¿Son necesarias las fundas / carteras de protección RFID para las tarjetas de pago?

7

He visto publicitado varias veces productos que dicen "proteger" las tarjetas de pago sin contacto (por ejemplo, fundas especiales, carteras).

¿Contra qué protegen exactamente estos productos?

  1. ¿Se trata simplemente de protegerse contra el uso involuntario de la tarjeta de pago incorrecta al pararse cerca de un terminal de pago genuino?
  2. ¿O es posible que un atacante robe suficiente información a través de RFID para poder clonar una tarjeta o cobrarle algo?

¿Los ve como sean necesarios?

    
pregunta JonnyWizz 16.11.2015 - 16:08
fuente

3 respuestas

2

Decidir si una medida de seguridad vale la pena significa que debe equilibrar el costo de la medida con el beneficio de usarla. En este caso, el costo, aparte de un poco de dinero para comprar las mangas, es tener que sacar las tarjetas de las mangas cada vez que se usan.

Entonces, ¿vale la pena la amenaza real contra la que protegen? Depende de lo que haya que robar. En el caso de las tarjetas de pago, no vale la pena protegerlas porque para que las personas les roben tienen que tener un terminal de punto de venta y una cuenta en un banco. Si empezaron a robar dinero de los desprevenidos, los atraparían. La mayoría de los sistemas de pago sin contacto limitan la cantidad de dinero para que ningún ataque valga la pena. Hasta ahora no hay ataques de clonación que funcionen con un sistema sin contacto, por lo que no es una preocupación, todavía. En cuanto al pago involuntario, no es probable que ocurra, pocas personas usan su billetera accidentalmente en un sistema de pago y, si lo hacen, probablemente puedan obtener un reembolso.

En cuanto a otros tipos de tarjetas, existen algunos ataques que podrían funcionar. Es posible clonar algunas tarjetas de entrada de edificios y transportar tarjetas sin contacto con un dispositivo de escaneo de mano, pero esto es muy raro y difícil de realizar en la práctica.

Entonces, para la mayoría de las personas, las fundas para tarjetas son una solución a la espera de un problema. Esto puede cambiar a medida que surjan nuevos ataques, pero por ahora es para la multitud de sombreros de papel de aluminio.

    
respondido por el GdD 16.11.2015 - 18:22
fuente
3

Me gustaría decir por adelantado que todos los demás que han publicado aquí son esencialmente correctos. Pensé que publicaría una perspectiva diferente, ya que soy un usuario de la tecnología de blindaje RFID.

Cada tarjeta en mi billetera tiene un chip RFID. Tarjetas de crédito, tarjetas de cajero automático, tarjeta de transporte, llave de la oficina, licencia de conducir, incluso mi tarjeta de descuento para café. Además, mi pasaporte tiene RFID.

Compré una billetera blindada de ID Stronghold , cuero negro con cada funda de tarjeta forrada individualmente con algunos material de blindaje (probablemente de aluminio, aunque el fabricante no lo especificó). Esto es importante ya que algunas billeteras solo protegen el exterior y no ranuras de tarjetas individuales, por lo que son potencialmente vulnerables si su billetera está abierta, o lo suficientemente gruesa / llena para dejar una abertura. También tengo un pasaporte bi-plegado con ranuras para tarjetas, hecho de malla de acero inoxidable (aunque no puedo recordar qué marca era). Puedo verificar que las tarjetas de mi billetera no puedan leerse y de los escáneres que tengo. probado, sin embargo, su millaje puede variar, como este artículo discute, el uso y la efectividad de varias marcas y modelos pueden diferir.

Tengo 3 preocupaciones sobre los chips RFID.

  1. Fraude de tarjetas de crédito como se explicó anteriormente, es la amenaza más obvia y real, aunque todavía no es tan frecuente (sugeriría principalmente porque todavía hay formas más fáciles de obtener datos de tarjetas de crédito).
  2. Cargos accidentales de tarjetas. Aunque esto parece inverosímil porque RFID supuestamente se limita a operar a unas pocas pulgadas del lector, pero esto ha sido se muestra como una suposición no válida y un incidente de esto se discute en este podcast de Security Now (hay una transcripción si lo prefiere, busque "sin contacto" e irá directamente a la sección correspondiente).
  3. Robo de identidad. Si bien esto es en gran parte teórico en la actualidad, Este es el caso más preocupante.

Esta tecnología no es nueva, y tampoco lo son los vectores de ataque . Dado que la cantidad de tarjetas y documentos de identificación que llevan la RFID sigue creciendo, y el costo de un posible ataque disminuye, solo podemos esperar que este tipo de incidentes sea cada vez más frecuente.

