Investigación identifica vulnerabilidades significativas en la seguridad de pagos contactless

Un estudio revela preocupantes fallos de seguridad en los pagos "contactless"

Hoy en día, casi ni hace falta solicitarlo; pagar con tarjeta se acerca a convertirse en el medio de pago predominante en España, dejando atrás al efectivo. Su rapidez y comodidad —no es necesario esperar a que den el cambio— la posicionan como la opción preferida.

En los últimos años, esta modalidad de pago ha avanzado aún más para incrementar su velocidad y eficiencia. Ahora, gracias a la tecnología NFC, no es preciso introducir la tarjeta en el datáfono, sino que basta con acercarla. Este avance ha posibilitado que los dispositivos inteligentes también funcionen como métodos de pago.

Esta técnica se denomina pagos sin contacto o contactless, y aunque se ha convertido en la forma más sencilla de pagar y las empresas continúan buscando métodos para facilitar estas transacciones, una investigación conjunta de la Universidad de Surrey y la Universidad de Birmingham (Reino Unido) ha detectado que al mismo tiempo se están generando importantes vulnerabilidades en la seguridad del pago.

Según este estudio, se descubrieron debilidades ocultas que permitieron a los investigadores ejecutar transacciones no autorizadas de elevado importe. Nuevas características como permitir pagos en ausencia de cobertura, no requerir el desbloqueo del teléfono para realizar una transacción o las diferentes normativas para el uso del PIN en pagos altos, aunque mejoran la experiencia del usuario, generan serias preocupaciones de seguridad.

«La investigación evidencia que la rápida incorporación de nuevas funciones para optimizar la experiencia de compra o facilitar otros usos suele hacerse sacrificando la seguridad», aclara Boureanu.

Los científicos lograron demostrar métodos para engañar a los terminales de pago, consiguiendo que aceptaran una tarjeta de crédito cuando solo debería haberse autorizado un teléfono, o para efectuar pagos superiores al límite para pagos sin contacto sin requerir comprobaciones biométricas o PIN. En un caso particular, se efectuó un pago fraudulento de 25.000 libras en un terminal, según informa la Universidad de Surrey.

«Aunque el sector ha implementado mejoras significativas, es indispensable una mejor coordinación entre proveedores para evitar que la comodidad abra nuevas vías al fraude«, señala Ioana Boureanu, directora del Centro de Ciberseguridad de Surrey.

El equipo de investigación comunicó sus resultados a los implicados en 2024 y colaboró en el desarrollo de soluciones. «Los fallos detectados no se deben a errores de las empresas«, aclara Tom Chothia, otro investigador del proyecto, «sino a que un sistema complejo como EMV [Europay, Mastercard y Visa] puede presentar vulnerabilidades ocultas cuando se incorporan nuevas funciones de manera independiente».

Scroll al inicio