Hackeando tarjetas NFC

Seguimos con nuestra línea de formación constante en materia de Seguridad y Hacking, centrándonos hoy en la forma de acceder, modificar, extraer o eliminar la información contenida en las tarjetas NFC.

¿Qué es una tarjeta NFC?

Una tarjeta NFC es prácticamente un circuito impreso muy liviano y flexible que, por dichas características, está presente en no pocos dispositivos y tiene múltiples usos. Podemos encontrar estos circuitos en infinidad de artículos y precios de ropa, alimentos y todo tipo de productos en grandes almacenes y supermercados; También se usan en las nuevas tipologías de tarjetas de visita y en no pocas tarjetas bancarias también.

De hecho, con la nueva ola de “pagos sin contacto” a través de tarjetas y teléfonos móviles a dispositivos de cobro por radiofrecuencia, este tipo de circuitos y tarjetas están teniendo una segunda vida muy provechosa… Y con ello, claro está, también muy vulnerable.

Seguro que si veis algunas imágenes reconoceréis este tipo de tarjetas que, quizá por su nombre, desconocéis:

Tarjeta NFC empleada comúnmente en el etiquetado de precios y control de innumerables productos en supermercados.

Tarjeta NFC empleada en las nuevas clases de tarjetas de visita que graban los datos personales en el móvil de un nuevo conocido o contacto de negocios.

Tarjeta NFC incluida en un sistema de pago por tarjeta de crédito/débito a emplear sin contacto con el terminal TPV

¿Cómo hackear una tarjeta NFC?

Pues bien, reconocido ya el tipo de dispositivo del que hablamos, entremos en materia (siempre de manera educativa y a efectos de compartir conocimiento para una mayor protección personal, nunca avalando, ni justificando o incitando al empleo de estos conocimientos técnicos con fines delictivos o dañinos).

Estas tarjetas-circuito son empleadas para guardar una pequeña cantidad de información en ellas. De hecho eso las hace, a mi entender, doblemente vulnerables, por un lado no poseen una extensa capacidad de almacenamiento. Apenas unos cuantos cientos de bytes de información… lo justo para cumplir una función de identificación de persona o producto, así como para indexar precios o características, poco más.

Y, claro, con escasa capacidad de almacenamiento, tenemos que tampoco pueden incluir medidas de seguridad que precisarían también haber sido implementadas por código y almacenadas en dichas tarjetas-circuito.

Esto es lo que las hace vulnerables al acceso, extracción. eliminación o modificación de datos.

Para ello emplearemos un teléfono móvil convencional con sistema operativo Android. Es decir, casi al 90% el que tienes en tu poder hoy en día…

Desde la Play Store podemos descargar varias aplicaciones para acceder al contenido de estos circuitos tan sólo posicionando el terminal cerca del mismo. Hablamos de aplicaciones como NFC TAGWRITTER o NFC WRITER by TAGSTAND pero hay otras muchas. Pasen y elijan.

En principio, no son programas que se pudieran considerar “hacker” pero que, desde luego, pueden emplearse para cumplir una labor de intrusión y hackeo de estas tarjetas por cuanto permiten (con menús intuitivos) “Acceder“, “Leer“, “Grabar/instalar” información, “Eliminar/Borrar” la información que contenga la tarjeta, etc…

De manera que, ya lo tenemos: Otra maravillosa tecnología actual, desprotegida y accesible con herramientas comerciales convencionales que podemos descargar al teléfono móvil que también emplearemos para realizar la operación de hacking sin contacto físico alguno.

Mencionadas las aplicaciones que se pueden utilizar, y siendo tan fáciles de obtener y emplear, creemos que sobra que mostremos imágenes de los menús o de la operatividad porque, sinceramente, está al alcance de un chico de 15 años hoy en día… A ver si, poco a poco, vamos tomando consciencia en materia de seguridad. Para eso escribimos y trabajamos.

Saludos.

Alquimista