En última instancia, debe decidir cuál cree que es su exposición a este tipo de riesgo. Si bien estoy de acuerdo en que el blindaje todavía puede ser importante actualmente solo para los paranoicos entre nosotros, diría que el costo es mínimo. Mi billetera no cuesta más que una billetera normal, y (aunque estoy de acuerdo en que las fundas individuales son probablemente menos prácticas) tener el protector incorporado hace que el uso no sea menos conveniente.

    
respondido por el Hearth 18.11.2015 - 00:45
fuente
2

Tiene buenas razones para estar confundido acerca de las "amenazas" contra las que estos productos están diseñados para protegerse: ningún anuncio que he visto para estos artículos en realidad proporciona una identificación clara e inequívoca de la amenaza exacta que se supone que es. en juego aqui Todos los anuncios que he encontrado demuestran a un tipo malo que transporta algún dispositivo (invisible) en una bolsa o algo que captura ondas animadas de algún tipo que emanan de la cartera o cartera de una persona desprevenida. Naturalmente, esto sugeriría que el blindaje está destinado a proteger contra ataques que involucran tarjetas sin contacto. Pero los comerciales también se preocupan por no decir eso en cualquier parte . Y la forma en que hablan los locutores y cómo se desarrollan los "escenarios" transmite la impresión de que todas las tarjetas de pago son vulnerables a que un misterioso atacante robe su información de forma silenciosa.

Por supuesto, no ser específico acerca de la amenaza tiene sentido desde el punto de vista empresarial: la mayoría de las personas aún no tienen tarjetas de crédito y débito que usan tecnología de pago sin contacto. (Las tarjetas como las tarjetas del sistema de tránsito son probablemente otra historia). Lo que significa que si sale y dice que su protección solo importa si tiene tarjetas de pago nuevas y sin contacto, está limitando enormemente su mercado. Entonces, aunque eso sería lo único honesto y responsable de decir, hay un incentivo para las compañías que están dispuestas a usar tácticas sin escrúpulos y sin temor a dejar la impresión de que todos son vulnerables a ataques como estas. Cuando eso ciertamente no es remotamente cierto.

Y eso nos lleva a la pregunta de si incluso si tiene tarjetas de pago que realizarán transacciones sin contacto, estos productos le brindan algún beneficio de seguridad. Sobre eso anotaré dos cosas. Primero, las tarjetas inteligentes con capacidad de pago EMV sin contacto, como otras tarjetas inteligentes EMV, están diseñados específicamente para no ser clonables incluso cuando un atacante puede robar información de la señal sin contacto durante una transacción. O incluso a partir de señales recogidas de muchas transacciones. Ese es el beneficio inherente de usar un tipo de pago que hace autenticación dinámica , en lugar de autenticación estática (como hacen las tarjetas con banda magnética tradicional).

En segundo lugar, el nombre "sin contacto" es realmente un nombre poco apropiado en la mayoría de los casos. A menudo, las tarjetas simplemente no funcionarán para autorizar un pago a menos que sean sacadas de una billetera, cartera u otro lugar de almacenamiento en el que estén y se conecten físicamente directamente contra el lector. Otras tarjetas (como mi tarjeta de tránsito, por ejemplo) funcionarán a través del material de una billetera pero no a través de la cobertura adicional de, digamos, una chaqueta de invierno. Las representaciones en los anuncios del equipo oculto de los malos que pueden capturar información de una tarjeta enterrada dentro de una bolsa o en el bolsillo interior de la chaqueta es ... poco probable.

Ahora, en 2013, algunos investigadores en el Reino Unido pudieron recoger algunos datos de la tarjeta tan lejos como sea posible. alrededor de 45 centímetros / 18 pulgadas, mucho más allá de los 2 centímetros aproximadamente, así que las tarjetas deberían ser legibles. Sin embargo, las circunstancias exactas de cómo se produjeron esas observaciones son un tanto vagas, y parece que probablemente no tendrían éxito en intentar realizar transacciones reales si hubieran intentado hacerlo. En cualquier caso, Visa sostiene que eso no hubiera sido posible. (Consulte la pregunta "¿Puede un estafador con un terminal sin contacto falso robar dinero de mi tarjeta al atacarme?" En las Preguntas frecuentes).

En suma, el riesgo técnico re. El robo de información de tarjetas de pago o la realización exitosa de transacciones falsas parece ser poco o nada existente en las implementaciones habituales de tarjetas de pago sin contacto. Sin embargo, si realmente quiere estar en el lado seguro y le haría sentirse más cómodo, probablemente podría poner un poco de papel metálico de algún tipo en su billetera, cartera u otro dispositivo de transporte de tarjetas. Ahorre los $ 25.00 más que algunos de estos anuncios están cotizando para comprar productos que consisten en algo más que pequeñas bolsas hechas de 10 centavos de aluminio. :)

    
respondido por el mostlyinformed 17.11.2015 - 03:37
fuente

Lea otras preguntas en las etiquetas