A tecnologia por trás dos cartões financeiros: por que não é necessário corrente ao usá-los?

Um canal de educação científica de renome, Veritasium, publicou um vídeo que segue em detalhe a evolução da tecnologia do cartão de crédito, desde as primeiras bandas magnéticas até a moderna indução sem fios, revelando que as suas origens técnicas podem ser rastreadas até às tecnologias de espionagem usadas durante a Guerra Fria. O apresentador Derek Muller analisa, através de experiências de física e de registos de entrevistas com vários especialistas e com criminosos financeiros de fraude dos primeiros tempos, o quão fácil é, afinal, explorar estes métodos de pagamento do dia a dia.

Porque é que um cartão financeiro não precisa de corrente quando é usado?

Através de solventes químicos como a acetona (ingrediente principal do removedor de verniz/polimento de unhas), consegue dissolver-se o revestimento de policloreto de vinilo (PVC) e de plástico de policarbonato da superfície do cartão; então, é possível observar que, no interior do cartão, não existe bateria, sendo composto apenas por um pequeno chip de inteligência artificial e por uma antena de cobre em forma de bobina. Mesmo que a carcaça seja danificada, desde que a estrutura da antena esteja intacta, o chip continua com capacidade de funcionamento.

Estes cartões de pagamento sem contacto utilizam a tecnologia de Identificação por Rádio Frequência (Radio Frequency Identification, RFID), cuja base de funcionamento é a indução electromagnética. Quando o cartão se aproxima do terminal de pagamento, o leitor gera uma alteração do campo magnético que atravessa a antena do cartão e induz, de acordo com a lei de Faraday da indução electromagnética, uma corrente alterna. Esta corrente é convertida em corrente contínua por um retificador, fornecendo ao chip uma fonte de energia temporária, para que o chip consiga modular o campo magnético e devolver informação da transação. Este desenho sem necessidade de energia incorporada garante que o cartão consegue detetar de forma estável durante todo o prazo de validade de vários anos.

Fraude financeira inicial explorou falhas da tecnologia das bandas magnéticas para replicar cartões

A utilização em larga escala de cartões de crédito começou na década de 1950, enquanto a tecnologia das bandas magnéticas surgiu na década de 1970, inicialmente fixando as bandas magnéticas no cartão por processo de prensagem a quente. No entanto, a tecnologia das bandas magnéticas tem uma falha de segurança significativa: os dados nela armazenados são informação estática. O criminoso financeiro Tony Sales, numa entrevista, afirmou que os criminosos da fase inicial só precisavam de usar um Skimmer (capturador de cartões) simples para copiar o conteúdo da banda magnética em poucos segundos e criar cartões falsos com funcionamento completamente idêntico.

Como o conteúdo da banda magnética não dispõe de um mecanismo de encriptação dinâmica, os grupos de fraude por clonagem chegaram a empregar, em larga escala, trabalhadores de serviços para fazer escutas/duplicações, causando perdas económicas enormes. Os dados estatísticos indicam que, no início do século XXI, só no Reino Unido, as perdas anuais causadas por fraudes com cartões falsificados baseados em bandas magnéticas ultrapassaram 400 milhões de libras. A característica de dados estáticos, facilmente replicáveis na íntegra, levou a indústria financeira a desenvolver tecnologias de chips com maior segurança.

Como impedir a “roubagem digital”?

Com a evolução tecnológica, os chips EMV com capacidade de encriptação e a Comunicação de Campo Próximo (Near Field Communication, NFC) tornaram-se a norma. Embora haja preocupações de que criminosos possam usar um telemóvel ou equipamento de rádio sem fios específico (como o Flipper Zero) para fazer “roubagem digital” em ambientes com muitas pessoas, a análise técnica mostra que a eficiência lucrativa dessa abordagem é relativamente baixa.

As transações sem contacto modernas usam códigos dinâmicos (Dynamic Code); a informação encriptada gerada em cada transação fica limitada ao uso único. Assim, os criminosos não conseguem obter a chave privada armazenada nos componentes de segurança do chip, o que dificulta clonar cartões reutilizáveis. Além disso, o código de verificação CVV de três dígitos na parte de trás do cartão “não” é armazenado nos dados de deteção pelo chip, limitando o uso para compras online após a obtenção ilegal de informação. Em conjunto com os limites de transações individuais definidos por cada país para pagamentos por aproximação, o mecanismo atual já consegue bloquear fraudes em grande escala de contas.

Legado da Guerra Fria e lições para a segurança moderna

Curiosamente, o embrião físico da tecnologia RFID moderna pode ser rastreado até ao dispositivo de escuta The Thing (Beijo de Ouro), desenvolvido pela União Soviética em 1945. Esse dispositivo estava escondido num emblema de brasão nacional de madeira oferecido ao embaixador dos EUA, não tinha bateria e era alimentado por ondas de rádio sem fios de uma frequência específica emitida do exterior. Estas propriedades físicas de “deteção passiva” foram transformadas, décadas mais tarde, em tecnologia de pagamentos financeiros.

Mesmo que, atualmente, pagamentos móveis (como o Apple Pay) integrem tecnologia de identificação biométrica para melhorar a segurança, especialistas ainda alertam que, com a inovação das comunicações, as novas formas de ataques sofisticados continuam a evoluir. De bandas magnéticas a chips e, depois, para a deteção sem contacto, a essência da história das tecnologias de pagamento é, fundamentalmente, um confronto contínuo entre encriptação e exploração física.

Este artigo, “Black tech por detrás de cartões financeiros: porque é que não precisa de corrente quando é usado?”, foi publicado pela primeira vez em “鏈新聞 ABMedia”.