¿Es el escaneo remoto de tarjetas (pagos sin contacto) un ataque viable para los defraudadores? ¿Se ha hecho?

Question

Con la llegada de los pagos sin contacto hay personas que temen que esto pueda ser utilizado para robar su dinero a distancia sin que se den cuenta. Yo también estaba en ese bando hasta que empezó la pandemia y descubrí algunas cosas que me tranquilizaron. Recientemente he estado debatiendo sobre esto en alguna sección de comentarios en Internet y he empezado a preguntarme: ¿es esto siquiera factible?

Supongamos que es técnicamente realista, en el sentido de que puedes montar el hardware necesario y que realmente funcione. Pero, ¿qué pasa con todos los demás obstáculos que tendría que superar un estafador?

Las cosas que se me ocurren:

• Necesitarían un terminal de tarjeta conectado a una cuenta bancaria, y sólo los bancos/intermediarios los emiten. Y exigen todo tipo de información de identificación personal a cambio.
• Así que tendrían que encontrar a alguien lo suficientemente crédulo como para ser un chivo expiatorio (que podría ser factible, pero aún así)
• Tendrían que reunirse con el chivo expiatorio para recibir el propio terminal
• Las quejas sobre transacciones fraudulentas empezaron a llegar casi inmediatamente cuando empezaron a utilizar su configuración modificada. Así, sólo tienen unos días, en el mejor de los casos, y unas horas, en el peor, antes de que se desactive el terminal, se bloquee la cuenta y el chivo expiatorio reciba la visita de la policía.
• En este breve plazo, sólo una pequeña parte del dinero se habría compensado para llegar a la cuenta asociada al terminal. (Supongo que transfieren cualquier dinero entrante inmediatamente a través de canales imposibles de rastrear) O tal vez incluso los nuevos clientes tienen una retención más larga de su dinero, precisamente porque son un riesgo de fraude mayor.
• Entonces siguen teniendo el problema de que pueden haber sido vistos con una cámara o el chivo expiatorio se acuerda de ellos bastante bien (o hay una cámara cerca del chivo expiatorio).

En definitiva, esto parece un montón de problemas para muy poco beneficio.

Así que mis preguntas son: ¿Es realmente factible este tipo de ataque? ¿Se ha producido alguna vez? ¿Debería la gente preocuparse por ello y tomar precauciones (carteras forradas con papel de aluminio, etc.)?

Nota adicional: estoy hablando de tarjetas bancarias sin contacto, no de pagos sin contacto a través de un smartphone.

Answer 1

¿Es realmente factible este tipo de ataque?

Técnicamente, por supuesto. En la práctica, como se ha dicho en los comentarios, no es muy probable. Tendrías que estar bastante cerca de la tarjeta, o tener un equipo bastante sofisticado y destacado.

¿Se ha hecho alguna vez?

¿Alguna vez? Quién sabe. ¿Quizás? Nada que yo haya visto reportado, pero tal vez alguien fue capaz de hacer algo así.

¿Debería la gente preocuparse por ello y tomar precauciones (carteras forradas con papel de aluminio, etc.)?

No.

En la mayoría de los países (no has especificado una jurisdicción, pero es bastante universal) las protecciones antifraude para las tarjetas de crédito son lo suficientemente fuertes como para que no tengas que preocuparte, es problema de los bancos.

Answer 2

No he podido encontrar ningún caso documentado en el que se haya hecho y descubierto, pero sí he encontrado este artículo sobre su posibilidad:

Hack sin contacto

Este diagrama del artículo muestra la configuración:

Me imagino que los datos de la tarjeta podrían ser leídos por un sistema que pueda leer los datos sin contacto mientras la tarjeta está todavía en la cartera.