Seguridad en NFC y Pagos Móviles

🔐 Nivel: Intermedio - Avanzado
📱 Tecnología: NFC, RFID, Apple/Google/Samsung Pay
🧠 Rol: Arquitecta Purple – Seguridad en Dispositivos Móviles

1. 📡 ¿Qué es NFC?

NFC (Near Field Communication) es una evolución del RFID diseñada para comunicaciones de muy corto alcance (~4 cm o menos). Se usa en smartphones para:

  • Leer etiquetas RFID (por ejemplo, carteles interactivos)

  • Emparejar dispositivos (Bluetooth/Wi-Fi)

  • Enviar pequeños paquetes de datos

  • Realizar pagos sin contacto

NFC está siempre presente en móviles modernos y se activa automáticamente al acercarse a una etiqueta o terminal.

2. 💳 Aplicación principal: Pagos móviles sin contacto

Los sistemas más populares:

  • Apple Pay

  • Google Pay

  • Samsung Pay

📌 Funcionan usando un token de un solo uso en lugar de enviar los datos reales de la tarjeta, lo cual es mucho más seguro. Este token se genera en tiempo real y se vincula únicamente a esa transacción.

🛡️ Ventaja: Aunque un atacante intercepte el token, no puede reutilizarlo ni extraer la tarjeta original.

3. 🧨 Vulnerabilidades y ataques frecuentes en NFC

3.1. Sniffing / Eavesdropping

  • Aunque NFC requiere cercanía, algunas antenas especializadas pueden leer la señal hasta 1-2 metros.

  • Esto puede revelar datos si la app o sistema no cifra correctamente.

3.2. NFC False Tag Attack (CVE-2019-9295)

  • Se crean etiquetas NFC falsas que abren URLs maliciosas sin aviso al usuario.

  • El atacante solo necesita que el usuario acerque su móvil a una etiqueta trampa.

3.3. Data Corruption

  • Un atacante puede lanzar una especie de DoS mediante señales RF que interfieren la comunicación entre el dispositivo y el lector.

3.4. Skimming y Clonación

  • Se puede clonar información parcial de una tarjeta NFC (número y vencimiento) en zonas públicas, pero realizar pagos reales con ella es muy difícil sin credenciales completas ni acceso a cuentas comerciales.

4. 🔐 Buenas prácticas defensivas (Blue Team)

  1. Desactivar NFC por defecto en todos los dispositivos corporativos.

  2. Habilitarlo solo para apps específicas (por política MDM).

  3. Usar aplicaciones de pago con tokenización (nunca apps que transmitan datos en claro).

  4. Alertas SIEM ante accesos o activaciones NFC fuera del horario o ubicación esperada.

  5. Auditorías regulares de uso NFC en dispositivos de alto riesgo (VIPs, directivos).

5. 🧱 Simulación ofensiva (Red Team)

🎯 Objetivo: probar si un usuario puede ser engañado con una etiqueta NFC trampa.

  • Crear una etiqueta NFC con una URL falsa (herramientas como NFC Tools).

  • Pegarla en un lugar común (cafetería, entrada, cartel).

  • Observar si el usuario recibe advertencia o si se abre automáticamente la web.

⚠️ Este ejercicio debe realizarse solo en entorno controlado y con consentimiento, como parte de una simulación de ingeniería social.

6. 🧪 Reto técnico Purple

✔️ Paso 1: Comprueba si el NFC está activo en tu dispositivo de prueba.
✔️ Paso 2: Intenta crear una etiqueta NFC que dirija a una web (puedes usar https://nfc.tools).
✔️ Paso 3: Valida si el navegador abre la URL automáticamente.
✔️ Paso 4: Aplica una política que impida ejecutar URLs desde etiquetas NFC.
✔️ Paso 5: Usa un lector portátil para comprobar si puedes detectar señales NFC activas en un entorno real.

7. 🧠 Lección clave

🔐 NFC es cómodo pero invisible. Aunque requiere contacto cercano, basta un momento de distracción para que un atacante capture, interrumpa o redirija la conexión si los dispositivos están mal configurados.

