NFC: el avance imparable del pago por móvil

Transcripción

1 NFC: el avance imparable del pago por móvil Near Field Communication es una tecnología que si bien no es en sí novedosa, sí que ofrece características nuevas, destacando la corta distancia a la que deben encontrarse los dispositivos que realizan la comunicación, de no más de 10 cm. La multitud de usos que pueden aplicarse, principalmente transacciones bancarias mediante micropagos, así como el acceso a la información y pagos de multitud de servicios, hacen que se divise como puntera en pocos años. Como toda tecnología en auge, esto también conlleva riesgos asociados a la seguridad. Ataques conocidos en tecnologías similares podrían repercutir en el progreso de NFC. Y todos los actores que participan de NFC han de ayudar a mejorar su seguridad. Miguel López-Negrete / José Miguel Esparza Muñoz NFC son las siglas en inglés de Near Field Communication, una tecnología de comunicación inalámbrica. Es un estándar definido por el Fórum NFC, un consorcio global de hardware, software, compañías de tarjetas de crédito, banca, empresas de telecomunicaciones y demás actores comprometidos en el avance y estandarización de esta prometedora tecnología. El Fórum NFC está promoviendo el logo N-Mark como el símbolo universal para indicar dónde existe funcionalidad NFC. 68 La tecnología en que está basado NFC no es algo nuevo. Sin embargo, en los últimos años los estándares en que se basa han alcanzado un punto donde no solo es factible y técnicamente posible el desarrollo de cientos de aplicaciones con usos reales, sino que también son viables comercialmente. Compatible con el etiquetado RFID, NFC es un protocolo de comunicación inalámbrica que permite conectar dos dispositivos a una distancia muy corta de hasta 10 cm con velocidades de transmisión de 106 Kbit/s, 212 Kbit/s y 424 Kbit/s sobre la banda 13.56MHz, sin necesidad de licencia. En comparación con otras tecnologías inalámbricas de corto alcance, NFC es de un alcance extremadamente pequeño. Prácticamente es necesario que se toquen el emisor y el receptor

2 NFC para su funcionamiento. Esta del campo RF, o solamente con uno de namiento y necesita de un disposifuncionalidad lo convierte en un sis- los dispositivos funcionado en modo tivo activo para que funcione. Por tema ideal de identificación o pago activo, siendo éste el único que genera otra parte, un dispositivo NFC activo electrónico, ya que para el usuario el campo RF. permite una interacción del usuario, supone comunicaciones muy sencillas, La comunicación NFC bidireccional siendo éste el generador de su propia transacciones rápidas y un simple permite que los dispositivos NFC sean energía. A través de su campo de intercambio de datos. capaces de transmitir y recibir datos inducción puede estimular y generar Valga el ejemplo de otros países al mismo tiempo. De esta forma, la energía para el funcionamiento de como Japón, donde una tecnología pueden verificar el campo de Radio los elementos pasivos. muy similar a NFC denominada Feli- Frecuencia y detectar una colisión si NDEF es un formato de mensaje Ca, de Sony, ha conseguido más de la señal recibida no coincide con la binario muy ligero diseñado para 50 millones de usuarios registrados en los últimos tres años en el servicio Osaifu-Ketai, una especie de servicio de cartera móvil de la compañía de telecomunicaciones NTT DoCoMo. En este sentido, Google Wallet se está imponiendo en el mercado norteamericano, y aunque algunas empresas son reticentes a su uso, se estima que durante los próximos dos años aumente notablemente el número de dispositivos móviles que dispongan de esta tecnología. En España, las primefuente: Fórum NFC ras pruebas han sido realizadas por La Caixa, que Apoyándose en la infraestructura actual de pagos, y añadiendo el pago a través ha desplegado diversos de NFC en los móviles, las instituciones financieras pueden proporcionar a sus cajeros automáticos con NFC, permitiendo realizar clientes la misma confianza en los servicios de pago en un nuevo factor de forma: operaciones con un dispoel teléfono móvil. sitivo móvil y un PIN asociado. Además, diversas