https://www.youtube.com/watch?v=c0vZigwn09I
HOEPMAN, J. H., VEUGEN, T. (2009), Threats and vulnerabilities of RFID and beyond, en ZHANJ, Y., y KITSOS, P., Security in RFID and sensor networks, p. 476, Boca Ratón: CRC Press.
INCIBE (25 de septiembre de 2014), Llegó la hora de reemplazar SHA1, Blog de Seguridad de INCIBE. Recuperado de: https://www.incibe.es/blogs/post/Seguridad/BlogSeguridad/Articulo_y_come ntarios/Reemplazar_SHA1 [Consulta: 11 de mayo de 2015]
ING DIRECT (2013), Origen e historia de las tarjetas de crédito, http://www.ennaranja.com/economia-facil/origen-e-historia-de-las-tarjetas- de-credito/ [Consultado: 10 de abril de 2015].
ISO/IEC (2008), ISO/IEC 14443-1 Identification cards – Contactless integrated circuit cards – Proximity cards – Part 1: Physical characteristics.
ISO/IEC (2009), ISO/IEC 15408-1 – Information technology – Security techniques – Evaluation criteria for IT security – Part 1: Introduction and general model.
ISO/IEC (2011), ISO/IEC 14443-3 – Identification cards – Contactless integrated circuit cards – Proximity cards – Part 3: Initialization and anticollision (ed. 2).
JAVATO, A. M. (2013), Las tarjetas de crédito y débito. Aspectos penales, Cuaderno red de cátedras Telefónica, nº 10.
JIMÉNEZ DE LUIS, A. (23 de octubre de 2014), Y ahora también quiere sustituir a la cartera, El Mundo. Recuperado de: http://www.elmundo.es/tecnologia/2014/10/23/54492858ca4741d8708b4588
.html
KORAK, T, HUTTER, M. (2014), On the Power of Active Relay Attacks using Custom-Made Proxies, IEEE, Graz (Austria): Universidad Tecnoloógica de Graz. Recuperado de: http://mhutter.org/papers/Korak2014OnThePower.pdf
KUMAR, S. (10 de mayo de 2015), There may be a mole in your banking app, Live Mint. Recuperado de: http://www.livemint.com/Money/nU9QCUQg0yxpLUJvmX6dfP/There-may- be-a-mole-in-your-banking-app.html
LABORDA, E. (24 marzo de 2011), La nueva regulación de los fraudes: utilización ilegítima de tarjetas de crédito, en M. A. Revilla (Presidencia), III Jornadas sobre derecho policial y seguridad ciudadana, conferencia llevada a cabo en el salón de actos de la Facultad de Derecho de la Universidad de Cantabria, España. Recuperado de: http://www.elguardia.com/descargas/utilizacion-ilegitima-tarjetas-credido.pdf
LEY ORGÁNICA 10/1995, DE 23 DE NOVIEMBRE, DEL CÓDIGO PENAL,
BOE núm. 281, de 24 de noviembre de 1995.
LEY ORGÁNICA 1/2015, DE 30 DE MARZO, POR LA QUE SE MODIFICA LA LO 10/1995, DE 23 DE NOVIEMBRE, DEL CÓDIGO PENAL, BOE núm.77, de
31 marzo de 2015.
LIFCHITZ, R. (13 de abril de 2012), Hacking the NFC credit cards for fun and debit
;), en C. Blancher (Presidencia), Hackito Ergo Sum 2012, conferencia llevada a cabo en París, Francia. Recuperado de: http://es.slideshare.net/tessierv/nfc-payments-insecurity-hes2012
LÓPEZ, R. (30 de mayo de 2013), Ya circulan en España 50.000 pegatinas contactless de Visa para pagar con el móvil, Applicantes. Recuperado de: http://applicantes.com/contactless-visa-paywave-sticker-app/
LÓPEZ-NEGRETE, M., ESPARZA, J. M. (febrero de 2012), NFC: El avance
imparable del pago por móvil, SiC, nº 98, p. 74.
MARSHALL CAVENDISH CORPORATION. (2003), How it Works: Science and
Technology (3ª ed., vol. 16), Petaling Jaya (Malasia): Marshall Cavendish Group
MCLOONE, M., MCCANNY, J. (2003), System-On-Chip, Architectures and Implementationes for Private-Key Data Encryption, Nueva York: Springer.
