Kaspersky Lab ha analizado la seguridad de las tarjetas sin contacto o contactless ya que se están incrementando los pagos con este tipo de tarjetas. El proveedor señala que las tarjetas funcionan con tecnología NFC y su alcance de transmisión en muy corto exigiendo una primera línea de defensa física al tener que contar con un lector al lado de la tarjeta. Sin embargo, en la actualidad ya no se necesita una proximidad física o un escáner personalizado para realizar un ataque.
A juicio de Kaspersky Lab, la primera línea de defensa debe ser el cifrado, ya que las transacciones contactless están protegidas por el mismo estándar EMV que protege a las tarjetas de pago tradicionales. En una implementación estándar, el concepto de seguridad de la tarjeta EMV está basado en la combinación de claves de cifrado y un código PIN introducido por el usuario. En el caso de las transacciones contactless, no siempre es necesario el código PIN, por lo tanto los sistemas de protección están limitados a claves de cifrado generadas por una tarjeta y un terminal.
Otra línea de defensa es la limitación del valor de las transacciones de pagos contactless. Este límite se codifica en los ajustes del TPV, de manera que sea adecuada al banco, basado en recomendaciones obtenidas por los sistemas de pago. En España, la cantidad máxima suele ser 20 euros.
Kaspersky Lab indica que a pesar de que las tarjetas de pago sin contacto tienen varias capas de protección, esto no significa que el dinero esté seguro en un 100 %. Muchos elementos de las tarjetas bancarias están basados en tecnologías obsoletas como las bandas magnéticas, la posibilidad de realizar pagos online sin una autenticación adicional, etc. Por este motivo, sigue recomendando que nunca personas ajenas vean el número PIN o información de la tarjeta y extremar la precaución a la hora de descargar ciertas aplicaciones en smartphone. Aconseja instalar un antivirus, activar las notificaciones de los movimientos bancarios por mensaje de texto y avisar al banco en cuanto se observe alguna actividad sospechosa.