entidades financieras, incluyendo La señal transmitida. encapsular uno o más payloads de Caixa, BBVA y Bankia, están realizando El fórum NFC ha definido un for- diferente tipo y tamaño en la conslas primeras compras en comercios mato de intercambio de datos al que trucción de un simple mensaje. Un utilizando tecnología NFC. se ha denominado NDEF -NFC Data registro NDEF contiene tres tipos de Dispone de dos modos de funcio- Exchange Format- y que puede ser parámetros para describir su payload. namiento: usado para guardar y transportar di- El propósito de estos parámetros es Activo: si genera su propio cam- ferentes tipos de elementos, que van el siguiente: po Radio Frecuencia (RF). Ejemplo: desde cualquier objeto de tipo MIME Longitud del payload: indica el terminales de pago. hasta documentos RTD ultra pequeños número de octetos en el payload. Pro Pasivo: si recibe alimentación a como URLs. porcionando la longitud del payload través del campo RF generado por Un ejemplo de este tipo de mensa- dentro de los ocho primeros octetos otro dispositivo. Ejemplo: móviles con jes se puede encontrar en las llamadas de un registro, es posible la detección chip NFC. etiquetas NFC (NFC tags). Una etiqueta eficiente de los límites del registro. Las comunicaciones pueden esta- NFC no permite una interacción con el Tipo de payload: indica la clase blecerse usando los dos dispositivos usuario y por sí sola no puede mostrar de datos que están siendo transporfuncionando en modo activo, con lo ninguna información al usuario. No tados en el payload de ese registro. que se van alternando en la generación genera su propia energía de funcio- NDEF soporta URIs (RFC 3986), tipos / Nº98 / FEBRERO

3 MIME (RFC2046) y tipos específicos NFC. Identificando el tipo de payload es posible dirigirlo a la aplicación de usuario. Identificador de payload: un payload puede dar un identificador opcional en la forma de una URI absoluta o relativa. El uso de un identificador permite el soporte de tecnologías de enlace de URIs vinculadas a otros payloads. Se ha de prestar especial atención a las implicaciones de seguridad de cualquier tipo de registro que pueda causar la ejecución remota de cualquier acción en el entorno del receptor. Antes de aceptar registros de cualquier tipo, una aplicación deberá ser consciente de las implicaciones de seguridad asociadas con ese tipo. SEGURIDAD EN NFC Tarjetas USIM (Universal Subscriber Identity Module). Elemento seguro integrado directamente en la placa o conectado de alguna forma a ella. Tarjeta de memoria SD (Secure Digital). La industria todavía está evaluando los pros y contras de las diferentes combinaciones en el dispositivo móvil. A continuación se detalla brevemente el papel de cada actor en el ecosistema necesario para que NFC funcione: Instituciones financieras: el pago a través de NFC permitirá a los proveedores de servicios financieros ofertar nuevos y diferentes servicios de pago a sus clientes, incrementando sus volúmenes de transacciones de crédito y débito y extendiendo sus marcas. De hecho, instituciones que tradicionalmente han liderado productos innovadores de nuevas vías de pago están en este momento con ambos tipos de pago. Terceras partes de confianza: los TSM actúan como un punto único de contacto con los operadores móviles para la industria financiera y comercios que deseen proporcionar pagos o servicios con NFC. Proporcionan los servicios para enviar y cargar las aplicaciones NFC al teléfono móvil y agregar, enviar y cargar datos personales del consumidor. En un gran ecosistema NFC el uso de una tercera parte neutral puede ser el escenario más deseable. El TSM es el encargado de administrar la aplicación NFC del móvil, proporcionando una descarga segura y servicios de administración del ciclo de vida. MasterCard y VISA disponen de estrictos requerimientos en forma de auditorías de seguridad y cumplimiento legal para aquellas entidades que deseen actuar como TSM. Una de las responsabilidades más importantes del TMS es administrar las claves de cifrado y el sistema usado para la Los pagos a través de NFC no necesitan que los datos