MIFARE (2015), MIFARE Plus, http://www.mifare.net/en/products/mifare- smartcard-ic-s/mifare-plus/
MILLAU, J. (10 de mayo de 2015), Banking card reader NFC (EMV) [Aplicación para Android]. Recuperado de: https://play.google.com/store/apps/details?id=com.github.devnied.emvnfcca rd [Consultado: 17 de mayo de 2015].
MINIME, MAHAJIVANA [Nombres de usuario] (2015), RFID Zapper, 22C3 Private Investigations. Recuperado de: https://events.ccc.de/congress/2005/static/r/f/i/RFID-Zapper(EN)_77f3.html
MONSÓ, J. (1994), Sistemas de identificación y control automáticos (II): Sistemas de control del flujo físico, Barcelona: Marcombo.
MULLINER, C. (18 de marzo de 2009), Vulnerability Analysis and Attacks on NFC- enabled Mobile Phones, en M. Takizawa y M. Tjoa (Presidencia), ARES 2009 – International Conference on Availability, Reliability and Security, IEEE. Conferencia llevada a cabo en el Instituto de Tecnología de Fukuoka, Japón.
NEGOCIOS.COM (2014), ¿Por qué me piden el CVV en una compra online? http://www.negocios.com/noticias/piden-cvv-compra-online-24112014-1818 [Consultado: 19 abril de 2015].
NFC FORUM (2015), About the Technology, http://nfc-forum.org/what-is-nfc/about- the-technology/
NFC FORUM (2013), NFC Forum device requirements – High level conformance requirements (vers. 1.3), pp. 4-5
OCU (2015), Tarjetas contactless: la tecnología NFC en tu banco, http://www.ocu.org/dinero/tarjetas/noticias/tarjetas-contactless
ORTEGA TRIGUERO, J. (2006), Introducción a la criptografía: historia y actualidad, Cuenca: Ediciones de la Universidad de Castilla-la Mancha.
PAÚL GUTIÉRREZ, JESÚS (2014), Patrón Oro,
http://www.expansion.com/diccionario-economico/patron-oro.html [Consulta: 8 de abril de 2015].
PENALVA, J. (2005), Cómo hacerte tu propia cartera anti RFID, Xataka.
Recuperado de: http://www.xataka.com/otros/como-hacerte-tu-propia- cartera-anti-rfid
NTT (15 de septiembre de 2013), How to Disable 'Contactless Payment' on Your Debit Card, Instructables. Recuperado de: http://www.instructables.com/id/How-to-Disable-Contactless-Payment-on- Your-Debit-C/
PCI SECURITY STANDARDS COUNCIL (2015), Payment Card Industry (PCI) –
Requirements and Security Assessment Procedures (vers. 3.1), p. 40. Recuperado de: https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-1.pdf
PELLEJERO, I. et álii (2006), Redes WLAN – Fundamentos y aplicaciones de seguridad, Barcelona: Marcombo.
RADU, C. (2003), implementing electronic card payment systems, Norwood: Artech House.
REAL ACADEMIA ESPAÑOLA (2001), Diccionario de la lengua española (22.a ed.). ROEBUCK, K. (2011), Single Sign-On (Sso): High-Impact Strategies, Brisbane:
Emereo Publishing.
SÁNCHEZ-REILLO, R. et álii (1999), La tecnología de las tarjetas inteligentes, Madrid.
SCALA – Smart Card Alliance Latino América (2012), Ruta hacia los pagos con Tarjeta Inteligente en América Latina y el Caribe: ¿Cómo impacta EMV a la Infraestructura de Pagos?, FPC-11001, p. 9. Recuperado de: http://www.sca-la.org/wp- content/uploads/EMV_SCALA_White_Paper_Esp.pdf
SCHNEIER, B. (2004), Secrets and Lies: Digital Security in a Networked World, Nueva York: Wiley.
SPORTIELLO, L., CIARDULLI, A. (2013), Long distance relay attack, en Lecture Notes in Computer Science, vol. 8262, pp. 69-85, Heidelberg: Springer- Verlag.
TAMARIT, V. (23 de junio de 2012), Un investigador crea un programa para Android que lee las tarjetas de crédito con NFC, ABC. Recuperado de: http://www.abc.es/tecnologia/moviles/20120623/abci-investigador-crea- programa-para-201302010919.html
TAPIADOR, J., y PERIS, P. (2014), Criptografía y Ocultación de la Información, Aranjuez: Centro Universitario de la Guardia Civil, Universidad Carlos III de Madrid.
TIPLER, P., MOSCA, G. (2007), Física para la Ciencia y la Tecnología. Electricidad y magnetismo. Luz. Física moderna (vol. 2), Barcelona: Reverté.
