NFC: razonablemente seguro
El NFC Forum, que supervisa el desarrollo de la tecnología Near Field Communication, ha creado un Grupo de Expertos Técnicos en Seguridad. Su misión consiste en detectar amenazas y recomendar soluciones.
Near Field Communication (NFC) va a hacer posible la aparición de muchos tipos de aplicaciones nuevas muy interesantes, relacionadas sobre todo con un acceso más fácil a información y servicios. Por ejemplo, usted podrá recibir información sobre una película con tan sólo tocar un puesto de entradas de cine con el dispositivo que utilice – probablemente, un móvil o un PDA (”personal digital assistant”) – y a continuación comprar dos entradas para el pase de esa tarde. La entrada quedaría almacenada en su dispositivo, de modo que al llegar a la sala bastaría con acercarlo a un lector y éste le conduciría a su asiento.
Velar por uno mismo
Lo cual suena maravilloso, pero también conlleva muchos riesgos. ¿Seguro que el transmisor de ese puesto es auténtico, y no uno falso que alguien ha colocado allí para espiar su teléfono? Porque en ese caso el puesto puede obtener bastante información sobre usted leyendo su dispositivo, aun cuando ni siquiera haya comprado una entrada. Y si la ha comprado, toda la información relativa al pago puede estar circulando ya por la calle. O una vez en el cine, al amparo de los empujones y roces típicos de esa situación, puede que alguien le esté tocando el codo con un receptor que captura información.
Todas estas cuestiones están siendo debatidas por el Grupo de Expertos Técnicos en Seguridad de NFC, que trata cuestiones de seguridad y protección de datos y ofrece asesoramiento en la materia. Su presidente Albert Dorofeev, de Sony Europa, describe la labor de su grupo como “un problema complicado”.
Lo explica así: “Podemos buscar la seguridad perfecta, pero para ello sería necesario un super-ordenador del futuro. Debemos asegurarnos de que la arquitectura de seguridad y las medidas autónomas que proponemos son adecuadas para los dispositivos de baja alimentación y recursos limitados que se manejan en el mundo de NFC.”
Jonathan Collins, un veterano analista experto en RFID y tecnologías sin contacto de ABI Research, cree que el verdadero problema son las aplicaciones: “NFC se fabrica en gran medida sobre tecnología ya existente, y ya existen normativas como ISO 14443* para ofrecer seguridad técnica. Pero la cuestión gira más bien en torno a cómo interactúa y almacena información el dispositivo.”
Analizando los riesgos
Circulan muchísimas tarjetas sin contacto que contienen datos muy específicos; el problema de NFC es que un solo dispositivo es capaz de transportar toda la información relativa a una persona. “Pero seguramente es peor cuando a uno le roban la cartera”, dice Collins. “Para empezar, lo normal es notar la desaparición del móvil en cuestión de horas, mientras que normalmente pasan días antes de que se denuncie la pérdida de una tarjeta de crédito.”
Los dispositivos electrónicos también pueden llevar seguridad incorporada y, puesto que están conectados a una red, se pueden desactivar a distancia. Ahora bien, como señala el propio Dorofeev, lo último que quiere el usuario de NFC es tener que preocuparse por la seguridad: “El móvil dejaría de ser un artículo tan cómodo si pidiéramos a los usuarios que teclearan contraseñas constantemente. Es preciso descubrir la forma de aumentar la seguridad sin que sea necesario interactuar con el usuario, o haciéndolo de forma mínima.”
Obviamente, hay ventajas en cuanto a la seguridad. Como indica su nombre, NFC tiene un radio de acción muy limitado, por lo cual no es probable que se produzca un contacto accidental con un transmisor. Pero sí es posible que alguien coloque dispositivos camuflados cerca de los transmisores autorizados para espiar las transacciones sin ser descubierto.
Lo más sencillo posible
Collins cree que la gente sólo se preocupará por la seguridad si las cuestiones relativas a ella no se abordan y se explican con claridad antes de empezar a usar NFC: “Por ejemplo, la gente querrá saber si NFC puede realizar pagos sin que ellos lo sepan en el momento de pasar por una terminal.”
Dichos riesgos se reducirán si no hay intercambio de información personal durante una operación y si se fija un límite de gasto para cada transacción, la cual requerirá su propio código de autenticación para que no sea posible realizar otra operación con esa información. Además, los dispositivos con NFC son en principio más seguros que las tarjetas sin contacto ya que tienen un interfaz de usuario con una pantalla y un teclado que debería permitir a los usuarios aceptar o rechazar transacciones.
Pero Albert Dorofeev cree que no debemos esperar mucho del usuario. “Lo primero es su comodidad; sin ella, el uso de NFC no tiene sentido”, afirma. “Hay que partir de ello y dar con formas seguras de gestionar ciertos escenarios sin que ello requiera interactuar con el usuario.”
*ISO 14443 es una normativa internacional para tarjetas inteligentes sin contacto que operan a 13,56 MHz cuando se hallan muy cerca de un lector con antena.
* Indica campo obligatorio