La implementación de tecnología de identificación por radiofrecuencia -RFId- en los sistemas de pago puede resultar un arma de doble filo para los clientes


Radio Frequency Identification (RFId) es una tecnología vinculada a los sistemas de identificación, que viene ganando terreno en los principales países del mundo, con un amplio panorama de expansión.

RFId posee una característica que lo diferencia de cualquier otro método similar: tiene la capacidad de guardar un registro con información y emitirlo a través de radiofrecuencia (mediante un emisor llamado TAG) para ser leído a distancia por un lector de RFid..

Este tipo de sistemas utilizados para la transmisión de información tiene varios aplicativos en la actualidad, como ser trazabilidad de productos, documentación personal, ganadería, identificación de stock.

También comenzó a utilizarse en nuevos modelos de tarjetas inteligentes: las contactless smartcard . Estas tarjetas están relacionadas con sistemas de pago (debito y crédito) y tienen una excelente utilidad. Al poseer un dispositivo RFId, no es necesario sacarlas de la billetera: solamente con estar cerca de la caja son leídas automáticamente por un lector RFid y un cajero realiza la transacción.

Imagínese que ocurriría entonces si luego de comprar el artículo Ud. continúa su paseo y una persona se aproxima, lee los datos de su tarjeta (recuerde que solo necesita estar dentro del rango de alcance con un lector), luego lo transmite a otra tarjeta "contactless smartcard" y realiza alguna compra.

¿A quien se supone que le van a descontar el valor de la compra? Sí, se imaginó bien: a Ud. Lo que sigue ya es bastante conocido y no difiere mucho de las clonaciones comunes: hay que hacer desconocimiento de firma de la compra, trámites y más trámites…

Este tipo de ataques sobre la tecnología RFId es posible y se lo conoce como relay attack . En síntesis sería como generar un puente falso entre su tarjeta inteligente y el cajero de algún negocio. Todo el hardware necesario para ponerlo en práctica cuesta aproximadamente US$ 300.

En la actualidad, cuando se habla de debilidades de la tecnología RFId, la mayoría de los debates están centrados en la problemática vinculada a los derechos de la intimidad, dado que cualquiera podría tener acceso a leer documentos, hábitos de consumo u otra información almacenada en las tarjetas.

Pero mientras existen grandes discusiones en los foros sobre esta temática, hay gente que se dedican a explotar aún más los ataques por dinero.

Por Christian Javier Vila Toscano
Senior Security Consultant
I-SEC Information Security