Hoy, cuando he sacado la cartera para pagar en un comercio, no he podido evitar sentirme como George Costanza, uno de los protagonistas de la serie cómica Seinfeld. Mi cartera, definitivamente, está demasiado llena, y no precisamente de dinero: facturas, tiques de compra, post-its, chatarra y una infinidad de tarjetas de plástico. En ocasiones, he llegado a preguntarme para qué servía alguna de ellas.
Por fortuna, desde hace algún tiempo unas siglas extrañas merodean a alrededor de tu smartphone, amenazando con convertir la cartera en una especie en peligro de extinción. Me refiero a NFC, o lo que es lo mismo, Near Field Communication.
NFC permite la comunicación inalámbrica entre dispositivos, a través de ondas de radio de corto alcance. Así, y esto es imparable, los fabricantes de smartphones están empezando a dotar a sus nuevos modelos con esta tecnología. ¿Todos los fabricantes?, bueno, no todos. Uno de los principales sigue haciendo la guerra por su cuenta. Hace poco presentaba la última versión de su buque insignia, sin NFC. Esta ausencia ha dado lugar a todo tipo de artículos y comentarios, lo que, en definitiva, ha redundado en una curiosa e inesperada campaña de difusión de NFC, a rebufo del lanzamiento del famoso modelo de teléfono móvil de la compañía de la manzana.
La transición de la cartera, tal y como la conocemos, a su versión digital, es posible gracias a la aplicación de una de las tres modalidades de operación que soporta NFC: la emulación de smartcards o tarjetas inteligentes. Esta emulación de tarjetas inteligentes requiere de un lugar donde poder almacenar la información de forma segura. Es lo que se conoce con el nombre de, como no podía ser de otra forma, elemento seguro. Algo así como una “caja fuerte”, donde depositar datos con acceso restringido al propietario de esa información, mediante el uso de la correspondiente clave o “combinación”.
En el caso de los operadores de telefonía móvil, la SIM hace las veces de elemento seguro.
¿Y la SIM es suficientemente segura?
Recientemente aparecía una noticia que asociaba vulnerabilidad y NFC en el Samsung Galaxy S III, uno de los modelos de teléfono móvil que cuenta con esta tecnología. A raíz de este anuncio, en un famoso portal web agregador de noticias, varias personas realizaban una serie de comentarios. He recogido, a continuación, los que me han parecido de mayor interés, incluyendo un breve análisis, para abordar la cuestión de la seguridad, en general, de NFC y, en particular, de la SIM:
“Tranquilo. NFC se puede desactivar y no lo echarás de menos”
NFC, tal y como ocurre con otras interfaces del móvil (Bluetooth o Wi-Fi, por ejemplo), se puede activar o desactivar a discreción del usuario. Llevarlo apagado no es lo más cómodo, si queremos tener una experiencia de uso aceptable, ya que nos obligaría a encenderlo cada vez que queramos utilizarlo, perdiendo una de las ventajas que caracteriza a esta tecnología: la usabilidad. En jerga anglosajona esto se denomina tap & go, es decir, algo así como “tocar y listo”.
Echarlo o no de menos dependerá de cada uno y del uso que se quiera dar al móvil, aprovechando o no lo que esta tecnología ofrece.
“NFC va a ser un agujero de seguridad como un túnel de autovía”
Esta afirmación es similar a decir que, por el mero hecho de que mi casa tenga puertas y ventanas, cualquiera que pase por allí puede entrar. No olvidemos que con NFC estamos ofreciendo un camino por el que el teléfono se expone a elementos externos. A partir de aquí, seamos conscientes de adónde lo aproximamos y con quién compartimos información. Tomemos las precauciones mínimas que aconseja el sentido común antes de abrir la puerta de nuestra casa (como cuando nuestros padres nos decían aquello de “no abráis a desconocidos”) y cerremos con llave cuando salgamos.
“Ya veremos cuántas noticias salen de gente a la que le han vaciado la cuenta por usar NFC”
En el caso de las tarjetas financieras, cuando pagamos con el móvil, la información sensible que se envia a los datáfonos, a través de NFC, está almacenada en la SIM. La SIM dispone de una memoria segura para proteger las aplicaciones de pago, correspondientes a las marcas o esquemas de pago que todos conocemos.
