NFC Near Fail Communication de Óscar Navarrete en la comunidad Hack&Beers.

NFC, Near Fail Communication: cómo funciona y vulnerabilidades de MIFARE

Si nos vamos a la definición de manual tendríamos que NFC (Near Field Communication) no es más que una tecnología de comunicación inalámbrica, de corto alcance, es decir, que necesita proximidad y de alta frecuencia que lo que permite es el intercambio de datos entre los dispositivos conectados. ¿Por qué entonces si NFC es Near Field Communication te has encontrado con Near Fail Communication? Pues porque la comunicación de campo cercano se convierte en comunicación de fallo cercano cuando gracias a especialistas en seguridad como Óscar Navarrete descubres la cantidad de vulnerabilidades que encierra MIFARE la tecnología que usa NFC en sus tarjetas inteligentes sin contacto.

Se trata de unos fallos de seguridad que a pesar de estar reportados y a la luz desde 2007 (unos cuantos años la verdad) sigue usándose por algo tan 'sencillo' de entender como son los criterios económicos. Existe la posibilidad de usar tarjetas MIFARE de mayor seguridad pero cuestan más dinero así que se sigue usando el sistema más económico y vulnerable porque echando cuentas solo 'unos pocos' se aprovechan de dichos fallos para su beneficio y el criterio de caja se impone: si las pérdidas no son muchas, lo dejamos como esta.

En el especial Hack&Beers que tuvo lugar con motivo de las Jornadas de Seguridad PaellaCON en Valencia, Óscar Navarrete realizó una charla de carácter divulgativo para explicar cómo funciona NFC, qué debilidades presenta y qué tipos de ataques se pueden realizar. Remarco lo de divulgativo porque una vez es importante y además en el vídeo se puede ver el disclaimer. Investigar una tecnología para averiguar si cuenta con fallos de seguridad y explotarlos para ver su alcance y reportarlos es algo que solo se puede hacer en entornos controlados pues todo lo que se haga en campo abierto es delito, así sin más. Por eso cualquiera que pueda usar lo aquí expuesto para ponerlo en práctica fuera de un entorno controlado lo estará haciendo bajo su responsabilidad y sabiendo que está realizando algo ilícito con consecuencias legales, tal vez por eso conviene recordar en este punto la charla "Soy hacker ¿necesito un abogado?" realizada por el abogado Jacob Peregrina. Hay líneas con las que se puede trastear que no se pueden cruzar y eso quedó también bastante claro en la ponencia de Eloy Villa "Voy a cruzar la línea".

Óscar Navarrete (@Navaguay) es Ingeniero Técnico de Sistemas, trabaja en la actualidad como administrador de sistemas y redes en un importante grupo empresarial. Co-organizador de las Jornadas de Seguridad Informática CONPilar. Es profesor titular de "Planificación de redes corporativas", "Integración de sistemas" y "Seguridad en sistemas de información" en SEAS Estudios Superiores Abiertos del grupo San Valero y desde su web Aratech comparte en su blog parte de sus investigaciones. Si quieres saber más sobre sus impresiones sobre el mundo de la seguridad y el hacking con consejos para todos aquellos que están dando sus primeros pasos en el mundo de la seguridad recomiendo echar un vistado a su entrevista en Palabra de hacker.

 

NFC y MIFARE al descubierto

La charla de Óscar, disponible en vídeo a continuación, se estructura de la siguiente forma y cuenta con una parte técnica en la que explica con detalle cómo funciona la tecnología y los posibles ataques y también una demo:

- Qué es NFC, para qué se utiliza y cómo funciona.

- Cuáles son los principales problemas que presenta:

- El cifrado CRYPTO01 que se utiliza en NFC y que está revertido desde 2007.

- El principio de "seguridad por oscuridad" en el que se sustenta.

- Usa claves de 48 bits.

- Principales debilidades que se encuentran.

- Tecnología MIFARE.

- Ataques a MIFARE Classic, la más vulnerable de todas.

- Por qué no se hace nada para solucionarlo si esto es público desde hace tanto tiempo.

- ¿Qué sucede con las tarjetas contactless bancarias? MIFARE Plus.

 

Sobre este último punto de las tarjetas contactless estuvimos hablando en el ciberdebate "Fraudes online. Cómo identificarlos y evitarlos" así que desde este enlace puedes acceder al punto exacto de la conversación donde se comentó este tema y también recomiendo la charla de Josep Albors sobre "Ataques a usuarios de banca e instituciones financieras". Y como no, si quieres ver todas las charlas de la comunidad Hack&Beers que están disponibles en Palabra de Hacker puedes hacerlo desde esta lista de reproducción.

El documento que recomienda Óscar durante la charla como lectura obligada para conocer más a fondo el tema de los ataques a las tarjetas que usan MIFARE Classic está disponible en este enlace: "Selective Attacks to Mifare Classic Cards".

Vídeo

 
¿Te ha gustado? Déjame abajo un comentario y comparte la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!

¿Te unes al conocimiento innovador para recibir mis novedades por newsletter?

Nombre

Correo electrónico

He leído la Política de Privacidad de la web. Acepto expresamente los términos y condiciones y consiento el tratamiento de mis datos personales.

Información básica sobre Protección de datos.

Responsable del tratamiento de datos: Yolanda Corral. Finalidad: Gestionar las suscripciones a la web para estar informados de nuevas publicaciones y novedades. Legitimación: Contar con tu consentimiento expreso. Destinatarios: Yolanda Corral como encargada del tratamiento de datos, adoptando las necesarias medidas de seguridad y confidencialidad. Los datos que me facilites estarán ubicados en los servidores de Raiola Networks, ubicados en la UE cuyo nivel de protección son adecuados según la Comisión de la UE. Derechos: Tienes derecho de información, a acceder, rectificar, limitar y cancelar tus datos tal y como puedes ver detalladamente en la política de privacidad de esta web así como en el aviso legal.

AVISO LEGAL – PRIVACIDAD – COOKIES

Yolanda Corral
Soy licenciada en Periodismo. Periodista y formadora especializada en ciberseguridad, TICs, YouTube, redes sociales y contenidos online. Cuento con un máster en Community Management y siempre estoy en continuo aprendizaje. Fundadora y organizadora de las jornadas de Seguridad Informática PaellaCON y dinamizadora de Hack&Beers Valencia. Fundadora del canal divulgativo HangoutNEO y del canal especializado en ciberseguridad Palabra de hacker.

Curiosa por naturaleza, apasionada de la comunicación, abanderada de la educación, la transformación digital y la seguridad digital, amante del social media y coleccionista de momentos. Como formadora imparto talleres y doy charlas sobre seguridad digital, TICs, redes sociales, YouTube, LinkedIn, marca personal, empleo 2.0, alfabetización digital, marketing de contenidos... Dime qué necesitas y lo doy todo. ¡Conectemos en las redes!
Yolanda Corral on GoogleYolanda Corral on InstagramYolanda Corral on LinkedinYolanda Corral on TwitterYolanda Corral on Youtube

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.