<p>De Milán a Roma y hasta el caso más reciente de Nápoles, parece haberse reactivado una oleada de temores vinculados a supuestos robos cometidos mediante el uso de terminales de cobro portátiles. Casi una psicosis que reaparece periódicamente. El pasado verano, por ejemplo, volvieron a hacerse virales en redes sociales viejos vídeos presentados como grabados en Italia, pero procedentes de países muy distintos y con la sospecha de que se tratara de<strong> montajes realizados ad hoc</strong>, con actores y actrices en el papel de presuntos carteristas 2.0.</p>
Los medios hablan de ladrones tecnológicos que deambulan entre la multitud y aprovechan los pagos «sin contacto» para robar sumas de hasta 50 euros a transeúntes desprevenidos. ¿Realidad o psicosis?
De Milán a Roma y hasta el caso más reciente de Nápoles, parece haberse reactivado una oleada de temores vinculados a supuestos robos cometidos mediante el uso de terminales de cobro portátiles. Casi una psicosis que reaparece periódicamente. El pasado verano, por ejemplo, volvieron a hacerse virales en redes sociales viejos vídeos presentados como grabados en Italia, pero procedentes de países muy distintos y con la sospecha de que se tratara de montajes realizados ad hoc, con actores y actrices en el papel de presuntos carteristas 2.0.
Ahora llegan desde Nápoles nuevas informaciones sobre robos cometidos con el mismo método, creativo y tecnológico: la víctima es un asesor fiscal de San Giorgio a Cremano, que se dio cuenta del hurto cuando su smartphone vibró con una notificación de la aplicación del banco: «Pago realizado: 50 euros, mediante POS». El pasado agosto se produjo una detención en Sorrento: a una mujer de 36 años, arrestada por el robo de un billete de 100 euros, se le encontró un POS portátil en el bolso.
Vuelve así una cuestión que, quizá con demasiada rapidez, había sido archivada como una auténtica falsedad: ¿es posible robar dinero de las tarjetas (de crédito o débito) o de los smartphones acercando un POS portátil a los bolsillos de los transeúntes y aprovechando la tecnología de los pagos contactless, sin PIN?
¿La respuesta? Sí, pero conviene hacer muchas distinciones y precisiones, porque el asunto no es tan sencillo.
Para entender la cuestión hay que partir de los POS móviles. Se trata de dispositivos portátiles, generalmente utilizados por profesionales o aficionados para cobrar dinero mediante tarjetas de crédito o a través de sistemas de pago digitales comosmartphones y dispositivos wearables (relojes, anillos).
Los pagos electrónicos en la modalidad ‘contactless’ se realizan mediante el contacto entre el POS y el smartphone o entre el POS y la tarjeta (siempre que permita esta modalidad).
Cada transacción contactless, ya sea con una tarjeta física o con un smartphone, utiliza un estándar internacional (ISO/IEC 14443) y la tecnología NFC (Near Field Communication). Como indica su propio nombre, está diseñada para operar en lo que se denomina «campo cercano», por lo que el llamado «robo 2.0» no puede producirse en ningún caso de forma mágica a varios metros de distancia. La transacción debe realizarse en proximidad, con el conocido «tap», es decir, acercando el dispositivo o la tarjeta al lector del POS móvil habilitado para pagos «contactless».
En el caso de los smartphones, los dispositivos se comunican de modo que el teléfono envía al POS un token (es decir, de forma muy simplificada, un código) que garantiza el anonimato de la tarjeta de pago del usuario. Una vez autorizada la compra, el banco puede asociar ese token al usuario y aprobar o rechazar la transacción. En la base de la tecnología de pago contactless se encuentra el NFC (Near Field Communication).
A diferencia del smartphone, las tarjetas contactless incorporan chips EMV (Europay, Mastercard, Visa) que generan códigos de seguridad dinámicos en cada transacción. También en este caso interviene la tecnología NFC y se crea un token único. El circuito bancario del vendedor «interroga» entonces al del comprador para comprobar si existen fondos disponibles y, en cuestión de segundos, acepta o rechaza el pago. En ambos supuestos, conviene subrayarlo, no resulta en absoluto sencillo sustraer dinero a personas desprevenidas. Pero es necesario distinguir entre el caso del teléfono móvil y el de las tarjetas.