El hecho de que algún extraño consiga entrar en nuestra casa, no significa que tenga acceso al contenido de la caja fuerte. La SIM, tal y como hemos mencionado previamente, haría las veces de esa “caja fuerte”. Repasando con atención el artículo origen de esta serie de comentarios, vemos cómo con este ataque se tiene acceso a la información que está almacenada en el móvil, pero que no está protegida de ninguna forma: contactos, archivos multimedia,…
“NFC solo funciona con un móvil totalmente pegado a otro. No valen ni 10cm, ni 5cm”
Esto se aproxima bastante a la realidad. Por lo general, cuando nos referimos a NFC hablamos de distancias inferiores a 10 cm. En la práctica, es necesario acercar nuestro móvil a escasa distancia del dispositivo con el que se quiere interaccionar, entre 1 cm y 2 cm. Por otra parte, en el caso de pagos a través de datáfonos, los detalles de la tarjeta (numeración, los datos del titular y todos los comandos de seguridad necesarios) viajan en un criptograma, firmados digitalmente.
“Existen ataques a distancia para intentar llegar a tu NFC”
El texto indicada que, empleando antenas y emisores muy potentes, una persona en un coche o simplemente con una mochila que pase cerca de ti podría tener acceso a tu smartphone. Esto es completamente falso. Supongo que quien lo decía estaba muy mal informado o pretendía desinformar. Utilizar NFC implica, necesariamente, voluntad de uso: o aproximamos mucho nuestro móvil al lector o no existirá comunicación.
“NFC es un sistema tan inservible como el cargador inalámbrico de Nokia”
La utilidad de NFC está más que demostrada. Al menos, varios millones de japoneses, como usuarios activos de esta tecnología, lo tienen claro. Y no estamos hablando solo de pagar con el móvil utilizando tarjetas financieras. En la SIM cabe cualquier tarjeta que se nos ocurra: el abono transporte, la tarjeta de acceso a una habitación de hotel, la tarjeta ciudadana,…
«Si Apple quisiera meter NFC en algún dispositivo suyo sería con un sistema propio»
Al igual que han hecho Google o Paypal, es casi seguro que si Apple hiciera algo sobre NFC, lo que está por ver, se trataría de una solución propietaria, sin posibilidad, probablemente, de utilizar un elemento seguro distinto al propio teléfono. Hay que tener en cuenta que no solo la SIM puede hacer las veces de “caja fuerte”. El teléfono puede incluir lo que se llama un elemento seguro embebido. En otras palabras, el móvil incorpora el hardware que permite almacenar datos de forma segura.
Por otra parte, Telefónica no tiene un sistema propio de pago basado en NFC. Telefónica, como operador de telefonía móvil y como cualquier otro operador que así lo decida, pone su SIM a disposición de los emisores para que éstos, a su vez, puedan alojar, de forma segura, sus productos, es decir, las tarjetas que tradicionalmente se vienen ofreciendo en soporte plástico.
De hecho, una vez emitida la tarjeta sobre la SIM, todo lo que ocurre a partir de ese momento es transparente para Telefónica. Es posible utilizarla sin que el móvil tenga cobertura alguna e, incluso, en algunas circunstancias y dependiendo del caso de uso, aun con el móvil apagado la tarjeta funcionaría.
“Yo ya dispongo de una tarjeta sin contacto para sacar dinero o pagar en comercios”
Efectivamente, éste es el primer paso hacia el mundo contactless o sin contacto. En España, varios bancos ya están distribuyendo nuevas tarjetas financieras, en plástico, que permiten pagar aproximando la tarjeta al datáfono. Suelen venir identificadas por un símbolo similar a éste . Actualmente, hay multitud de comercios con datáfonos que permiten pagos contactless, compatibles tanto con tarjeta como con teléfono.
Añado una pregunta de mi cosecha, que me ha planteado más de una persona.
“¿Qué pasa si me roban o pierdo el móvil?”
Inicialmente, la forma de actuar es la misma que cuando extraviamos nuestra cartera, es decir, avisar al emisor. En el caso de la tarjeta financiera, lo pondríamos en conocimiento del banco para que procediera a bloquearla.
Aunque esto también, en algún momento, cambiará. Bastará con llamar a nuestro operador de telefonía móvil para que el aviso se propague, de forma automática. A continuación, todos los emisores procederían a tomar las medidas correspondientes para evitar el fraude como, por ejemplo, bloquear nuestras tarjetas en sus respectivos sistemas.
Con una ventaja adicional, para el usuario, a la hora de comunicar este aviso, y lo dejo en forma de pregunta: ¿qué advertimos antes?, ¿la desaparición de nuestra cartera o el extravío del teléfono móvil?