TORTOSA, L. (2000), Mensajes secretos y códigos con TI-83, p. 85, Alicante: Editorial Club Universitario.
TRIBUNAL SUPREMO (Sala de lo Penal). Sentencia núm. 1873/2000 de 4 de diciembre.
TRIBUNAL SUPREMO (Sala de lo Penal). Sentencia núm. 692/2006 de 26 de junio.
TRIBUNAL SUPREMO (Sala de lo Penal). Sentencia núm. 369/2007 de 9 de mayo.
TRIBUNAL SUPREMO (Sala de lo Penal). Sentencia núm. 896/2008 de 12 de diciembre.
UNIVERSIDAD POLITÉCNICA DE MADRID, Escuela Técnica Superior de Ingenieros de Caminos (2013), Arquitectura de un ordenador. https://mat.caminos.upm.es/wiki/Arquitectura_de_un_ordenador [Consulta: 21 de marzo de 2015].
VACCA, J. (2013), Computer and information security handbook, Waltham: Morgan Kaufmann.
VAUCLAIR, M. (2011), Secure element, en VAN TILVORG, H. y JAJODIA, S.,
Encyclopedia of Cryptography and Security (2ª ed.), Heidelberg: Springer.
VILA, J. (2014), Ataques de relay en NFC con dispositivos Android, Dirigida por Ricardo J. Rodríguez Fernández, Proyecto de fin de carrera, Zaragoza: Universidad de Zaragoza.
VILA, J., RODRÍGUEZ, R. (10 de diciembre de 2014), Ataques de relay en tarjetas EMV NFC con dispositivos Android, en Sanz Roldán, F (Presidencia), VIII Jornadas STIC CCN-CERT, conferencia llevada a cabo en el Ilustre Colegio Oficial de Médicos de Madrid, España.
VON MISES, L. (2009), The Theory of Money and Credit, Auburn: Ludwig Von Mises Institute (año de publicación de la obra original; 1954).
WEISS, M. (2010), Performing Relay Attacks on ISO 14443 Contactless Smart Cards using NFC Mobile Equipment, Tesis de fin de master, Múnich (Alemania): Universidad Técnica de Múnich.
WHITACKER, J. (2005), The Electronics Handbook (2ª ed.), Boca Ratón: Taylor & Francis Group
WONGLIMPIYARA, J. (2005), Strategies of Competition in the Bank Card Business, Brighton: Sussex Academic Press.
Anexos
ANEXO I: ESPECIFICACIÓN DEL ALGORITMO AES
En las siguientes páginas se incluye un fragmento del FIPS 197, documento oficial de la administración americana en el que se enuncia la especificación del algoritmo AES, expuesto en el capítulo 2.
ANEXO II: PROPIEDADES Y FÓRMULAS MATEMÁTICAS DE INTERÉS. ARITMÉTICA MODULAR
Se dice que dos números, a y b, son congruentes módulo n, sí y solo sí la diferencia entre ellos es igual a n multiplicada por un factor k.
???? = ???? ? ???? – ???? = ???? · ????
Siendo ???? ? 
y ????, ????, ???? ? N
Suma: ???? + ???? = ???? (???????????? ????) ? ???? + ???? = ???? + ???? · ????
Propiedades de la suma:
Asociativa (???? + ????) + ???? = ???? + (???? + ????) (???????????? ????) Conmutativa (???? + ????) + ???? = (???? + ????) (???????????? ????) Elemento neutro (???? + ????) = ???? (???????????? ????)
Inverso (???? + ????) = ???? (???????????? ????)
Producto: ???? · ???? = ???? (???????????? ????) ? ???? · ???? = ???? + ???? · ???? Asociativa (???? · ????) · ???? = ???? · (???? · ????) (???????????? ????) Conmutativa (???? · ????) = (???? · ????) (???????????? ????) Elemento neutro (???? · ????) = ???? (???????????? ????)
Propiedad distributiva (Suma/Producto) (???? + ????) · ???? = ???? · ???? + ???? · ???? (???????????? ????)
Reducción modular ???? (???????????? ????) = ???? ? ???? = ???? (???????????? ????)
ANEXO III: PRÁCTICA CON LA APLICACIÓN "BANKING CARD READER NFC (EMV)"
De cara a la consignación práctica de las vulnerabilidades descritas por Esparza (2012) y Lifchitz (2012) se procede a realizar la puesta en práctica de una prueba de concepto definida por los autores anteriores, consistente en la lectura de una tarjeta bancaria de las denominadas contactless o "sin contacto", denominación comercial de las tarjetas que implementan tecnologías de campo cercano tipo NFC.
