Nueva generación en clonaciones de tarjetas
Radio Frequency Identification (RFid) es la tecnología "de moda" en relación a identificación, con una característica que lo diferencia de cualquier otro método: Tiene la capacidad de guardar un registro con información y emitirlo a través de radiofrecuencia para ser leído por un lector de RFid. El dispositivo emisor se llama TAG y esa información transmitida ya es utilizada en varias aplicaciones: Trazabilidad de productos, documentación personal, ganadería, identificación de stock, y también es utilizado en nuevos modelos de tarjetas de crédito: "Contactless Smartcard".
Estos modelos de tarjetas son utilizados para sistemas de pagos (débito y crédito) y tienen una excelente utilidad: Como posee un dispositivo RFid el cliente no necesita sacarla de la billetera, solamente con estar cerca de la caja se leen automáticamente por un lector RFid y un cajero realiza la transacción.
Imagínese que ocurriría entonces si luego de comprar el artículo Usted continúa su paseo en un shopping y mientras camina alguna persona se aproxima y lee los datos de su tarjeta (recuerde que sólo necesita estar dentro del rango de alcance con un lector). Luego lo transmite a otra tarjeta "Contactless Smartcard" y realiza alguna compra.
¿A quién se supone que le van a descontar el valor de la compra? Sí, se imaginó bien: A Usted. Lo que sigue ya es bastante conocido y no difiere mucho de las clonaciones comunes: Hay que hacer desconocimiento de firma de la compra, trámites y más trámites… NO se recupera el dinero en un lapso de no menos de siete meses y sin intereses (a mí me pasó en el año 1996).
Este tipo de ataques sobre la tecnología RFId se llama "relay attack". Todo el hardware necesario cuesta aproximadamente US$300 y en síntesis sería como generar un "puente" falso entre su "contactless smartcard" (tarjeta inteligente) y el cajero de algún negocio, entonces alguien compra el artículo y Usted lo paga.
Actualmente cuando se habla de inseguridades de esta tecnología la mayoría habla de vulnerar el derecho a la intimidad (porque cualquiera puede leer documentos, hábitos de consumo, etc.) y mientras existen grandes discusiones en los foros sobre esta temática hay gente que se dedica a realizar estos ataques:
¿No cree Usted que mientras se habla de violar el derecho a la privacidad se les está pasando algo por algo con respecto a esta tecnología?
Sería bueno que alguna vez aprendamos de experiencias pasadas (Wifi, Bluetooth) y que los estándares de las nuevas tecnologías exijan medidas de control antes de hacerlas comerciales.
Fuente: Christian Vila Toscano – I-SEC Information Security, Inc.