Las tarjetas de pago contactless son dispositivos pasivos, ya que no disponen de una batería interna. Solo «cobran vida» cuando entran en el campo electromagnético generado por el lector (el POS). Ese campo actúa como fuente primaria de energía: mediante un proceso de inducción electromagnética, la antena en espiral incorporada en la tarjeta (a menudo invisible porque está integrada entre las capas de plástico) capta la energía, la convierte en electricidad y alimenta el microchip criptográfico. Esta dependencia física de la energía del lector constituye la primera y fundamental barrera de seguridad física. Para que el chip se active y comience a transmitir, la distancia entre la antena del lector y la de la tarjeta debe ser mínima, normalmente inferior a cuatro centímetros.
La física de la atenuación de la señal a 13,56 MHz, la frecuencia a la que operan las tarjetas de proximidad, hace extremadamente difícil -por no decir prácticamente imposible con equipamiento estándar- «leer» una tarjeta a un metro de distancia o a través de bolsos gruesos. Ladrones especialmente hábiles en electrónica podrían llegar a crear antenas modificadas con una potencia ilegal, pero incluso en ese caso se trataría de dispositivos de dimensiones impracticables para un carterista que quiera pasar desapercibido en un vagón de metro.
Pero si nuestro carterista 2.0 acercara su POS a un bolsillo en el que llevamos una tarjeta de crédito o de débito, ¿sería posible sustraer una cantidad inferior a 50 euros? En teoría, sí, ya que las tarjetas de nueva generación (a diferencia de las antiguas, sin chip y solo con banda magnética) están siempre activas y no requieren desbloqueo.
Sin embargo, existe un obstáculo técnico formidable conocido como «colisión de tarjetas» o card clash: si un usuario lleva en la cartera dos tarjetas contactless (por ejemplo, una de débito y otra de crédito, o una tarjeta de pago y una tarjeta reciente de transporte público), ambas responderán al campo magnético del POS del atacante.
Los terminales POS están programados para no «elegir al azar». Si detectan respuestas múltiples que indican la presencia de más de una aplicación de pago, la transacción se aborta y aparece un mensaje de error.
Intentemos, por tanto, resumirlo. Para robar dinero de una tarjeta, la víctima debería cumplir las siguientes condiciones:
– Tener una sola tarjeta contactless en la cartera;
– Llevar la cartera colocada en el bolsillo más exterior y no tener ninguna otra tarjeta compatible con la tecnología RFID (tarjeta de empresa, abono del gimnasio, tarjeta de transporte, etc.) que pueda generar interferencias;
– No contar con ningún tipo de efecto pantalla metálico (monedas, llaves) que atenúe la señal.
La probabilidad de que todas estas condiciones se den al mismo tiempo -y además en un entorno caótico como un vagón de metro o una calle concurrida- no es nula, pero sí claramente baja.
Cuando se pasa de las tarjetas físicas a los monederos digitales en smartphones (Apple Pay, Google Wallet, Samsung Pay), el nivel de seguridad da un salto adicional de calidad gracias a la tokenización. El funcionamiento de la transacción es muy distinto al de una tarjeta física: el smartphone nunca transmite el número de 16 cifras impreso en la tarjeta. El circuito de pago (Visa, Mastercard, etc.) sustituye ese número por un token digital específico para ese dispositivo y para ningún otro. Este token se almacena en un área segura del procesador (Secure Element o Trusted Execution Environment).
Si un delincuente lograra forzar una transacción desde un smartphone, solo obtendría los datos relativos a ese token, completamente inútiles para crear una tarjeta física clonada o para realizar compras en comercios electrónicos, donde se exige el número real de la tarjeta.
Volvamos, sin embargo, al llamado «robo 2.0» y empecemos por los iPhone. La arquitectura de seguridad de Apple Pay exige autenticación biométrica (Face ID o Touch ID) o la introducción del código de desbloqueo para activar la antena NFC para el pago. Un iPhone con la pantalla apagada o bloqueada no responde a un POS, lo que hace imposible una transacción no deseada y oculta.