de una cuenta se almacenen en una tarjeta física. Los datos se originan en una entidad bancaria y se En España, las primeras pruebas han sido realizadas por La Caixa, que ha desplegado envían de manera segura diversos cajeros automáticos con NFC, permitiendo realizar operaciones con un al Elemento Seguro-Sedispositivo móvil y un PIN asociado. Además, diversas entidades financieras, cure Element, SE- del dispositivo móvil a través incluyendo La Caixa, BBVA y Bankia, están realizando las primeras compras en del TSM TrustedService comercios utilizando tecnología NFC. Manager-. Los datos son protegidos con cifrado durante el servicio piloto de pago a través de comunicación de la información del proceso y el TSM dispone de un rol NFC. Apoyándose en la infraestruc- pago desde la institución financiera al crítico a la hora de administrar dicho tura actual de pagos, y añadiendo el dispositivo móvil del consumidor. proceso. Operadores de red móvil: su prinpago a través de NFC en los móviles, El Elemento Seguro memoria y las instituciones financieras pueden cipal función es ofrecer teléfonos con entorno de ejecución seguro es un proporcionar a sus clientes la misma capacidades NFC a sus clientes y enviar entorno dinámico en el cual el código confianza en los servicios de pago en la información de datos sensibles de las y los datos de aplicación se pueden un nuevo factor de forma: el teléfono aplicaciones de pago a los dispositivos almacenar y administrar de forma móvil. Esta funcionalidad permitirá a móviles. Además, es responsable de la segura, y es donde ocurre la ejecu- los clientes pagar de una forma más integridad de las claves y certificados ción de las aplicaciones. El elemento rápida y sencilla, incrementando así que protegen la comunicación a través reside en chips de cifrado altamente su fidelidad. de las redes involucradas. asegurados, como un chip de tarjeta Instituciones de pago: las tarje Comercios: aquellos comercios inteligente. Este elemento proporcio- que actualmente aceptan pago sin tas de crédito y débito sin contacto na una memoria delimitada para cada contacto tendrán todo preparado expedidas por American Express, aplicación y función que usan cifrado, para aceptar pago a través de NFC. Las MasterCard y VISA en todo el mundo descifrado y firma de los paquetes de transacciones que usan dispositivos de han demostrado el valor de este tipo datos. pago de tarjetas sin contacto y NFC se de pago tanto a comercios como a Actualmente, existen tres opciones procesan a través de un sistema único los usuarios. La infraestructura para para almacenar los datos y aplicaciones de POS habilitado para ello junto con los POS de los comercios basada en el de forma segura en el móvil, lo que se las actuales redes financieras, alen- estándar ISO/IEC 14443, que soporta conoce como el Elemento Seguro: tando a los comercios la adopción de actualmente este tipo de pago, pue70

4 de también aceptar pagos a través de NFC. Empresas productoras de dispositivos móviles y electrónica: estas deben ofrecer dispositivos móviles con tecnología NFC: optando entre las diferentes técnicas de elemento seguro, y cuya misión principal es almacenar la información de la cuenta y aplicación de forma cifrada y ajena a terceras partes. de servicio. En la tecnología NFC este tipo de ataque depende de parámetros como el ratio de velocidad (>106kbit/s) y esquemas de codificación usados. Modificación de datos: este tipo de ataque es similar al anterior, pero la intención, en este caso, en lugar de realizar un ataque de denegación de servicio, es modificar datos, haciendo que estos sigan siendo todavía válidos. Este tipo de ataque depende en gran el campo de la frecuencia de radio para ver si la señal recibida no coincide con la señal transmitida, detectando así colisiones o incoherencias en la señal. Si a esto se añade la escasa distancia de uso de la tecnología NFC, hace que este tipo de ataques sea casi imposible de realizar. Relay Attack: mediante un Relay Attack, el atacante redirige la información desde un dispositivo a otro. Se necesita un hardware específico para AMENAZAS DE LA TECNOLOGÍA NFC es