Como parte de las actividades para prevenir ataques a activos de información industrial realizadas durante una reciente feria internacional, la falta de conciencia de los riesgos asociados al uso desenfrenado de tarjetas de presentación electrónicas, comúnmente conocido por el término de tarjeta de visita digital inteligente.
En lugar del tradicional intercambio de refinadas tarjetas de presentación, de hecho, existe una preferencia cada vez mayor por el uso de elegantes tarjetas magnéticas de plástico (tipo tarjeta de crédito) que llevan un chip con nuestros datos de contacto en su interior.
Acercándose a esto ficha al smartphone de nuestro interlocutor, transmitimos automáticamente la versión digital de nuestra tarjeta de presentación, ahorrando papel, tiempo y espacio.
La funcionalidad se basa en el estándar de transmisión de proximidad llamado NFC - Near Field Communication: para ser claros, la misma tecnología que hoy en día permite los pagos al supermercado por teléfono móvil o la lectura automática del pasaporte en los controles fronterizos.
Más allá de lo ceremonial y romántico, no hay duda de que la moda del tarjeta de visita inteligente satisface la necesidad de rapidez, economía y respeto por el medio ambiente, eliminando el uso de papel; pero, al mismo tiempo, esconde nuevas ciberamenazas que es necesario conocer y mitigar para evitar que, especialmente en ocasiones tentadoras como ferias, seminarios y conferencias, los actores malintencionados puedan llevar a cabo ciberataques, robar datos personales, hacer servicios de red no disponibles, falsificar documentos o sabotear dispositivos electrónicos.
La amenaza también se beneficia de algunas condiciones predisponentes, debido al desconocimiento de las tecnologías que “llevas en el bolsillo” y la atención inadecuada que generalmente se presta a los temas de seguridad y privacidad. Se imagina erróneamente, por ejemplo, que la simple lectura de una etiqueta electrónica a través de la red de proximidad de nuestro teléfono no puede iniciar ningún automatismo; Además, muchos están convencidos, y se equivocan, de que la capacidad limitada de ancho de banda de estas tecnologías, combinada con la necesidad de que los dispositivos de comunicación estén a una distancia de menos de 10 cm, no permite penetraciones informáticas significativas.
Estos mitos deben disiparse. En primer lugar, como principio general, hay que considerar que cada vez que se abre la puerta de un dispositivo electrónico - no importa si es cableado o radio - se ofrece a cualquiera la posibilidad de explotación remota. Y, con respecto a las tecnologías NFC, existen estudios que muestran cómo la superficie de ataque facilitada por el uso de transmisiones de proximidad es en realidad bastante grande. El código responsable de analizar las transmisiones NFC, de hecho, comienza en los controladores Kernel, el núcleo del sistema operativo de un dispositivo, el elemento más crítico desde el punto de vista de la seguridad, avanza a través de servicios destinados a administrar datos NFC y termina con aplicaciones que actuar sobre esos datos.
Básicamente, a través de la interfaz NFC es posible acceder a un teléfono móvil y, sin el consentimiento del usuario, abrir páginas web, analizar archivos de imagen, documentos de oficina, videos, ejecutar aplicaciones, etc. Y también es posible implementar ciberataques de tipo “relé”, tácticas típicas de “intermediario” con las que se intercepta ilegalmente el tráfico de datos de otros.
Por lo tanto, el riesgo de seguridad y privacidad existe y no es despreciable.
Básicamente, existen tres contramedidas de seguridad eléctricas y electrónicas.. El primero es utilizar dispositivos y aplicaciones con funcionalidad. "Vista previa y autorización" que siempre requieren la autorización previa del usuario antes de redirigir a una página web o ejecutar instrucciones potencialmente dañinas en el dispositivo. La segunda precaución es deshabilite las funciones NFC cuando no sea necesario. Finalmente, la última precaución, que reduce drásticamente el riesgo, es proteger el teléfono inteligente con Estuche de bloqueo NFC: carcasas de blindaje capaces de proteger contra la radiación electromagnética en rangos de frecuencia RFID y NFC.
También existe una contramedida organizativa: es una buena práctica utilizar dispositivos "montacargas" cuando se viaja al extranjero que no contienen información personal o laboral, lo que reduce el riesgo de robo o compromiso de datos.
Para obtener más información:
https://csrc.nist.gov/publications/detail/sp/800-98/final
https://ieeexplore.ieee.org/abstract/document/6428872
https://pages.nist.gov/mobile-threat-catalogue/lan-pan-threats/LPN-13.html#fn:33