La única excepción es el modo «tarjeta de transporte exprés» (Express Transit), pensado para agilizar el paso por los tornos del metro sin desbloquear el teléfono: algunos investigadores británicos han demostrado en laboratorio que es posible engañar a un iPhone bloqueado haciéndole creer que se encuentra ante un torno de metro. No obstante, se trata de una posibilidad más teórica que práctica, ya que no puede aprovecharse con un simple POS comercial y requiere un equipamiento más voluminoso y potente.
En la práctica, por tanto, robar dinero de las tarjetas almacenadas en un iPhone es prácticamente imposible.
Hay que hacer un matiz diferente para quienes poseen un smartphone Android, un ecosistema más complejo y variado que el de Apple. Google Wallet (anteriormente Google Pay) permitió durante años realizar pagos de bajo importe (umbrales variables según el país, normalmente 25 o 50 euros) simplemente despertando el teléfono, es decir, encendiendo la pantalla, sin necesidad de desbloquearlo por completo. Esta funcionalidad, pensada para mayor comodidad y rapidez, representaba, sin embargo, una posible superficie de ataque: un delincuente podría teóricamente encender la pantalla de un teléfono ajeno (presionando el botón lateral en una aglomeración) y acercar un POS para efectuar una transacción.
Con la introducción de Android 15 y las actualizaciones de seguridad más recientes, Google ha empezado a exigir el desbloqueo del dispositivo para cualquier transacción NFC, independientemente del importe. Se trata de un cambio que cierra prácticamente la ventana de vulnerabilidad para los dispositivos actualizados.
Pero si tienes un dispositivo Android más antiguo, no significa que estés 100% seguro: un buen consejo es mantener la función NFC desactivada y activarla solo cuando sea necesaria.
A las barreras técnicas, que como ya se ha visto reducen enormemente la probabilidad de robo, se suman las normativas administrativas y financieras, que añaden otra capa de dificultad para el potencial «ladrón 2.0».
Contrariamente a lo que algunos puedan pensar, no es posible comprar un POS en un supermercado, encenderlo y empezar a cobrar dinero en una cuenta anónima en las islas Caimán. En Italia, la activación de un terminal de pago .ya sea un modelo bancario tradicional (como los proporcionados por Nexi o Ingenico) o un POS móvil (mPOS) de fintech como SumUp, Zettle o myPOS- está sujeta a regulaciones muy estrictas.
El requisito fundamental es la identificación fehaciente del titular mediante número de IVA, código fiscal y documento de identidad, todos ellos contrastados con bases de datos antifraude.
La cuenta corriente de destino debe estar a nombre de la misma persona registrada en el POS, lo que elimina cualquier posibilidad de anonimato. Incluso suponiendo que una organización criminal lograra superar el obstáculo del registro utilizando a un testaferro, la fase operativa del robo se enfrenta a sistemas de monitorización en tiempo real. Los mPOS modernos geolocalizan cada transacción mediante GPS y los sistemas de detección de fraude analizan en tiempo real patrones sospechosos (transacciones muy seguidas, importes pequeños, ubicaciones inusuales, etc.), generando alertas inmediatas.
Por último, los fondos no están disponibles de forma inmediata (valor T+1 o superior) y, mientras tanto, las víctimas reciben notificaciones push y pueden impugnar el cargo, lo que provoca el bloqueo instantáneo de la cuenta y la congelación de los fondos por parte del proveedor, que facilita los datos personales y bancarios a las fuerzas del orden para identificar al responsable.
A todo ello hay que añadir que la normativa europea PSD2 y las políticas de los circuitos Visa y Mastercard protegen al consumidor garantizando el reembolso íntegro en caso de fraude contactless no autorizado, salvo que se demuestre dolo o negligencia grave por parte del cliente.
Si el robo directo mediante POS, como ya habréis entendido, resulta técnicamente complicado y financieramente arriesgado, los expertos en seguridad han advertido en los últimos meses de un peligro más complejo pero real, conocido como ataque Relay o Ghost Tap.