una tecnología en periodo experimental, por lo que no se pueden reseñar esquemas de fraude en casos reales, sino más bien pruebas realizadas por investigadores de seguridad. Entre las amenazas de seguridad caben destacar las mencionadas en el artículo Practical Experiences with NFC Security on Mobile Phones, que trata principalmente las amenazas en las comu- Fuente: Juniper Research nicaciones, un factor más débil que el propio Actualmente existen tres opciones para almacenar los datos y aplicaciones de forma acceso a los datos en el segura en el móvil, lo que se conoce como el Elemento Seguro: Tarjetas USIM dispositivo. Se destacan (Universal Subscriber Identity Module), Elemento seguro integrado directamente las siguientes: Sniffing o eavesen la placa o conectado de alguna forma a ella, y Tarjeta de memoria SD (Secure dropping: este es el Digital). La industria todavía está evaluando los pros y contras de las diferentes ataque más obvio en combinaciones en el dispositivo móvil. tecnologías inalámbricas. A través de una antena especialmente preparada, y el uso de medida de características como la emular el dispositivo original. Sería equipos de análisis, un atacante podría amplitud de modulación de la señal conveniente que se realizara autenescuchar los datos que se comunican y el tipo de codificación, siendo más ticación doble a la hora de realizar entre dos dispositivos. Como ya se ha factible en la codificación Manchester transacciones, dado que se evitaría comentado antes, este tipo de ataque que en la Miller. este problema. en la tecnología NFC es mucho menos Man-in-the-Middle: en un atael acceso a los datos depende, entre factible, ya que aparte de depender de que MitM, las dos partes que se comu- otros, de los servicios que ofertan pavariables físicas y ambientales también nican son engañadas pensando que se gos mediante NFC. Sirvan de ejemplo depende del modo en que se encuentre comunican entre sí de manera segura los casos públicamente comentados el dispositivo NFC. En modo pasivo mientras el atacante está entre ellas de investigadores que han detectado será mucho más difícil que en modo comunicándose con ambas. Intentar aplicaciones ampliamente conocidas activo, pero el mayor inconveniente usar esta técnica con la tecnología NFC que almacenaban parte de los datos sigue siendo la distancia funcional. es más complicado, debido a que los sin cifrar en el dispositivo móvil. De Corrupción de datos: este tipo dispositivos NFC transmiten y reciben esta manera si un atacante consigue de ataque es un tipo de denegación datos al mismo tiempo y comprueban acceso al teléfono, este podría obtener / Nº98 / FEBRERO

5 dichos datos de manera sencilla. hayan seguido las normas básicas de el usuario, dándole acceso a tickets Aunque estos datos no son muchas seguridad. En este sentido, hay que electrónicos, tonos de móvil, fondos veces suficientes como para realizar comentar en primer lugar que, al de pantalla, vídeos, etc. una transacción fraudulenta, sí pueden igual que con las tarjetas de crédito, Los posters NFC podrán situarse en ser utilizados para realizar un ataque el robo o pérdida del dispositivo móvil cualquier sitio donde actualmente ya de ingeniería social que permitiera la se puede denunciar y desactivar el uso existe publicidad, como cines, teatros, obtención de datos más valiosos. de NFC para evitar pérdidas. paradas de tren autobús, aeropuertos, También, y en el mismo ámbito, Para realizar pagos superiores a restaurantes, etc. Las ventajas para se encuentran las aplicaciones que se cierta cantidad, además de la contra- el usuario de usar estos Smartposter descargan en los dispositivos móviles, seña necesaria para el pago se necesita son: principalmente las que proceden del Android Las transacciones son el principal caso de uso por el que se está implantando la Market. Dicho mercado tecnología NFC. La habilidad de realizar pequeños pagos tan solo acercando un móvil a no ofrece actualmente un terminal POS representa una nueva frontera de pago para EEUU, Canadá y Europa, la suficiente seguridad contando que en Japón lleva ya más de 5 años implantado. Pero