📲 Claves y Curiosidades Avanzadas de NFC y Pagos Móviles

1. 🧠 NFC ≠ Seguridad por diseño

A pesar de su limitadísimo rango, NFC no cifra por sí solo la comunicación, ni verifica autenticidad de las etiquetas. La seguridad depende casi en su totalidad de:

  • La app que interpreta la etiqueta

  • El sistema operativo

  • Y del contexto (por ejemplo, si se activa con la pantalla bloqueada o no)

⚠️ Muchas apps abren automáticamente lo que leen, sin validar la fuente ni mostrar advertencias al usuario.

2. 🧨 Ataques NFC Reales (históricos y posibles)

🧪 1. False Tag Redirection

  • Ejemplo: Una etiqueta NFC pegada sobre un cartel real que redirige al usuario a una web maliciosa (https://bank-login-fake.com).

  • El usuario, si no presta atención, puede introducir credenciales reales creyendo que está accediendo a un servicio legítimo.

🧪 2. Eavesdropping en espacios concurridos

  • Usando antenas amplificadas, se puede interceptar información NFC en estaciones, trenes o centros comerciales.

  • Especialmente riesgoso en pagos sin contacto o intercambio de datos.

🧪 3. Ataques DoS por colisión de señal

  • Un atacante inunda el entorno con ruido electromagnético para impedir la correcta lectura o generar errores que debiliten la transacción.

3. 🧱 Blue Team – Controles avanzados

  • 🛑 Bloqueo de NFC corporativo en dispositivos móviles de alto riesgo o con acceso a datos sensibles.

  • 🎯 Política MDM que solo permita uso de apps verificadas para pagos y lectura de etiquetas.

  • 📍 Ubicación + contexto: Geofencing para habilitar NFC solo en zonas seguras (ej. en la oficina, no fuera).

  • 🔐 MFA contextual: Si se detecta uso NFC en localización desconocida → forzar reautenticación biométrica o bloqueo temporal.

  • 🧪 Simulación ofensiva periódica: Etiquetas trampa en el entorno de trabajo como parte de campañas de concienciación y formación.

4. 💥 Red Team – Ideas para testear la postura de seguridad NFC

  • Etiquetas con payloads ofensivos: prueba a incluir URLs, intentos de acceso a archivos locales o comandos ocultos (según el OS).

  • Lectura remota pasiva: con hardware especializado, intenta detectar cuándo los empleados hacen pagos o activan NFC sin darse cuenta.

  • Entornos saturados: testea qué ocurre cuando múltiples etiquetas compiten en la misma área (por ejemplo, sala de reuniones).

5. 🤖 Clonación y Skimming: ¿Qué tan fácil es?

🔍 Riesgo real: Clonar tarjetas de acceso o información NFC es posible con lectores portátiles como Proxmark3 o ChameleonMini.
🎭 Sin embargo, clonar y usar un token de pago como Apple Pay o Google Pay es extremadamente difícil:

  • Necesitarías romper el enclave seguro del móvil

  • O interceptar la conexión entre el dispositivo y el terminal en tiempo real

  • Además, muchas transacciones requieren validación biométrica (Face ID, Touch ID)

🛡️ La parte más débil suele ser el usuario, no el sistema criptográfico.

6. 📚 Estándares y referencias útiles

  • CVE-2019-9295 – NFC Tag Vulnerability (Android)

  • Apple Pay & Secure Enclave architecture

  • ISO/IEC 14443 – Contactless smartcards & NFC

7. 🧪 Reto práctico Purple

✔️ Crea una etiqueta NFC (real o simulada) que:

  • Redirija a una URL de phishing simulada (entorno seguro)

  • Genere una notificación automática en el móvil

  • Actúe diferente si el dispositivo está desbloqueado o bloqueado

✔️ Luego aplica controles:

  • ¿Tu sistema MDM bloquea la ejecución?

  • ¿El navegador lanza advertencias?

  • ¿El usuario lo detecta?

8. 🧠 Conclusión

🎯 NFC no es peligroso por sí mismo, pero lo es su invisibilidad.
El mayor riesgo: que el usuario no sepa que está ocurriendo algo. El reto del Purple Team es hacerlo consciente, sin frenar la experiencia del usuario.
Purple Mystara - Cristina Martínez Girol
Todos los derechos reservados 2025
Creado con Webnode Cookies
¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar