PREFACIO

Últimamente he estado viajando bastante y podría apreciar el hecho de pagar los viajes en autobús/metro o café/cervezas solo con tecnología sin contacto . Los sistemas basados en Apple/Google/Samsung-Pay requieren desbloquear activamente su dispositivo tecnológico y esto genera cierta ralentización en el proceso de pago.

Si estás haciendo fila con un grupo de personas detrás de ti esperando y algo sale mal, estás frito 🥪.

Como un NERD empedernido, he usado un CASIO F-91W desde que todavía tenía granos en la cara. Este reloj legendario adorna las muñecas de los aficionados a la tecnología en todo el mundo con su diseño elegante, su construcción robusta y su impresionante duración de la batería (se dice que dura ~ 7 años ). Se convirtió en un símbolo de la revolución de los relojes digitales a partir de los años 80 con la adopción del cuarzo.

Pensé que sería bueno no tener que sacar mi tarjeta de crédito/débito de la billetera o mi teléfono móvil del bolsillo para pagar, sino acercar el reloj al TPV y simplemente pagar con una pizca de modernidad. día mágico ✨.

Así que decidí darle una nueva vida y llevarlo al siguiente nivel combinando nostalgia e innovación al más puro estilo hacking .

ANÁLISIS

La tecnología NFC ( Near Field Communication ) permite un intercambio de información sin contacto físico directo entre dos dispositivos involucrados. En el caso de las tarjetas de pago sin contacto , se pueden usar sin insertarlas en una ranura de punto de venta o ingresando un código PIN , lo que hace que las transacciones financieras sean más rápidas y convenientes.

En el interior de una tarjeta de pago sin contacto de plástico (o metálica) podemos encontrar varios componentes:

• Microchip : a menudo denominado chip de circuito integrado seguro ( IC ) o chip inteligente , sirve como el cerebro de la tarjeta y contiene varios subcomponentes como la CPU (controla las operaciones de la tarjeta y gestiona el procesamiento de datos), la memoria (almacena información de datos como detalles de la cuenta, historial de transacciones y claves de seguridad ) y Crypto Core (puede generar números aleatorios verdaderos , ayuda a resolver desafíos aritméticos, puede cifrar/descifrar datos y ser útil en el proceso de autenticación de la tarjeta y del terminal).

• Antena : generalmente fabricada en cobre o aluminio , es la encargada de transmitir y recibir señales de radiofrecuencia para permitir la comunicación sin contacto . Está diseñado en un patrón específico para garantizar una transmisión de señal eficiente.

  
  

A través de una antena es posible transmitir y recibir ondas de radiofrecuencia , una forma de energía que puede viajar a través del espacio o materiales transportando información. La frecuencia del protocolo NFC es de 13,56 MHz (en algunos casos puede variar y ser ligeramente superior, en torno a 14,5 ~ 15,5 MHz para sistemas de pago o cajeros automáticos). La longitud de onda (representada por el símbolo λ-lambda , en términos más simples, es la medida de la longitud de un solo ciclo de onda) en el espacio libre se calcula dividiendo la velocidad de la luz constante (~ 300'000Km/s) por el objetivo frecuencia.

Por lo tanto, una antena ideal debería consistir en un cable de 22,12 metros de largo, pero por convención se eligen oportunamente fracciones de λ-lambda (λ/2, λ/4, λ/8, λ/16, etc.). Otro factor importante es la impedancia eléctrica del cable, que depende principalmente del material del que está hecho, de su resistividad y de la sección transversal del propio cable.

Las tarjetas de pago son dispositivos pasivos que no requieren su propia fuente de energía. En cambio, funcionan con inducción electromagnética cuando se acercan a un dispositivo NFC activo , como un teléfono inteligente o una terminal de pago sin contacto . El dispositivo NFC activo genera un campo magnético que induce una corriente en la antena del dispositivo de destino del NFC . Esta corriente inducida proporciona suficiente energía para activarlo permitiéndole operar y comunicarse con el dispositivo activo .

La mayoría de las tarjetas inteligentes de tecnología antigua tenían la antena incrustada en una carcasa de plástico (o resina), soldada al chip , que en consecuencia se alimentaba directamente de la corriente inducida .

