Simuló cobros fantasmas y generó una incógnita viral: ¿Se puede robar plata acercándose a celulares contactless?
El video causó revuelo, abriendo un debate sobre si es posible que, con sistemas sin código, se puedan realizar pagos.
La cuenta de Instagram @ellocosebaszz compartió un video de una broma de un joven a transeúntes. Allí, se ve al chico en cuestión caminando por la calle con el celular en mano, acercándolo a distintas personas y reproduciendo el sonido clásico de efecto de cobro de un POS.
Y así, cada vez que se cruzaba con un transeúnte, acercaba el celular a bolsillos, mochilas o carteras, activaba el sonido y capturaba la reacción con una cámara oculta.
Las reacciones fueron diversas: algunos mostraron desconcierto y otros no se dieron ni cuenta, pese a que el autor del contenido simulaba escapar tras el supuesto “cobro” invisible. Más allá de la broma, el video abrió un amplio debate ¿Es posible que suceda?
Un experto en seguridad de un banco que opera en el país explicó a Infobae que, para realizar un cobro, incluso uno sin contacto, se necesita contar con un POS habilitado que esté vinculado a una cuenta destino de fondos. Es decir, cualquier intento de concretar una transacción debe pasar por un circuito formal y registrable. Lo que significa que sí, el fraude es técnicamente posible aunque con bemoles.
Y a continuación contó que en el caso de los celulares, el sistema requiere que el teléfono esté desbloqueado para que se pueda concretar un pago mediante NFC. Lo mismo sucede con los relojes inteligentes configurados con sistemas de pago como Google Pay o Apple Pay. Si el dispositivo está bloqueado, no se autoriza la operación.
Mientras que con las tarjetas físicas, en cambio, no tienen mecanismo de bloqueo por defecto. Por eso, frente a un lector NFC, podrían transmitir información sin que el titular se dé cuenta. Este es uno de los puntos por los que algunas personas eligen utilizar billeteras con protección RFID.
¿Y CON LAS TARJETAS SIN CONTACTO?
La empresa Thales Group, especializada en seguridad electrónica, analizó los mitos más frecuentes sobre los sistemas de pago sin contacto. En primer lugar, desmintió la posibilidad de utilizar lectores de largo alcance para acceder a la información de tarjetas desde la distancia. El sistema NFC, utilizado en las tarjetas contactless, funciona en la frecuencia de 13.56 MHz y sólo transmite datos a una distancia menor a 4 centímetros. A partir de esa distancia, la señal cae de forma abrupta.
Y también descartaron la posibilidad de realizar una clonación o extracción de datos sensibles a través de un lector oculto. Según Thales, la comunicación entre la tarjeta y el lector se da mediante un protocolo cifrado que permite generar un código único para cada transacción. Ese código no puede repetirse ni reutilizarse. Además, ningún lector que no esté asociado a un adquirente autorizado puede canalizar una operación de forma válida.
El sistema de tarjetas que utilizan este estándar se conoce como EMV (siglas de Europay, Mastercard y Visa). Este modelo reemplazó a las tarjetas con banda magnética porque incluye un chip con capacidad de realizar procesos criptográficos complejos. En cada transacción, la tarjeta utiliza una clave privada para generar un código único, y el lector la valida con una clave pública almacenada en el sistema.
Desde la empresa Mastercard también elaboraron un documento para defender la seguridad de la tecnología sin contacto. Allí afirmó que, durante el proceso de pago, la tarjeta no transmite información personal como el nombre del titular, el código de seguridad (CVV) ni la dirección de facturación. En cambio, genera un identificador transaccional de un solo uso, que no puede ser replicado para futuras operaciones.
Además, Mastercard recordó que las tarjetas físicas tienen límites de monto para las operaciones sin PIN. Después de un número determinado de compras seguidas, el sistema bloquea los pagos contactless y solicita insertar el chip con validación por código.
En cuanto a la responsabilidad ante un uso no autorizado, Mastercard ratificó que los usuarios cuentan con protección por responsabilidad cero, siempre que notifiquen al banco la pérdida o robo de la tarjeta.