La aplicación se encuentra en la Play Store de Google® [comprobado: 19 de mayo de 2015], consiste en un archivo .apk autoejecutable y su peso es de 714kB y su precio es gratuito.
Pasa a describirse el proceso seguido por el analista.
de un Samsung Galaxy S6 de 2015. La aplicación únicamente solicita acceso a la funcionalidad NFC del terminal (ni GPS, ni correo, etc.).
2. Se inicia la aplicación. Se observa que viene totalmente configurada, siendo el borrado de la memoria de los datos la única opción posible en el menú desplegable. La interfaz es sobria, cuenta con tres pestañas ("Detalles de la tarjeta", "Transacciones" y "Registro"),
3. Se activa la funcionalidad NFC del teléfono y se procede a acercar una tarjeta de crédito con chip NFC al terminal. Al instante, la interfaz cambia y revela lo expuesto en las fotografías adjuntas.
4. Como puede observarse (si bien se ha procedido a difuminar la imagen para garantizar la seguridad y privacidad del titular), la aplicación ha obtenido, entre otros, los datos del número de tarjeta, el nombre y apellidos del titular y la fecha de caducidad. Con estos datos, es posible realizar una transacción a través de Internet a través de ciertas web de comercio electrónico.
Con este sencillo pero potente experimento, queda demostrada la vigencia de la vulnerabilidad descrita en el capítuo 3 del presente texto en materia de almacenamiento y tratamiento de la información sensible almacenada en las tarjetas bancarias inteligentes con funcionalidad NFC.
ÍNDICE DE ABREVIATURAS
AES: Advanced Encryption Standard – Estándar de cifrado avanzado
Ap. Apartado
CCN: Centro Criptológico Nacional
CDA: Combined Data Autentication – Autenticación combinada de datos
CERT: Computer Emergency Response Team – Equipo de respuesta ante emergencias informáticas
CP: Código Penal (España)
CVV: Card Verification Value – Valor de Verificación de Tarjeta
DDA: Dynamic Data Authentication – Autenticación de datos dinámicos DDoS: Distributed Denial of Service – Denegación del servicio distribuida DES: Data Encryption Standard – Estándar de cifrado de datos
EMP: ElectroMagnetic Pulse – Pulso electromagnético
EMV: Europay, Mastercard and VISA
Etc.: Etcétera
FCSE: Fuerzas y Cuerpos de Seguridad del Estado
FIPS: Federal Information Processing Standards – Estándares federales de procesamiento de la información
FWT: Frame Waiting Time – Tiempo de espera de trama
IEC: International Electrotechnical Commission – Comisión electrotécnica internacional
ISO: International Organization for Standardization – Organización Internacional de Normalización
LAN: Local Area Network – Red de Área Local
NFC: Near Field Communication – Comunicación de campo cercano
NIST: National Institute of Standards and Technology – Instituto Nacional de Estándares y Tecnología
óp. cit.:Ópere Citato – Obra citada
PAN: Personal Account Number – Número personal de cuenta
PCD: Proximity Coupling Device – Dispositivo de acoplamiento en proximidad
PGP: Pretty Good Privacy – Privacidad bastante buena
PICC: Proximity Integrated Circuit Card – Tarjeta de proximidad de circuito integrado
PIN: Personal Identification Number – Número personal de identificación
PKI: Public Key Infrastructure – Infraestructura de clave pública
RFID: Radio-Frequency IDentification – Identificación por radiofrecuencia
RSA: Rivest, Shamir and Adleman
SDA: Static Data Authentication – Autenticación de datos estáticos
SSL: Secure Socket Layer – Capa de conexión segura
SIM: Subscriber Identity Module – Módulo de identidad del suscriptor STIC: Seguridad de las Tecnologías de Información y Comunicación TCI: Tarjeta de Circuito Integrado
TIC: Tecnologías de la Información y la Comunicación
TLS: Transport Layer Security – Seguridad de la capa de transporte
TPV: Terminal Punto de Venta TTP: Tarjeta de Transporte Público Vers.: Versión
Vid.: Vide – Véase
Vol.: Volumen
VPN: Vitrual Private Network – Red privada virtual
WLAN: Wireless LAN – LAN sin hilos
WTX: Waiting Time eXtension – Extensión del tiempo de espera
Autor:
Alejandro Gómez García
 Página anterior | Volver al principio del trabajo | Página siguiente  |