La nueva tecnología de tarjetas de pago consiste en una interfaz dual que no necesita ningún contacto por cable entre el microchip y los módulos de antena . La antena en el cuerpo de la tarjeta tiene algunas vueltas adicionales alrededor del área donde está incrustado el módulo del chip . Esta antena de cuerpo de tarjeta se acopla inductivamente en una pequeña antena de cuadro que se integra directamente en el módulo del microchip . Esto simplifica el proceso de producción de la tarjeta ya que no es necesario unir la antena (p. ej., pegarla, soldarla o soldarla) al módulo del chip .

¿Tiene curiosidad por ver cómo se ve la forma de la antena (hablando de manera realista) dentro del sobre de plástico de la tarjeta?

Los “cuadrados” conectados en línea actúan como capacitores variables. Esto, junto con los devanados injertados en múltiples niveles, permite que el módulo se acople a diferentes frecuencias.

En general, los componentes funcionan juntos para permitir transacciones sin contacto seguras y convenientes. La antena permite la comunicación inalámbrica, mientras que el microchip gestiona el procesamiento de datos, la seguridad y la autenticación, asegurando la privacidad e integridad de la información del titular de la tarjeta.

HERRAMIENTAS

Para “ver” a través del complejo e invisible mundo de las ondas de radio , tuve que apoyarme en un equipo específico.

• NanoVNA : Nano Vector Network Analyzer es un dispositivo de mano portátil y asequible que se utiliza para medir y analizar las características de la radiofrecuencia ( RF ) y los circuitos de microondas . Está diseñado para proporcionar mediciones precisas de impedancia compleja, coeficiente de reflexión , coeficiente de transmisión y otros parámetros de componentes y redes de RF.
• Proxmark3 : es una plataforma de hardware y software de código abierto diseñada para la investigación y el desarrollo de RFID (identificación por radiofrecuencia). Es una herramienta versátil ampliamente utilizada por investigadores de seguridad , pentesters y entusiastas de RFID para explorar, analizar e interactuar con diversas tecnologías RFID . Consiste en una placa de circuito compacta equipada con una antena integrada y múltiples módulos de radiofrecuencia . Es compatible con varios protocolos RFID , incluidos los estándares RFID de baja frecuencia (LF) y alta frecuencia (HF), como 125 kHz, 13,56 MHz y 900 MHz. El dispositivo puede emular tarjetas/etiquetas RFID y actuar como lector/grabador , lo que permite a los usuarios clonar , simular y manipular señales RFID . Es importante tener en cuenta que, si bien Proxmark3 es una herramienta valiosa para la investigación y el aprendizaje sobre seguridad, debe usarse de manera responsable y dentro de los límites legales de las jurisdicciones correspondientes .
• RFID-RC522 : es un módulo RFID popular que se usa comúnmente para la comunicación con etiquetas o tarjetas RFID . Se basa en el chip MFRC522, que es un IC lector/escritor altamente integrado para comunicación sin contacto .

En este escenario particular, el chip RFID-RC522 fue canibalizado para explotar la antena microstrip en el PCB como sonda para el NanoVNA .

Desoldé los capacitores C10 y C11 y procedí a soldar dos conectores de cables de puente hembra en su lugar.

Luego, arranqué un cable conector coaxial suministrado con el dispositivo NanoVNA . Después de separar el cable del núcleo interno (+) de la malla de blindaje exterior (-), soldé los conectores de cable de puente macho respectivamente, para tener una interfaz desmontable (de la teoría: cuanto más largos son los cables de puente , mayor es el "ruido" cuando lectura de los valores de RF , así que manténgalo lo más corto posible).

Al acoplar esta antena-sonda “frankenstein” con el NanoVNA a través de la entrada S11 → CH0 , pude nadar a través de las ondas de radio .

CONFIGURACIÓN

Empecé con el combo NanoVNA + RFID-RC522 .

Una vez encendido, el NanoVNA muestra mucha información, pero en su mayoría resulta ser irrelevante para este propósito. Tiene una pantalla táctil resistiva junto con un joystick basado en una rueda que puede ayudar a moverse por sus menús .

Todo el foco está en el trazo amarillo , así que deshabilité todos los trazos innecesarios yendo al submenú PANTALLA y haciendo doble clic en TRACE 1 (cian), TRACE 2 (verde) y TRACE 3 (magenta). Es posible verlos desaparecer de la pantalla.

Luego hice clic en ATRÁS → ESCALA → ESCALA/DIV y configuré “4” (da una buena proporción).

Confirmé haciendo clic en el botón ENT .

Luego volví al menú principal e hice clic en STIMULUS .

Al hacer clic en INICIO configuro 12,5 MHz .

Al hacer clic en DETENER , configuro 16 MHz .

De esta forma es posible filtrar todas las señales permitiendo que el dispositivo muestre solo las que se encuentran en la banda de 12,5 a 16 MHz .

Para ver si la configuración era buena, coloqué en la superficie de la antena una etiqueta NFC de repuesto.

Regla simple: cuanto más profunda es la cuña inferior, mayor es la "resonancia".

En otros términos, significa que la etiqueta NFC utilizada para la prueba está bien acoplada con la antena (es absolutamente normal ver rangos variables en torno a la frecuencia de 13,56 MHz dependiendo de las etiquetas/tarjetas a las que se acerque).

Pasando al dispositivo Proxmark3 , necesita una computadora para funcionar. Dentro del repositorio original de GitHub pude encontrar todas las instrucciones de instalación (muy exhaustivas y bien explicadas). Estoy ejecutando macOS, así que utilicé el tutorial basado en preparación para la rapidez.

Antes de la primera ejecución, se recomienda actualizar el firmware del dispositivo con la última versión disponible. Para ello, el procedimiento requiere pulsar el botón “semioculto” y enchufar el cable Micro-USB manteniéndolo pulsado. De esta forma, el dispositivo arranca en modo DFU .

Una vez en modo DFU , simplemente ejecute el siguiente comando:

pm3-flash-todo

y debería realizar todo “automágicamente”.

Una vez hecho esto, desconectar y volver a conectar el cable Micro-USB al Proxmark3 permite detectarlo en la lista de puertos serie. Al ejecutar el siguiente comando:

> pm3

ahora es posible entrar en el mundo mágico de la piratería/auditoría NFC .

Proxmark3 Tools tiene un shell interactivo (le sugiero que estudie toda la información en la documentación, ya que esta maquinaria permite hacer algunas cosas, incluso ilegales , muy interesantes y complejas).

Para probarlo, puse la misma etiqueta NFC utilizada para el NanoVNA en la parte superior de la superficie de la antena de alta frecuencia .

Al ejecutar el siguiente comando en el shell interactivo:

> pm3 → hf buscar

fue posible leer la información relacionada con la NFC .

NOTA: aunque tanto el dispositivo NanoVNA como el Proxmark3 están bien “aislados” eléctricamente, pueden sufrir algún ruido si se colocan sobre superficies conductoras como metal o similares. Los coloqué en una alfombrilla de ratón de goma para que funcionaran bien. Tenga esto en cuenta si se enfrenta a algún comportamiento "extraño" en las lecturas.

Pasemos a la lectura de la tarjeta de pago recordando el último comando:

> pm3 → hf buscar

Como se puede observar, la salida es mucho más detallada que la anterior, ya que la tarjeta contiene un “chip inteligente” para operaciones más complejas y seguras . Esta salida es útil para una comparación posterior.

Todo está bien. Todo el equipo está funcionando completamente, la configuración está completa y ahora podemos pasar a la parte más interesante.

DESMONTAJE

Para descubrir el tipo de mi tarjeta de pago , tuve que romperla.

Con la ayuda de la boquilla de aire caliente de una estación de soldadura (ajustada a 100 °C), comencé a calentar la superficie alrededor del chip de la tarjeta dibujando círculos de cerca y de lejos, de un lado a otro.

El verdadero truco aquí para evitar daños irreversibles es no permanecer en el mismo lugar por mucho tiempo (evitando que todo se derrita ).

Después de alrededor de 45 segundos ~ 1 minuto de calentamiento , comencé a remover suavemente el chip con un par de pinzas y con un montón de golpes pude separarlo de la carcasa de plástico.

Aunque ligeramente cubierto por residuos de pegamento , es posible ver los devanados de la antena integrada , por lo que no hay juntas de soldadura desde el chip interior a la antena exterior.

Resulta que este tipo de tarjeta de pago pertenece a la categoría de nueva tecnología, una combinación de un chip con una pequeña antena incrustada que resuena y se acopla con la antena más grande escondida dentro de la placa de la tarjeta , como se explicó en un párrafo anterior.

Pasando al desmontaje del reloj CASIO F-91W , fui con todo adentro . Primero me quité las muñequeras para poder trabajar sin obstáculos.

Luego con la ayuda de unas pinzas y un pequeño destornillador pude desarmarlo hasta los huesos (no tenía intención de personalizar los circuitos internos, así que dejé intacta la unidad central ya que además de los pagos sin contacto sería conveniente siempre poder consultar la hora 😂).

Al calentar la placa frontal con la pistola de aire caliente utilizada anteriormente (la misma temperatura establecida en 100 °C , los mismos patrones circulares altos y bajos a distancia), durante aproximadamente ~ 1,5 min , apliqué una buena cantidad de fuerza desde el interior hacia el exterior de la caja del reloj y, naturalmente , salió sin demasiado esfuerzo.

INSPECCIÓN

Después de determinar la naturaleza de la tarjeta demolida , me di cuenta de que no estaba tratando con una, sino con dos antenas . Quería ver con claridad, así que recordé mi equipo.

Tomados por separado, cada uno tiene su propia frecuencia de operación . La carcasa de la tarjeta por sí sola resuena a ~ 15,28 MHz .

Sin embargo, cuando se combinan , el resultado es una nueva frecuencia completamente diferente de las individuales. La carcasa de la tarjeta + chip resuena a ~ 14,85 MHz.

En proyección a los próximos pasos, este experimento me hizo darme cuenta de que para explotar un enfoque de síntesis aditiva/sustractiva para reproducir una antena coincidente desde cero, se deben tener en cuenta otros factores además de la impedancia , incluido el grosor y/o la permeabilidad magnética . de materiales

AFINACIÓN

Tratar con antenas no es un trabajo fácil . Requiere mucha experiencia teórica y práctica , adquirida a lo largo de muchos años de pruebas y frustraciones, disipada en algún laboratorio, tal vez.

En general, la sintonización de la antena es un proceso de diseño muy crítico destinado a optimizar el rendimiento de un sistema de antena . Implica ajustar matemáticamente la longitud de la antena , las dimensiones de la superficie, la coincidencia de impedancia , la minimización de SWR (relación de onda estacionaria) para lograr la resonancia deseada, la transferencia de potencia eficiente y las características operativas.

Bien pero…

Los hackers , gente extremadamente perezosa , siempre buscamos el camino más corto con el menor esfuerzo para lograr los máximos resultados.

Reconocida la declaración anterior, mi objetivo era evitar cualquier excavación específica en el aburrimiento electromagnético para proporcionar la forma más rápida posible de iterar sobre el proceso de diseño de la antena . Para esto, inventé el llamado "ajuste de pesca" (gracias a Daniele G. , mi verdadero amigo y partidario, por sugerirme este increíble nombre), una forma ghetto (pero inteligente) de sintonizar ciegamente una antena NFC casera.

Simplemente hablando, el proceso detrás de esto involucra conceptos y materiales básicos. A partir de las especificaciones de la nueva tecnología de tarjetas de pago , fue posible comprender que el chip debe enrollarse con bastante fuerza , luego, debe tener algunas bobinas externas alrededor para tener suficiente resonancia con el lector NFC .

El procedimiento de lectura NFC (desde un dispositivo activo) se distribuye en intervalos de frecuencia , no en frecuencias específicas y fijas. La variabilidad intrínseca del acoplamiento de dispositivos, dadas las condiciones de contorno, es relativamente alta, por lo que se tolera igualmente cualquier pequeña imprecisión.

![Medida del tamaño del chip de la tarjeta de pago (ancho)

](https://cdn.hackernoon.com/images/vSoRcyvb6dP2JiCy2a0lFEycpoa2-ow1k35vy.png)

Tomé mi calibre de precisión y obtuve las dimensiones del chip .

Con una herramienta de CAD en 3D en línea ampliamente utilizada, pude diseñar un carrete simple con el portachips (colocado en el centro), dejando espacio para los devanados de alambre internos y externos que podría extruir con la ayuda de mi impresora 3D .

Usé un cable de cobre esmaltado de 0,10 mm (muy barato, con un precio de unos pocos dólares) y comencé a enrollarlo alrededor de la carcasa del chip más interna y luego continué generando bobinas en el carrete más externo .

Para mantener todo en orden , encontré tremendamente útil una característica que viene con la herramienta Proxmark3 . Activando el siguiente comando:

> pm3 → sintonía hf

Es posible observar en tiempo real la caída de voltaje en mV (milivoltios) de cualquier etiqueta compatible con NFC que se acerque a la superficie de la antena de alta frecuencia .

Regla simple: cuanto mayor sea la caída de voltaje , mayor será la resonancia de la antena (y por lo tanto el acoplamiento es más eficiente ).

(Demostración de la técnica de puesta a punto de pesca)

Como puede ver en el video de demostración anterior, la mano izquierda mantiene el carrete alineado con la superficie de la antena Proxmark3 (foto a continuación).

La mano derecha tira lentamente del cable del carrete mientras vigila las lecturas continuas de pm3 → hf tune . Continué mientras alcanzaba la caída de voltaje más alta (~ 11mV el máximo alcanzado) a 3mV / 14mV .

Luego, corté el cable sobrante del carrete , guardando un poco más para más tarde, en caso de error y/o para un recorte de frecuencia más fino. Ahora, tenemos un cable de antena de longitud arbitraria (el mío tenía alrededor de 1,6 metros de largo) de un cable electromagnético de 0,10 mm que se puede enrollar nuevamente en un recinto muy lindo.

DISEÑO

De lado a lado, desde la placa frontal hasta la placa posterior , el reloj digital CASIO F-91W tiene varias capas de componentes: la cubierta de metal, el soporte de la batería, la batería de tipo botón, la PCB, la pantalla, la carcasa de plástico y el protector de pantalla. La instalación de una antena en la parte posterior no funciona (créanme, hice una cantidad infinita de pruebas y resolución de problemas antes de llegar a esta conclusión). Esto se debe a demasiados componentes de "protección" que interfieren y no permiten que una posible antena NFC colocada en la parte posterior se empareje decentemente con cualquier lector NFC .

Para llegar a un diseño de antena decente (sin desfigurar la estética original del reloj), reproduje la placa frontal original en el software CAD 3D , donde corté el área para sostener el chip y tallé una cavidad alrededor de todo el perímetro para enrolle el cable de la antena .

En cuanto a la placa trasera , decidí reemplazar la original de metal por una impresa en 3D basada en PLA .

Esto me permitió dotar al aseguramiento de toda la estructura de la reducción del ruido electromagnético generado por la presencia de la placa metálica, preservando al mismo tiempo una uniformidad puramente estética.

PRUEBAS

Para comprender la cantidad correcta de cable necesaria, probaba con frecuencia el pico de resonancia a través de la combinación de dispositivos NanoVNA + RFID-RC522 , mientras desenrollaba y cortaba el cable, un trozo pequeño a la vez.

Además, utilicé el dispositivo Proxmark3 para comprobar si la tarjeta de pago sin contacto encogida en su nueva forma todavía podía leerse bien.

REFINAMIENTO

El agujero dejado por la impresión 3D (para la pantalla del reloj) en la placa frontal se rellenó con resina epoxi ultra transparente para lograr el acabado de cristal .

La exposición a una lámpara UV suficientemente potente ( 48 W ) durante aproximadamente 1 a 2 minutos por lado contribuye a la polimerización (endurecimiento) de la resina UV .

ASAMBLEA

Es hora de juntar todas las piezas.

Con un par de tijeras, pinzas y un montón de cinta de reparación de doble cara para electrónica, logré reconstruir la superficie de adhesión de la placa frontal .

Para terminar, volví a montar el resto de componentes cerrando todo con la placa trasera y los tornillos originales.

