Iniciar sesión 

Aspectos básicos de la seguridad de NFC: guía para empresas que utilizan los pagos sin contacto

Payments
Payments

Acepta pagos por Internet y en persona desde cualquier rincón del mundo con una solución de pagos diseñada para todo tipo de negocios, desde startups en crecimiento hasta grandes empresas internacionales.

Más información 
  1. Introducción
  2. Características clave de los pagos NFC
  3. ¿Cómo funcionan los pagos NFC?
  4. ¿Con qué medidas de seguridad cuentan los pagos NFC?
  5. Amenazas y riesgos asociados a los pagos NFC
    1. Vulnerabilidades y vectores de ataque conocidos
    2. Situaciones reales de vulneración de la seguridad
  6. Seguridad de NFC: cómo mitigar los riesgos y las vulnerabilidades
    1. Para pequeñas empresas
    2. En qué fijarse a la hora de elegir un proveedor de terminales de tarjeta
  7. Empezar con Stripe 

Los pagos NFC, que funcionan con la tecnología de comunicación de campo cercano, son un método de pago sin contacto. Utilizan tecnología inalámbrica de corto alcance que permite a dos dispositivos, como un smartphone y un terminal de pago, comunicarse cuando se encuentran a solo unos centímetros el uno del otro. Esta tecnología está incorporada en muchos smartphones y tarjetas de pago modernos y ha ganado protagonismo en los últimos años: en 2022, el 85 % de los consumidores de nueve países utilizaba una tarjeta sin contacto con NFC o un monedero de pago por móvil.

Con su rápido proceso «Tap and Go» (acercar y listo), los pagos NFC están transformando la experiencia de finalización de compra. Además, forman parte de un cambio a mayor escala hacia soluciones de pago sencillas que cumplan las expectativas de comodidad del cliente moderno. Pero no se trata solo de comodidad, ya que la tecnología de pagos con NFC es un sector líder en la facilitación de transacciones ultrarrápidas al tiempo que mantiene unos altos estándares de seguridad.

A medida que los monederos digitales y la tecnología portátil ganan preponderancia, los pagos NFC se van convirtiendo con rapidez en la primera opción en cada vez más situaciones de pago. Sin embargo, a pesar de la urgencia por adoptar este popular método de pago, las empresas no deben ignorar los aspectos relacionados con la seguridad. A continuación encontrarás lo que debes saber para crear una experiencia segura en los pagos NFC.

¿De qué trata este artículo?

  • Características clave de los pagos NFC
  • ¿Cómo funcionan los pagos NFC?
  • ¿Con qué medidas de seguridad cuentan los pagos NFC?
  • Amenazas y riesgos asociados a los pagos NFC
  • Seguridad de NFC: cómo mitigar los riesgos y las vulnerabilidades

Características clave de los pagos NFC

Los pagos NFC presentan ciertas características que los convierten en una opción popular tanto para los clientes como para las empresas. Aquí tienes un rápido resumen de estas características:

  • Comunicación sin contacto
    Uno de los aspectos más destacados de los pagos NFC es su capacidad para posibilitar las transacciones sin necesidad de contacto físico. Esta tecnología permite que dos dispositivos —un dispositivo de pago con NFC (como un smartphone o una tarjeta) y un terminal de pago— intercambien datos cuando se encuentran próximos el uno al otro.

  • Velocidad y comodidad
    Las transacciones con NFC suelen ser más rápidas que los métodos de pago tradicionales. Basta con que el cliente acerque su dispositivo al terminal para que la transacción se complete en unos segundos. La rapidez contribuye a generar un proceso de finalización de compra más fluido y cómodo.

  • Seguridad
    Los pagos NFC se consideran seguros, por lo general. A menudo incorporan métodos de cifrado con el fin de proteger información confidencial, como los números de las tarjetas de crédito. Además, muchos smartphones solicitan autenticación (como el reconocimiento de huella digital o un código de acceso) para que se procese el pago, lo que añade una capa más de seguridad.

  • Versatilidad e integración
    La tecnología NFC es versátil y se puede integrar en distintos dispositivos, como smartphones, smartwatches y tarjetas de pago. Esta integración permite a los clientes pagar con el dispositivo que más se ajuste a sus necesidades y preferencias.

  • Amplia compatibilidad
    Dado que la tecnología NFC es cada vez más preponderante entre los clientes, también crece el número de empresas que incorporan terminales de pago compatibles con NFC. Los pagos sin contacto se dan en diferentes lugares, desde grandes minoristas a pequeños negocios locales.