hay otros usos para evitar que ciertas aplicaciones puedan ser asociados a la tecnología NFC -aun cuando ésta se encuentra en su fase piloto-, como maliciosas. Esto, unido el acceso e intercambio más sencillo de información, historial médico y farmacéutico, a que los ataques a las apertura de coches, casas, oficinas, registro en hoteles y apertura de habitaciones, aplicaciones móviles serán una de las nuevas amecontrol de accesos, nuevas campañas de marketing, uso en transporte público nazas en el mundo del malware en el móvil, augura ataques aportar un PIN adicional, con lo que se Precisión: para proporcionar serde ingeniería social para conseguir los aumentan las capas de seguridad con vicios basados en localización. datos necesarios. el fin de evitar el robo de dinero. Facilidad de uso: para acceder En este sentido, existen tarjetas Además de en dispositivos móviles, al sitio web de un comercio o serde transporte utilizadas en algunas los chips NFC pueden ser integrados vicio publicado en un Smartposter ciudades de EEUU basadas en la tec- en llaveros, tarjetas, etc. Capas de tan solo es necesario acercar el móvil nología RFID específicamente en el seguridad adicionales, como el uso para que automáticamente se abra estándar ISO/IEC compatible de mtan u otras similares, que se em- la dirección web en el navegador, sin con NFC que guardan algunos datos piezan a divisar en tarjetas de crédito, necesidad de escribir nada en la barra sin cifrar. Farebot29 es una aplicación permitirán a los actores del mundo NFC de direcciones. de Android que se aprovecha de este ofrecer la confianza necesaria para que Beneficios para el medioambienhecho públicamente y permite leer datos de Las aplicaciones relacionadas con NFC deberán ser firmadas por empresas dicha tarjeta a través de confiables, evitando que los datos sensibles sean accedidos por terceras personas NFC. Los datos que se con fines fraudulentos. Se ha de prestar mucha atención a este aspecto, sobre obtienen son el saldo disponible y el historial todo, dada la cantidad de aplicaciones maliciosas que están apareciendo en los de viaje del usuario. diferentes mercados móviles, que pueden robar directamente los datos o instalar Este tipo de aplicaciomalware que se encargue de ello. nes pone de manifiesto la escasa protección de los datos del usuario. Esta situación no su uso se extienda. Un llavero con un te: todo lo asociado a un Smartposter podría darse en la actualidad en los chip más una contraseña/pin más un es información digital, cupones de micropagos a través de NFC, ya que código generado al momento en otro descuento u ofertas en el móvil en estos se almacenan en el Elemento Se- dispositivo móvil, OTP físico, tarjeta, lugar de utilizar el formato papel. guro del móvil de forma cifrada, pero etc. pondrán en serias dificultades a Comodidad: los dispositivos habrá que estar atentos a los diferentes los defraudadores. NFC pueden almacenar todo tipo de servicios y soportes de NFC conforme Entre los usos más llamativos aso- información de una forma sencilla. La esta tecnología vaya incorporándose ciados a NFC se encuentran el sistema mayoría de Smartphones actuales tieen el mercado. interactivo denominado Smartposter. nen capacidades de varios Gigabytes, La pérdida o sustracción del dispo- Este es un pequeño espacio de publi- lo cual permite al usuario almacenar sitivo móvil no es en sí una amenaza cidad tal y como los que existen en la casi una ilimitada cantidad de cupones, para la tecnología, siempre que los actualidad; pero en este caso es inte- tarjetas de fidelidad, etc. diferentes actores del ecosistema NFC ligente, y permite la interacción con Divertido: es algo intuitivo, fácil 72

