No son pocas las veces que has visto o has oído a alguien hablar de que un supuesto delincuente con un datáfono o una unidad TPV puede acercarlo a tu bolsillo y robarte el dinero que hay en tu cuenta bancaria. Pero lo cierto es que la historia tiene todos los ingredientes para convertirse en la leyenda urbana del siglo. ¿Cuánto hay de verdad y cuánto de mito?
Si preguntamos a cualquier experto en seguridad bancaria o ingeniería de sistemas, la respuesta corta es que la probabilidad de que esto te ocurra es prácticamente cero. Y podemos eliminar el «prácticamente». También te explicaremos qué riesgo hay con los pagos móviles.
Pero hay que entender por qué este método no es válido, y para eso hay que profundizar en cómo funciona la tecnología y sobre todo el rastreo de dinero. Como suele ocurrir en ciberseguridad, lo técnicamente posible a veces es logísticamente absurdo.
Cómo funcionan los pagos por datáfono
Para que el miedo a que nos roben el dinero de esta forma esté justificado, primero tendríamos que validar la viabilidad técnica del ataque. La tecnología NFC para pago sin contacto que llevan nuestras tarjetas y móviles, y con la que se paga, está diseñada para operar a distancias extremadamente cortas, generalmente menos de 4 centímetros.
Aquí nos encontramos con el primer obstáculo para el ladrón: la distancia física, ya que para que un datáfono lea tu tarjeta, debe estar casi pegado a ella. En un escenario real, esto implica acercar el dispositivo al bolsillo exacto, atravesar la tela del pantalón, la piel de la propia cartera y esperar a que la antena capte la señal. Algo inviable.
La mayoría de nosotros no llevamos la tarjeta de débito sola y aislada, sino en una cartera junto al DNI, el abono transporte, la tarjeta de acceso al gimnasio e incluso otras cosas más. Todas estas tarjetas emiten señales RFID/NFC, por lo que cuando un datáfono intenta leer una cartera en la que hay varias tarjetas, se produce una interferencia de señales.
El lector se confunde al recibir múltiples respuestas simultáneas y, por seguridad, cancela la operación o da error de lectura. Para que el robo fuese exitoso, el ladrón tendría que saber exactamente en qué bolsillo llevas la cartera, que la tarjeta esté en la capa más externa y, además, que no haya ninguna otra tarjeta cerca. Demasiadas variables para un robo rápido.
El rastreo del dinero es clave
Pero en el improbable caso de que esto pudiese llegar a hacerse, los impedimentos no acabarían ahí, ya que ahora entra en juego la trazabilidad bancaria. A diferencia del carterista tradicional que roba efectivo el robo con datáfono deja una huella digital que no puede desaparecer y, además, un datáfono no es algo que se compre anónimamente. Todo está registrado.
Para tener un TPV operativo, este debe estar vinculado a una cuenta bancaria real y a una persona física o jurídica verificada mediante estrictos protocolos. Si un ladrón te roba 20 euros, ese dinero va a una cuenta registrada. En el momento en que tú veas el cargo en tu app del banco (algo que hoy en día es inmediato gracias a las notificaciones en nuestros móviles) y denuncies el fraude, el banco te devolverá el dinero y localizará al titular del datáfono inmediatamente. Y sin esfuerzo alguno.
Es decir, para un delincuente, usar un datáfono registrado a su nombre para robar cantidades pequeñas es una estrategia pésima. Se arriesga a ser identificado y detenido por la policía para el robo de una cantidad muy baja. La realidad es que ni siquiera le merece la pena.
¿Y si usas un móvil o reloj para pagar?
En este caso, estaríamos en otras circunstancias, ya que depende de que el usuario que lo lleva inicie el proceso de pago e introduzca una clave o verifique su identidad con métodos como FaceID o la huella digital.