  • Compatibilidad con monederos digitales
    La tecnología NFC es un componente clave en muchos monederos digitales, como Apple Pay, Google Pay y Samsung Pay. Estos monederos permiten a los clientes almacenar de forma segura los datos de varias tarjetas en sus dispositivos para ofrecerles la flexibilidad de elegir entre las diferentes cuentas o tarjetas en cada transacción.

  • Historial de transacciones y mantenimiento de registros
    Los clientes pueden hacer con facilidad un seguimiento de sus transacciones al realizar pagos NFC mediante monederos digitales, que suelen ofrecer un historial de transacciones detallado.

  • Menos desgaste
    Dado que los pagos NFC no requieren contacto físico, se produce menos desgaste tanto en el dispositivo de pago del cliente (por ejemplo, una tarjeta) como en el equipo de la empresa (por ejemplo, un [lector de tarjetas](https://stripe.com/resources/more/how-do-card-readers-work "Stripe | ¿Cómo funcionan los lectores de tarjetas? Una guía para empresas)), lo que puede alargar la vida útil de estos dispositivos.

¿Cómo funcionan los pagos NFC?

Los pagos NFC utilizan una combinación de tecnologías de software y hardware que posibilita la ejecución de transacciones seguras y cómodas. El proceso suele funcionar del siguiente modo:

  • Activación del chip NFC
    El proceso comienza con la activación de un dispositivo con NFC, como un smartphone o una tarjeta de pago con chip NFC. La activación suele producirse cuando el cliente acerca el dispositivo a un terminal de pago con NFC. En los smartphones, esta activación requiere además una autenticación mediante código de acceso, huella digital o reconocimiento facial.

  • Establecimiento de la comunicación
    Una vez que se activa el chip NFC, este comienza a comunicarse con el terminal de pago. Esta comunicación se produce por medio de ondas radioeléctricas. La tecnología NFC funciona a una frecuencia de 13,56 MHz, y su rango de comunicación suele ser de 4 cm. Este reducido rango representa una característica de seguridad, dado que evita que terceros no autorizados intercepten los datos que se transmiten.

  • Transmisión de datos
    Durante la comunicación, el dispositivo NFC transmite datos al terminal de pago. Estos datos incluyen la información de pago necesaria para procesar la transacción, como el importe, los datos de la tarjeta y otros datos relevantes. La transmisión de datos se cifra para proteger la información confidencial.

  • Implicación del procesador de pagos
    Una vez que el terminal de pago recibe los datos, envía la información al procesador de pagos, que es responsable de contrastar los datos de la transacción con el banco o el emisor de la tarjeta asociados al dispositivo con el que se ha efectuado el pago.

  • Autenticación y autorización
    El banco o el emisor de la tarjeta recibe la solicitud de transacción y comprueba su autenticidad, así como la disponibilidad de fondos o crédito suficientes. En este paso, se verifican los datos de la tarjeta y se comprueba que la transacción se ciña a los posibles límites y restricciones establecidos.

  • Aprobación o rechazo de la transacción
    Tras la verificación, el banco o el emisor de la tarjeta aprueban o rechazan la transacción. Esta decisión se transmite, a continuación, por medio del procesador de pagos al terminal de pago.

  • Finalización de la transacción
    Si se aprueba la transacción, el terminal de pago completa el proceso y, por lo general, muestra un mensaje de confirmación. Si el medio utilizado es un smartphone u otro dispositivo similar con NFC, es posible que este también reciba una notificación de confirmación.

  • Registros
    El sistema de pagos de la empresa registra los detalles de la transacción. En el caso de que el cliente utilice un smartphone o un monedero digital, estos detalles también se registran en su dispositivo. De esta forma, resulta sencillo realizar un seguimiento del historial de transacciones, o gestionarlo.

El proceso de la transacción con NFC potencia la seguridad y la velocidad. El cifrado de datos y la autenticación del dispositivo contribuyen a garantizar la seguridad de los pagos NFC, mientras que la sencillez y la velocidad del proceso los convierten en una opción cómoda tanto para el cliente como para la empresa.

¿Con qué medidas de seguridad cuentan los pagos NFC?

Los pagos NFC incorporan varias medidas de seguridad destinadas a la protección frente al fraude y el acceso no autorizado. Entre ellas, se incluyen las siguientes:

  • Cifrado
    Los datos transmitidos entre el dispositivo NFC (por ejemplo, un smartphone o una tarjeta) y el terminal de pago se cifran. El cifrado convierte la información a un código seguro, lo que ayuda a evitar que terceros no autorizados intercepten datos confidenciales, como el número de la tarjeta o el importe de la transacción.