6 de comprender y su uso es simpleuna URL maliciosa, se podrían realizar Las transacciones son el principal mente divertido. No hay menús ni pagos en comercios fraudulentos. caso de uso por el que se está implannada sobre lo que elegir. Una manera de protegerse de estos tando la tecnología NFC. La habilidad El uso de un elemento seguro casos es permitir la lectura de tags de realizar pequeños pagos tan solo exclusivamente mediante TSM es un firmados por entidades certificadoras acercando un móvil a un terminal gran paso en aras de conseguir, por un autenticadas. POS representa una nueva frontera lado, una mayor seguridad de la tecde pago para EEUU, Canadá y Europa, nología de este tipo, y por contando que en Japón otro, ofrecer la suficiente lleva ya más de 5 años confianza a los usuarios implantado. para que adopten este Otros usos asociados método de pago. a la tecnología NFC, aun Collin Mulliner, un incuando ésta se encuenvestigador de seguridad tra en su fase piloto, son alemán que ha divulgado el acceso e intercambio diversas investigaciones más sencillo de informasobre seguridad en NFC, ción, historial médico y publicó un artículo donde farmacéutico, apertura exponía diversos ataques de coches, casas, oficia esta tecnología, entre nas, registro en hoteles ellos URL Spoofing en y apertura de habitaciosmartposters. Después nes, control de accesos, de la presentación de esta nuevas campañas de investigación, el fórum marketing, uso en transnfc creó un estándar porte público, etc. para firmar tags NDEF Como se comentaba Signature Record Type en el apartado dedicado Definition, permitiendo a la seguridad de NFC, toasí proteger los tags NFC davía no está muy claro de los Smartposter contra dónde se emplazará el este tipo de prácticas. Elemento Seguro en disfuente: SmartCardAlliance En dichos ataques positivos móviles. Son los mostraba cómo, a través de ciertas modificaciones Las Terceras Partes de Confianza (TSM) actúan como un punto único de contacto en la aplicación encargada con los operadores móviles para la industria financiera y comercios que deseen de leer el tag del Smartproporcionar pagos o servicios con NFC. Proporcionan los servicios para enviar y cargar poster, era capaz de moslas aplicaciones NFC al teléfono móvil y agregar, enviar y cargar datos personales del trar un Title amigable para el usuario y una URI consumidor. En un gran ecosistema NFC el uso de una tercera parte neutral puede ser falseada y propiedad del el escenario más deseable. supuesto atacante. Otro tipo de ataque, esta vez fabricantes los que acabarán creando CONCLUSIONES físico, proponía colocar un tag creaun modelo, que será comúnmente do por el supuesto atacante encima usado por todos, a medida que se Si todo sigue su cauce, estamos del Smartposter, remplazando así el verifique cuál de ellos ofrece mayor ante una de las tecnologías más innooriginal con uno falseado. seguridad. vadoras que se verán en los próximos Hay que tener precaución a la hora Actualmente, uno de los teléfonos años, y que cambiará la forma de de leer Smartposters. Cualquiera con con tecnología NFC, el Nexus S, interaccionar entre los usuarios y los capacidad para crear Smartposters lleva embebido el elemento seguro medios de pago, entre otros usos. podría utilizarlo para cometer activien el chip PN65N de NXP, compatipara que esto se produzca, se necesita dades fraudulentas. Un ejemplo es el ble con Android 4.0. Por otra parte, un mayor impulso de las principales uso de Smartposters para comprar un el consorcio europeo ha publicado partes indicadas, en este caso, fabrilibro en alguna de las tiendas asociaacuerdos que denotan la preferencia cantes de móviles con tecnología NFC, das a la tecnología NFC. Si un atacante por integrarlo directamente en la comercios y servicios con soporte NFC genera un Smartposter que simula la tarjeta SIM. y los propios usuarios. web legítima de la tienda, incluyendo / Nº98 / FEBRERO

7 Decálogo de recomendaciones 1 Descargar e instalar aplicaciones NFC de reconocida reputación para su uso en transacciones financieras, evitando otras menos confiables que pueden llegar a robar datos sensibles. 2 Asegurar que las aplicaciones instaladas, tanto de fábrica como de los distintos markets cumplen con las expectativas de seguridad; por ejemplo, en cuanto al cifrado de las comunicaciones. 3 Estar atentos ante posibles actualizaciones de firmware/aplicaciones que mejoren la seguridad de las comunicaciones. 4 Leer únicamente tags / Smartposters firmados por una entidad reconocida para evitar posibles suplantaciones. 