No podía faltar una correa genial para completar la apariencia visual y el ajuste.

MANIFESTACIONES

Compré algunas cosas en diferentes tiendas/máquinas expendedoras para probar en vivo que el sistema de pago sin contacto integrado en el CASIO F-91W funciona perfectamente.

Unos pocos videos valen más que muchas palabras.

Todos son buenos pagando con sus relojes inteligentes , pero ¿con un CASIO antiguo?

El puro deleite que recompensa todos los esfuerzos es ver las caras de asombro de las personas → 😯 cuando se dan cuenta de lo que pagué en la caja 🤣.

DESARROLLOS

Hay un par de pensamientos que pasan por mi mente:

• El primero se relaciona con cuestiones de seguridad : explorar la posibilidad de tener una antena interrumpida y una forma de cortocircuitarla con uno de los botones del reloj, evitando así intentos de robo de teléfonos móviles sobre la marcha.
• El segundo, como una evolución del anterior , considerará agregar un chip adicional y una segunda bobina que se puede cambiar con solo presionar un botón de reloj, jugando con circuitos abiertos/cerrados .

EXTRAS

Sólo algunas cosas más divertidas.

Además, creé un repositorio de GitHub donde alojé un montón de documentos que encontré útiles y los archivos *.STL para las placas delantera y trasera que puedes descargar e imprimir en 3D tú mismo → aquí .

CONCLUSIONES

Este viaje al reino de la tecnología NFC , los pagos sin contacto y las ondas de radio ha sido emocionante. Como hacker , me siento muy afortunado de vivir en una era en la que la rápida evolución de las herramientas, el software y los ecosistemas digitales ha abierto nuevos dominios de posibilidades que nos permiten ver a través de las cosas y nos desafían a aceptar el panorama en constante cambio. de tecnología. Ser un NERD tecnológico va más allá de una mera pasión por la electrónica o la codificación ; abarca una mentalidad impulsada por la curiosidad , la resolución de problemas y el deseo insaciable de aprender . Es una inmersión de por vida en el descubrimiento , donde cada nuevo avance sirve como un trampolín para avances aún mayores. Se trata de estar a la vanguardia de la innovación, superar los límites y contribuir a un futuro impulsado por la imaginación y la destreza tecnológica.

Sin embargo, en medio de toda la emoción y las maravillas de la tecnología, también debo recordar la importancia de las consideraciones éticas , la privacidad y el uso responsable . Con un gran poder viene una gran responsabilidad.

Sigamos explorando , jugando y compartiendo nuestro conocimiento con el mundo.

SALUDOS

Un agradecimiento especial para amigos especiales:

• Daniele G. por enriquecer siempre mis ideas locas con consejos invaluables ✨;
• Marco L. por la diversión, el apoyo y por ser el camarógrafo 📹;
• Lorenzo F. por todas las valiosas sesiones de lluvia de ideas 🧠;
• Pierluigi CP por creer genuinamente en mis capacidades 🧙🏻‍♂️.

Chicos, esto fue ÉPICO 🤙.

DESCARGO DE RESPONSABILIDAD

Cualquier información proporcionada en este artículo es solo para fines educativos. No soy responsable de ninguna acción ilegal realizada por individuos o entidades en base a la información adquirida de este tutorial. El contenido está destinado a proporcionar una guía general y es su responsabilidad asegurarse de cumplir con todas las leyes, reglamentaciones y normas éticas aplicables al aplicar la información proporcionada. Cualquier acción que realice en base al tutorial se realiza bajo su propio riesgo y discreción. Renuncio a toda responsabilidad por cualquier daño, pérdida o consecuencia legal que resulte del uso o mal uso de la información presentada en el tutorial. Le recomiendo encarecidamente que busque asesoramiento profesional o consulte con las autoridades pertinentes para garantizar el cumplimiento de la ley. Al acceder y utilizar este tutorial, usted acepta liberarme de cualquier responsabilidad por cualquier acción ilegal o sus consecuencias que puedan ocurrir aguas abajo como resultado de la aplicación de la información proporcionada. Utilice la información de manera responsable y tenga cuidado al aplicarla en situaciones prácticas.