Si nos vamos a la definición de manual tendríamos que NFC (Near Field Communication) no es más que una tecnología de comunicación inalámbrica, de corto alcance, es decir, que necesita proximidad y de alta frecuencia que lo que permite es el intercambio de datos entre los dispositivos conectados. ¿Por qué entonces si NFC es Near Field Communication te has encontrado con Near Fail Communication? Pues porque la comunicación de campo cercano se convierte en comunicación de fallo cercano cuando gracias a especialistas en seguridad como Óscar Navarrete descubres la cantidad de vulnerabilidades que encierra MIFARE la tecnología que usa NFC en sus tarjetas inteligentes sin contacto.
Se trata de unos fallos de seguridad que a pesar de estar reportados y a la luz desde 2007 (unos cuantos años la verdad) sigue usándose por algo tan ‘sencillo’ de entender como son los criterios económicos. Existe la posibilidad de usar tarjetas MIFARE de mayor seguridad pero cuestan más dinero así que se sigue usando el sistema más económico y vulnerable porque echando cuentas solo ‘unos pocos’ se aprovechan de dichos fallos para su beneficio y el criterio de caja se impone: si las pérdidas no son muchas, lo dejamos como esta.
En el especial Hack&Beers que tuvo lugar con motivo de las Jornadas de Seguridad PaellaCON en Valencia, Óscar Navarrete realizó una charla de carácter divulgativo para explicar cómo funciona NFC, qué debilidades presenta y qué tipos de ataques se pueden realizar. Remarco lo de divulgativo porque una vez es importante y además en el vídeo se puede ver el disclaimer. Investigar una tecnología para averiguar si cuenta con fallos de seguridad y explotarlos para ver su alcance y reportarlos es algo que solo se puede hacer en entornos controlados pues todo lo que se haga en campo abierto es delito, así sin más.
Por eso cualquiera que pueda usar lo aquí expuesto para ponerlo en práctica fuera de un entorno controlado lo estará haciendo bajo su responsabilidad y sabiendo que está realizando algo ilícito con consecuencias legales, tal vez por eso conviene recordar en este punto la charla ‘Soy hacker ¿necesito un abogado?‘ realizada por el abogado Jacob Peregrina. Hay líneas con las que se puede trastear que no se pueden cruzar y eso quedó también bastante claro en la ponencia de Eloy Villa ‘Voy a cruzar la línea‘.
Óscar Navarrete (@Navaguay) es Ingeniero Técnico de Sistemas, trabaja en la actualidad como administrador de sistemas y redes en un importante grupo empresarial. Co-organizador de las Jornadas de Seguridad Informática CONPilar. Es profesor titular de «Planificación de redes corporativas», «Integración de sistemas» y «Seguridad en sistemas de información» en SEAS Estudios Superiores Abiertos del grupo San Valero y desde su web Aratech comparte en su blog parte de sus investigaciones. Si quieres saber más sobre sus impresiones sobre el mundo de la seguridad y el hacking con consejos para todos aquellos que están dando sus primeros pasos en el mundo de la seguridad recomiendo echar un vistado a su entrevista en Palabra de hacker.
NFC y MIFARE al descubierto
La charla de Óscar, disponible en vídeo a continuación, se estructura de la siguiente forma y cuenta con una parte técnica en la que explica con detalle cómo funciona la tecnología y los posibles ataques y también una demo:
– Qué es NFC, para qué se utiliza y cómo funciona.
– Cuáles son los principales problemas que presenta:
– El cifrado CRYPTO01 que se utiliza en NFC y que está revertido desde 2007.
– El principio de «seguridad por oscuridad» en el que se sustenta.
– Usa claves de 48 bits.
– Principales debilidades que se encuentran.
– Tecnología MIFARE.
– Ataques a MIFARE Classic, la más vulnerable de todas.
– Por qué no se hace nada para solucionarlo si esto es público desde hace tanto tiempo.
– ¿Qué sucede con las tarjetas contactless bancarias? MIFARE Plus.
Sobre este último punto de las tarjetas contactless estuvimos hablando en el ciberdebate ‘Fraudes online. Cómo identificarlos y evitarlos’ así que desde este enlace puedes acceder al punto exacto de la conversación donde se comentó este tema y también recomiendo la charla de Josep Albors sobre ‘Ataques a usuarios de banca e instituciones financieras‘. Y como no, si quieres ver todas las charlas de la comunidad Hack&Beers que están disponibles en Palabra de Hacker puedes hacerlo desde esta lista de reproducción.
El documento que recomienda Óscar durante la charla como lectura obligada para conocer más a fondo el tema de los ataques a las tarjetas que usan MIFARE Classic está disponible en este enlace: ‘Selective Attacks to Mifare Classic Cards‘.
Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!
Vídeo
¿Tienes Telegram? Suscríbete al canal de Palabra de hacker: https://t.me/palabradehacker
Periodista y formadora especializada en ciberseguridad de tú a tú y competencias digitales. Fundadora del canal divulgativo HangoutNEO y del canal especializado en ciberseguridad Palabra de hacker. Autora del libro «Ciberseguridad de tú a tú. Lo que tienes que conocer para sentirte más seguro» de la editorial 0xWord. Si quieres adquirir un ejemplar del libro y que te lo envíe firmado, escríbeme.
Me defino curiosa por naturaleza, apasionada de la comunicación, abanderada de la educación y amante del social media. Soy la profesional que te puede ayudar a mejorar tu seguridad digital, tu identidad digital y tus competencias digitales así que ¡lánzame un reto!