Ya casi ni hace falta pedirlo, pagar con tarjeta está cada vez más cerca de convertirse en el método de pago más común en nuestro país superando al dinero en metálico. Su comodidad y rapidez, ya que el dinero siempre esta ahí y no hace falta esperar a las vueltas ni nada.
Y en los últimos años, este proceso de pago ha evolucionado todavía más para ser más ágil y rápido, ya que ahora gracias a la tecnología NFC, ya no hace falta meter la tarjeta en el datáfono para pagar, sino que simplemente con acercarla basta. Lo que a su vez ha permitido que los dispositivos inteligentes se conviertan también en dispositivos para pagar.
A esto se le conoce como pagos sin contacto o contactless, y aunque se hayan convertido en la forma más cómoda de pagar y las empresas busquen nuevas formas de facilitar estas transacciones, una investigación de la Universidad de Surrey y la Universidad de Birmingham (Reino Unido) ha descubierto que al mismo tiempo se está cavando un socavón en la seguridad a la hora de pagar.
Al parecer, dicha investigación reveló debilidades ocultas que permitieron a los investigadores realizar transacciones no autorizadas de alto valor. Al parecer, nuevas funciones como permitir los pagos cuando no hay cobertura, no tener que desbloquear el teléfono para realizar la transacción o las diferentes normas sobre cuándo y cómo se debe introducir el PIN para pagos de alto valor, si bien son beneficiosos para el usuario en el momento, desatan graves y preocupantes inseguridades.
“Nuestra investigación demuestra que las prisas por introducir nuevas funcionalidades para mejorar la experiencia de compra o para nuevas formas de uso a veces se producen a costa de nuestra seguridad”, explica Boureanu.
Los investigadores pudieron demostrar formas de engañar a los terminales de pago para que aceptaran una tarjeta de crédito cuando solo se debería haber permitido un teléfono, o para procesar pagos por encima del límite sin contacto sin comprobaciones biométricas ni PIN. En un caso, se consiguió que un terminal de pago aceptara un pago fraudulento de 25.000 libras, según la Universidad de Surrey.
“El sector ya ha introducido mejoras prometedoras, pero sigue siendo necesaria una mejor coordinación entre los proveedores para garantizar que la comodidad no genere nuevas oportunidades de fraude”, explica Ioana Boureanu, directora del Centro de Ciberseguridad de Surrey.
El equipo de investigación afirmó que comunicó sus hallazgos a varias partes implicadas en 2024 y ayudó a desarrollar algunas soluciones. “Los problemas que hemos detectado no se deben a errores de las empresas” aclara Tom Chothia, otro investigador del proyecto, “sino a que un sistema tan complejo como EMV [Europay, Mastercard y Visa] puede desarrollar fallos ocultos cuando se añaden nuevas funciones de forma independiente”.