El ataque Relay «desacopla» el lugar del robo de los datos del lugar del uso fraudulento, superando el límite de la proximidad física impuesto por el estándar NFC mediante un puente digital que, no obstante, requiere una organización compleja, con dos cómplices y dos smartphones Android dotados de chip NFC y de un software modificado como NFCGate o variantes de malware.
El primer cómplice (lector) se encuentra físicamente cerca de la víctima en un lugar concurrido, mientras que el segundo (emulador) está en un comercio legítimo o frente a una máquina expendedora. Ambos están conectados a través de internet a un servidor de retransmisión de baja latencia. Cuando el emulador acerca el teléfono al POS para pagar una compra de importe elevado, el terminal envía un desafío criptográfico que se reenvía por internet al lector, el cual lo transmite a la tarjeta de la víctima desprevenida. La tarjeta genera el criptograma de respuesta creyendo que se comunica con un POS legítimo; esa respuesta es capturada y reenviada al emulador, que la transmite al POS real, autorizando así la compra.
Este ataque resulta especialmente insidioso porque el delincuente no necesita registrar ningún POS a su nombre y la transacción aparece como legítima en el terminal real de un comerciante honesto, con la criptografía EMV/DDA respetada, ya que es la propia tarjeta original la que genera la firma. Sin embargo, también presenta importantes limitaciones operativas: requiere una conexión a internet extremadamente rápida para cumplir los tiempos de espera muy estrictos de los protocolos de pago y sufre los mismos problemas de «colisión de tarjetas» si la víctima lleva más de una tarjeta en la cartera. Se utiliza principalmente para fraudes dirigidos y de alto perfil, y no para el robo masivo que describen las crónicas recientes.
Ante la amenaza de los ladrones 2.0 armados con POS móviles, prolifera la oferta de carteras y portatarjetas etiquetados como «RFID blocking» o «antiskimming». ¿Funcionan? ¿Sirven realmente para algo?
Las carteras y fundas con bloqueo RFID se basan en el principio físico de la jaula de Faraday. En su forro integran capas de materiales conductores (láminas de aluminio, mallas de cobre, fibra de carbono o tejidos tratados con níquel): cuando la cartera está cerrada, estos materiales crean una envoltura continua que refleja o absorbe las ondas de radio a 13,56 MHz, impidiendo que el campo electromagnético del POS alcance la antena de la tarjeta y la alimente. Los tests empíricos confirman la eficacia de estos dispositivos -al menos en los bien fabricados-, con un fallo de lectura en el 100% de los casos. Un resultado que también puede lograrse de forma artesanal envolviendo la tarjeta contactless en papel de aluminio doméstico, aunque se trata de una solución poco práctica y aún menos estética.
La mayoría de los expertos considera, no obstante, que estas carteras RFID no son esenciales para el usuario medio, porque -como ya se ha visto- basta con llevar dos o más tarjetas juntas en la cartera para neutralizar el problema. Y porque el «carterismo digital» es un delito de bajo rendimiento y alto riesgo, estadísticamente irrelevante frente a otras formas de fraude como el phishing, el smishing o el skimming tradicional en cajeros manipulados.
Llegamos así a la verdadera respuesta a la pregunta inicial, es decir: «¿Es posible robar dinero acercando un POS a los bolsillos?».
La respuesta, desde un punto de vista técnico, es sí.
Desde una perspectiva práctica, no.
En condiciones ideales de laboratorio (una sola tarjeta, distancia mínima, ausencia de apantallamiento), la transacción puede producirse. En el mundo real, sin embargo, las barreras físicas, tecnológicas y administrativas hacen que esta hipótesis de ataque resulte poco atractiva para un delincuente.
El verdadero riesgo para nuestro dinero no está en los bolsillos ni en el teléfono móvil, sino en el enlace malicioso recibido por correo electrónico, WhatsApp o SMS. Hoy en día, los ladrones más astutos no utilizan un POS móvil, sino la ingeniería social, como demuestra el reciente caso de Andrea Galeazzi.
A este youtuber le clonaronsu cuenta de correo y sus credenciales quedaron comprometidas tras contestar a un correo de apariencia legítima, disfrazado como una propuesta de colaboración de una marca con la que había trabajado antes.
Y es ahí donde debemos extremar la atención.
Tecnología