5 Evitar acciones automáticas al leer tags / Smartposters, como pueden ser apertura de URLs en el navegador, llamadas de voz o envío de SMS. 6 Evitar que el terminal actúe en modo pasivo para dificultar la lectura de datos desde dispositivos ajenos o usar algún tipo de autenticación como medio de control. 7 A ser posible, elegir terminales con el Elemento Seguro -SecureElement, SEintegrado, evitando los que se almacenan en la tarjeta SD, por ejemplo, de cara a dificultar su manipulación. 8 Usar autenticación de doble factor en elementos de acceso como puertas de seguridad, por ejemplo para evitar Relay attacks. 9 Recordar siempre que el terminal móvil se convierte en un medio de pago más, por lo que debe ser tratado como tal en cuanto a la prevención contra posibles robos. 10 En caso de robo del terminal contactar inmediatamente con las entidades pertinentes para evitar cargos no deseados. Respecto a las posibles amenazas de la tecnología, hay que decir que NFC no se puede proteger de casos de sniffing, dado que no depende de ella, sino de la comunicación. En este caso es necesario que se establezca un canal seguro entre dispositivos NFC que impida descifrar el tráfico generado. En cuanto a la corrupción y modificación de datos, los dispositivos NFC pueden controlar estos ataques, ya que pueden comprobar el campo RF mientras transmiten la información, y de este modo detectar el ataque. Además, el uso del canal seguro evitaría este tipo de ataques. Como se ha comentado anteriormente, los ataques de tipo Hombre Interpuesto (Man-in-the-Middle) son muy difíciles de realizar. Es importante que los datos se conserven en un lugar seguro, ajeno a posibles amenazas. Las aplicaciones relacionadas con NFC deberán ser firmadas por empresas confiables, evitando que datos sensibles sean 74 accedidos por terceras personas con fines fraudulentos. Se ha de prestar mucha atención a este aspecto, sobre todo dada la cantidad de aplicaciones maliciosas que están apareciendo en los diferentes mercados móviles, que pueden robar directamente los datos o instalar malware que se encargue de ello. Aunque actualmente parece que el uso de TSM para el acceso al Elemento Seguro protege dicha información del resto del dispositivo móvil, no se debe minusvalorar la capacidad de los defraudadores para conseguir acceso a dicha información, con lo que no está de más tener el móvil limpio de infecciones. En este sentido, algunas firmas de antivirus esperan un aumento de problemas de seguridad relacionados con NFC a medida que la tecnología consiga más adeptos, siendo un nuevo nicho de mercado para las personas con afán de lucrarse con el dinero ajeno. Por último, habrá que estar atentos a la evolución de las aplicaciones y servicios ofrecidos por Smartposters. Si al final esta tecnología sale adelante, el uso de estos se extenderá por las ciudades, en todo tipo de locales, anuncios y escaparates accesibles por los usuarios. Este bombardeo de marketing y facilidad de acceso a información y servicios servirá para que cualquiera pueda ofrecerse mediante Smartposter. Y quien dice ofrecerse habla también de suplantar a empresas confiables. Todos los actores, entidades financieras, comercios, empresas certificadoras y desarrolladores de aplicaciones deberán asegurarse de que tanto las transacciones y los Smartposters, como cualquier otro uso que se dé al dispositivo NFC, se haga a sabiendas de que el usuario es casi siempre el eslabón más débil de la cadena del fraude, y que se han de tomar las medidas pertinentes para que los fallos que dicho usuario pudiera cometer no afecten al correcto funcionamiento de la tecnología. Miguel López-Negrete E-crime Analyst and Security Researcher Departamento de e-crime José Miguel Esparza Muñoz E-crime Analyst and Security Researcher Departamento de e-crime S21sec Referencias Security in Near Field Communication (Ernst Haselsteiner and Klemens Breitfuß) Near Field Communication Security Research (Collin Mulliner - Practical Experiences with NFC Security on mobile Phones (Gauthier Van Damme and Karel Wouters) Fórum NFC ( Security of Proximity Mobile Payments (Smart Card Alliance