  • Tokenización
    Muchos sistemas de pagos NFC emplean la tokenización. En lugar de transmitir el número de la tarjeta en sí, utilizan un token digital exclusivo. Aunque representa al número de la tarjeta, este token resulta inservible si se intercepta, dado que no se puede emplear más allá de la transacción específica para la que se ha diseñado.

  • Comunicación de corto alcance
    La propia naturaleza de la tecnología NFC (ya que se trata de comunicación de corto alcance) añade una capa de seguridad. Dado que el dispositivo debe encontrarse a pocos centímetros del terminal para que se produzca la transacción, se reduce la probabilidad de que otros dispositivos no esperados o no autorizados intercepten los datos.

  • Autenticación del dispositivo
    Los smartphones y otros dispositivos a menudo solicitan autenticación para completar un pago NFC. Esto puede hacerse mediante un código de acceso o con el reconocimiento facial o de huella digital y sirve para asegurarse de que es el propietario legítimo del dispositivo quien inicia la transacción.

  • Códigos de autenticación dinámica
    En cada transacción se genera un código de autenticación único. Aunque se interceptasen los datos de una transacción, no se podrían reutilizar para otra, con lo que se reduce el riesgo de repetición fraudulenta de transacciones.

  • Elemento seguro
    Muchos smartphones con NFC cuentan con un elemento seguro, es decir, un chip que almacena la información de pago de forma segura. Este chip se encuentra aislado del sistema operativo principal del teléfono, por lo que añade una capa adicional de protección frente a la piratería.

  • Límites de las transacciones
    Algunos bancos e instituciones financieras establecen límites en las transacciones NFC con el fin de reducir el riesgo de que se produzcan transacciones fraudulentas de gran envergadura. Si el importe de la transacción supera dicho límite, se podrían requerir métodos tradicionales de autenticación, como la introducción del PIN.

  • Supervisión del fraude en tiempo real
    Los bancos y los procesadores de pagos a menudo supervisan las transacciones en tiempo real para detectar posibles actividades sospechosas. Si detectan patrones inusuales, estas instituciones pueden tomar medidas inmediatas, como rechazar la transacción o ponerse en contacto con el cliente.

  • Solicitudes de verificación del cliente
    En algunos casos, especialmente en transacciones de gran volumen, el sistema de pagos puede solicitar una verificación adicional del cliente, por ejemplo, mediante la introducción de un PIN o la firma de un recibo.

Cuando se utilizan combinadas, estas medidas de seguridad proporcionan una defensa de varias capas frente a distintos tipos de fraude y el acceso no autorizado.

Amenazas y riesgos asociados a los pagos NFC

A pesar de que los pagos NFC proporcionan una barrera de seguridad robusta, no son inmunes a posibles amenazas. Veamos a continuación las vulnerabilidades y los riesgos asociados a los pagos NFC.

Vulnerabilidades y vectores de ataque conocidos

  • Intercepción
    En el contexto de los pagos NFC, la intercepción se produce cuando un dispositivo no autorizado capta la señal NFC durante una transacción. Dado que la NFC es un tipo de comunicación de radio, en teoría es posible que alguien intercepte los datos si cuenta con el equipo adecuado y se encuentra dentro del rango de alcance.

  • Modificación de los datos
    Durante el breve instante en que se transmiten los datos, un atacante sofisticado podría alterar la comunicación entre el dispositivo NFC y el terminal. De esta forma, podría cobrarse un importe erróneo o podría dirigirse el pago a un destinatario diferente.

  • Dispositivos perdidos y robados
    Si un dispositivo con NFC se pierde o alguien lo roba y el propietario no lo ha protegido con PIN o bloqueo biométrico, existe el riesgo de que se produzcan transacciones no autorizadas. Incluso si cuenta con un elemento seguro, en el periodo que transcurre desde que el dispositivo se pierde hasta que se notifica este hecho, alguien podría aprovechar esta vulnerabilidad.

  • Ataques de relé
    Los ataques de relé se producen cuando un atacante utiliza un dispositivo con tecnología NFC para interceptar y retransmitir datos entre un dispositivo con NFC legítimo (como un smartphone o una tarjeta de crédito) y un terminal de pago. El dispositivo del atacante actúa como intermediario para capturar la información del dispositivo legítimo y transmitirla al terminal de pago.

  • Skimming
    Los skimmers pueden crear un terminal de pago fraudulento o modificar uno existente para capturar la información de los dispositivos con NFC que interactúen con él. Pueden utilizar los datos recopilados para clonar tarjetas o llevar a cabo transacciones no autorizadas.

