Tanto en España como en el resto del mundo cada día más ciudadanos optan por los llamados pagos sin contacto, ya sea utilizando la tecnología NFC de móviles o smartwatches o el contactless de tarjetas como Visa.

En este sentido, las tarjetas bancarias Visa emplean un protocolo de seguridad para los pagos sin contacto que obliga a introducir el código PIN para importes superiores a un límite máximo, que actualmente está en los 50 euros.

Pese a que esa es la teoría, un grupo de investigadores acaba de descubrir que el protocolo de pagos sin contacto de las tarjetas bancarias Visa contiene un fallo de seguridad que permite que los delincuentes lleven a cabo pagos mediante este sistema sin utilizar el código PIN incluso para cantidades superiores al límite establecido.

Las afectadas: las Visa sin contacto 

Así lo han descubierto los investigadores David Basin, Ralf Sasse y Jorge Toro, de la Escuela Politécnica Federal de Zúrich (Suiza), que han analizado la seguridad del protocolo de estándares de tarjetas EMV, llamado así por sus fundadores Europay, Mastercard y Visa, y que en diciembre de 2019 se usaba en 9.000 millones de tarjetas en el mundo.

Pago contactless con tarjeta. BBVA Omicrono

¿Cómo lo hacen?

Para llevar a cabo este ataque, los expertos de la universidad suiza han utilizado dos smartphones Android comunicados entre sí por WiFi y que están equipados con sensores NFC de pagos móviles.

Si se sitúan cerca del terminal de pagos y de la tarjeta de crédito, los móviles pueden comunicarse entre ellos a través de una aplicación y modificar los datos de la transacción antes de enviarlos al datáfono.

Pago contactless con móvil. @jonasleupe en Unsplash Omicrono

Utilizando este método, los datos que se envían pasan a incluir instrucciones adicionales, como que el código PIN no es necesario para el pago (aunque sea superior al límite) y que el propietario de la tarjeta está verificado en el smartphone utilizado.

Este fallo de seguridad está presente en el protocolo de pagos sin contacto de Visa y, según los investigadores, es posible que afecte también a los de Discover y UnionPay. Otra de las vulnerabilidades descubiertas en los estándares de seguridad de las tarjetas Visa y Mastercard permite realizar pagos de manera offline engañando al terminal de pagos para que acepte transacciones falsas y que no se cobre al usuario.