Kaspersky Lab analiza vulnerabilidades en las tarjetas NFC

bip-kaspersky-itusersKaspersky Lab analiza vulnerabilidades en las tarjetas recargables de pago que utilizan la tecnología NFC. Hackeo de tarjetas bip! en Chile confirma que este sistema de pago puede ser comprometido.

Santiago de Chile, 24 de octubre del 2014.— Expertos de Kaspersky Lab han analizado el reciente hackeo que han sufrido las tarjetas “bip!” en Chile, el sistema de pago electrónico utilizado en ese país para el transporte público. Según la investigación, la tarjeta puede ser recargada sin costo alguno por medio de una aplicación para Android, dada a conocer públicamente el 16 de este mes, y a través de la tecnología de comunicación inalámbrica de corto alcance (NFC, por sus siglas en inglés) incorporada en el smartphone del usuario.

Alrededor del mundo, varios proyectos que permiten la tecnología NFC móvil para la compra de billetes para el transporte público han sido implementados. Esto es una creciente tendencia que los cibercriminales vigilan con interés y como se ha visto en este caso, ya están explotando”, asegura Dmitry Bestuzhev, Director del Equipo de Investigación y Análisis para América Latina en Kaspersky Lab.

En el caso de Chile, individuos invirtieron las tarjetas «bip!» y encontraron la manera para recargarlas de forma gratuita. Según el estudio, todo lo que los usuarios tenían que hacer era instalar esa aplicación en un dispositivo Android capacitado para usar tecnología NFC, acercar la tarjeta de viaje al teléfono y presionar el botón «Cargar 10k«, lo que les permite volver a recargar la tarjeta con 10 mil pesos chilenos.

Según los expertos de Kaspersky Lab, la aplicación tiene cuatro características principales:

  • Número BIP – para obtener el número de la tarjeta;
  • Saldo BIP – para obtener el saldo disponible;
  • Carga de Datos – para volver a llenar el saldo disponible
  • Cambiar número BIP – le permite al usuario cambiar el número de la tarjeta por completo

Esta última característica es la más interesante y surgió de la sospecha que las autoridades iban a bloquear las tarjetas ‘bip!’ que fueron recargadas de forma fraudulenta”, comentó Bestuzhev.

Pero, ¿qué tan vulnerable puede ser la tecnología NFC?… Según Bestuzhev, las transmisiones NFC son como cualquier proceso de transferencia de datos que envían y reciben información y pueden ser interceptadas.

Los cibercriminales siempre se las ingenian para robar nuestros datos. En cualquier parte donde exista una transferencia de datos, siempre existirá el riesgo de que estos sean interceptados y explotados. De hecho a medida que la adopción de la NFC sea masiva, los atacantes se enfocarán en robar los datos entre el dispositivo receptor de pagos y el portador del dinero virtual”, comenta Bestuzhev.

En el caso de las tarjetas “bip!” en Chile, el análisis reveló que muchos usuarios han descargado la aplicación para recargar sus tarjetas y aunque el enlace original ha sido deshabilitado, nuevos enlaces han aparecido, apuntando a nuevos servidores que alojan la nueva aplicación.

Es importante resaltar que ya que la aplicación es tan popular, anticipamos que cibercriminales se aprovechen del interés de los usuarios en ésta y desarrollen aplicaciones similares pero falsas, infectadas con malware para comprometer los dispositivos móviles de usuarios y robar su información sensible”, comentó Bestuzhev. “NFC es uno de los puertos más prometedores en el campo de pago móvil y éste caso de Chile es un buen ejemplo de cómo nuevos sistemas de pago presentan los mismo problemas”.

Información adicional sobre el análisis de Kaspersky Lab está disponible en Securelist.

Acerca de Kaspersky Lab

Kaspersky Lab es el proveedor privado más grande del mundo de soluciones de protección para endpoints. La compañía está clasificada entre los cuatro principales proveedores de soluciones de seguridad para los usuarios de endpoints*. Durante sus ya más de 17 años de historia, Kaspersky Lab continúa siendo una compañía innovadora en la seguridad informática y ofrece soluciones efectivas en seguridad digital para las grandes compañías, pequeñas y medianas empresas y consumidores. Kaspersky Lab, a través de su compañía de holding registrada en el Reino Unido, opera actualmente en casi 200 países y territorios en todo el mundo, ofreciendo protección para más de 300 millones de usuarios a nivel global. Para obtener mayor información, visite http://latam.kaspersky.com.

*La compañía logró el cuarto lugar en la clasificación IDC de los Ingresos por Seguridad de Endpoints en el Mundo por Proveedor, 2012. La clasificación fue publicada en el reporte IDC del «Pronóstico Mundial de Endpoint Security 2013-2017 y Acciones de Proveedores 2012» – (IDC #242618, agosto de 2013). El reporte calificó a los proveedores de software según sus ganancias por las ventas de soluciones de seguridad de endpoint en 2012.