Las nuevas tarjetas de crédito dejan escapar su información personal

Algunas tarjetas equipadas con chips RFID transmiten nombres y números de cuenta.

Usted pudiera ser portador de un nuevo tipo de tarjeta de crédito capaz de transmitir su información personal a cualquiera que se le acerque con un equipo detector de señales.

Las nuevas tarjetas –millones de ellas fueron emitidas el año pasado– usan la tecnología RFID, o de Identificación por radiofrecuencia. RFID permite a los detectores usar las señales de radio a distancias variables para leer la información almacenada en un chip de computadora.

Según un estudio realizado por investigadores en la Universidad de Massachusetts y en las compañías de seguridad RSA e Innealta, muchas de estas tarjetas transmitirán el nombre del usuario, el número de la tarjeta de crédito y su fecha de caducidad (pero no el código de seguridad de tres dígitos) a cualquiera que se encuentre en las proximidades con un detector de RFID (para ver el informe completo, visite http://www.pcwla.com/buscar/07061401).

Pase la tarjeta y pague

RFID se utiliza ampliamente para el seguimiento de embarques e inventarios. En las tarjetas de crédito, la tecnología permite a los clientes pasar la tarjeta por lectores instalados en lugares como los restaurantes McDonald’s y las farmacias CVS, lo cual facilita y acelera las transacciones. Visa dice que ha distribuido más de 6 millones de tarjetas “sin contacto” en todo el mundo y el estudio de UMass estima que existen por lo menos 20 millones, y el total sigue creciendo rápidamente.

En un correo electrónico, uno de los investigadores de UMass, Kevin Fu, escribió que “en nuestra colección de aproximadamente 20 tarjetas, la gran mayoría reveló el nombre, el número de la tarjeta y la fecha de caducidad” cuando los investigadores las analizaron con un lector de RFID comercial que habían modificado para trabajar con tales tarjetas. Las tarjetas en el muestreo eran de American Express, MasterCard y Visa y habían sido emitidas por varios bancos importantes.

Las tarjetas de crédito usan un código de seguridad cifrado para verificar una transacción, lo cual puede proteger contra ciertos tipos de fraude, pero no contra alguien que extraiga el nombre y el número de una tarjeta y use la información para hacer compras en línea, por ejemplo. Como protección adicional, Visa ha comenzado a requerir que los bancos no emitan tarjetas que transmitan el nombre del titular, según Brian Tripplett, vicepresidente de desarrollo de productos emergentes de la compañía (anteriormente Visa se limitaba a sugerirlo). Las tarjetas emitidas por American Express después de febrero de este año tampoco transmitirán el nombre, según un portavoz. MasterCard no respondió a las preguntas de PC World.

Según American Express, para una mayor seguridad sus tarjetas transmiten un número de tarjeta distinto al que aparece en la tarjeta. Tripplett de Visa dice que la norma utilizada en las tarjetas sin contacto tiene un alcance de lectura más corto y se comunica de una manera diferente a como lo hace la simple RFID que se utiliza para ciertos fines como la administración de inventarios.

¿Tiene usted RFID?

¿Cómo sabe usted si su tarjeta tiene uno de estos chips? Usted puede ver el chip en las tarjetas de American Express (en la ilustración de arriba). Y Tripplett dice que las tarjetas sin contacto de Visa tienen un símbolo: cuatro bandas verticales en forma de onda en el frente o en el reverso. Pero para estar seguro y también para ver si su tarjeta transmite su nombre, debe llamar a su banco (o a American Express) y preguntar. También podrá pedir una tarjeta que no tenga la tecnología RFID si lo prefiere, o por lo menos una que no transmita su nombre.

También puede bloquear las señales RFID con una “jaula de Faraday”, que utiliza una envoltura o malla metálica. En ThinkGeek.com, por ejemplo, usted puede comprar una “billetera que bloquea la RFID” (visite http://www.pcwla.com/buscar/07061402 para ver más detalles).

Incluso para la primera generación de tarjetas que envían el nombre de su titular, hay otros factores que reducen el riesgo.

Primero, aunque los investigadores usaron un lector de RFID disponible comercialmente, le hicieron modificaciones que requieren “conocimientos y habilidades técnicas”, escribió Fu. Además, el lector debe estar cerca de una tarjeta de RFID: las especificaciones de la tarjeta dicen sólo un par de pulgadas [5 centímetros], pero Fu dice que algunos trabajos de investigación han puesto el alcance máximo a unas 6 pulgadas [15 centímetros].

Y lo más importante es que el “phishing”, los sistemas que registran golpes de teclas y otros medios de robar la identidad en línea son demasiado exitosos en estos momentos para que los criminales inviertan el esfuerzo que este tipo de fraude requiere. Así que el riesgo probablemente no es muy grande… por ahora.

Sin embargo, sea importante o no el riesgo, las tarjetas de crédito deberían haber incluido esas recientes mejoras a la seguridad desde el principio. Independientemente de la magnitud de la amenaza, agregar otra oportunidad para el robo de identidad donde sencillamente no debe haberla, no tiene sentido.

-Erik Larkin