Situaciones reales de vulneración de la seguridad

  • Terminales fraudulentos
    Se han dado casos de fraude en empresas en los que una persona instala un terminal que clona los datos de los clientes que efectúan pagos NFC, por lo que se produce un robo de información.

  • Ataques dirigidos a particulares
    Las personas de perfil alto y las que se consideran adineradas podrían ser objetivo de ataques relacionados con la NFC (como la intercepción o los ataques de relé), sobre todo en espacios públicos concurridos.

  • Vulnerabilidades de software
    En algunos casos, los estafadores pueden aprovechar los defectos de seguridad del software de los dispositivos o terminales con NFC para obtener acceso no autorizado a los fondos o la información de pago.

Seguridad de NFC: cómo mitigar los riesgos y las vulnerabilidades

Existen distintas soluciones a disposición de las empresas para limitar la exposición al fraude y al acceso no autorizado. Las pequeñas empresas que elijan un proveedor de terminales de tarjeta deben ser especialmente conscientes de los métodos para mitigar los riesgos y las vulnerabilidades.

A continuación, encontrarás varias formas de proteger de forma proactiva a tu empresa y a tus clientes.

Para pequeñas empresas

  • Forma al personal
    Forma a tus empleados en lo relacionado con la tecnología NFC y las amenazas habituales. Esto incluye el reconocimiento de comportamientos o dispositivos sospechosos que puedan indicar que se ha manipulado un terminal de tarjetas.

  • Mantente al día en cuanto a actualizaciones y parches
    Asegúrate de que el software del terminal de pago esté actualizado. Las actualizaciones de software pueden corregir vulnerabilidades que los atacantes podrían aprovechar.

  • Implementa una configuración segura
    Configura los terminales y los dispositivos para que soliciten un PIN en transacciones que superen cierto importe. De esta forma, se pueden evitar las transacciones fraudulentas de gran volumen en caso de que un dispositivo con NFC quede expuesto.

  • Incorpora medidas de seguridad física
    Mantén los terminales en un lugar en el que siempre estén visibles para los empleados con el fin de reducir el riesgo de manipulación.

  • Supervisa las transacciones
    Vigila los registros de transacciones para identificar posibles actividades irregulares. La detección precoz de patrones inusuales puede evitar que se produzcan transacciones no autorizadas a continuación.

  • Trabaja con proveedores de confianza
    Elige terminales de pago de proveedores con buena reputación en cuanto a la seguridad y la atención al cliente.

En qué fijarse a la hora de elegir un proveedor de terminales de tarjeta

  • Incidentes de seguridad
    Comprueba el historial de seguridad del proveedor. Busca reseñas y estudios de caso para saber cómo ha gestionado los incidentes de seguridad en el pasado.

  • Cumplimiento de la normativa
    Asegúrate de que el proveedor cumpla los estándares de seguridad del sector, como el estándar PCI DSS (estándar de seguridad de datos del sector de pagos con tarjeta).

  • Funciones de seguridad
    Busca un proveedor cuyos terminales cuenten con funciones de seguridad avanzada, como el cifrado de extremo a extremo o la tokenización.

  • Asistencia y capacidad de respuesta
    Elige un proveedor que ofrezca un buen servicio de soporte para clientes y que pueda responder con rapidez a los incidentes de seguridad que puedan surgir.

  • Políticas transparentes
    El proveedor debe contar con políticas claras en cuanto a la gestión de datos, la privacidad y las medidas destinadas a proteger los datos de las transacciones.

Aplicando estas estrategias y eligiendo socios que prioricen la seguridad tanto como tú, puedes reducir significativamente los riesgos asociados a los pagos NFC.

Si aceptas pagos NFC con Stripe, puedes descubrir qué hace Stripe para que sean más seguros.

El contenido de este artículo tiene solo fines informativos y educativos generales y no debe interpretarse como asesoramiento legal o fiscal. Stripe no garantiza la exactitud, la integridad, la adecuación o la vigencia de la información incluida en el artículo. Debes procurar el asesoramiento de un abogado o un contador competente con licencia para ejercer en tu jurisdicción si deseas obtener asistencia para tu situación particular.

Más artículos

¿A punto para empezar?

Crea una cuenta y empieza a aceptar pagos: no tendrás que firmar ningún contrato ni proporcionar datos bancarios. Si lo prefieres, puedes ponerte en contacto con nosotros y diseñaremos un paquete personalizado para tu empresa.
Payments

Payments

Acepta pagos por Internet, en persona y desde cualquier rincón del mundo con una solución de pagos diseñada para todo tipo de negocios.

Documentación de Payments

Encuentra una guía para integrar las API de pagos de Stripe.