Pulseras NFC en eventos: cómo gestionan pagos y acceso en los festivales

La pulsera que un festival te coloca en la muñeca es un diminuto chip NFC de 13,56 MHz y, normalmente, hace tres cosas a la vez: abrir la puerta, pagar tu consumición y demostrar quién eres. La acercas a un lector y todo se resuelve en un par de segundos. La pregunta interesante —la que responde este artículo— es qué hay realmente en ese chip y cuánto de ello puede leer tu propio móvil.

Respuesta rápida: una pulsera, tres funciones

Una pulsera de evento es una etiqueta NFC pasiva que funciona a 13,56 MHz bajo ISO 14443-A, el mismo estándar de alta frecuencia que las pegatinas y tarjetas que ya acercas a diario. El chip va en tela, silicona o una banda de papel, no lleva batería y se activa con el campo del lector cuando se acerca a unos cuatro centímetros.

En conciertos, conferencias y festivales cubre tres funciones: control de acceso en la puerta o en una zona VIP, pago sin efectivo con un toque en las barras y los puestos de comida, e identificación que vincula la pulsera con tu registro. Dentro hay o bien un NTAG abierto que usa NDEF, o bien un chip MIFARE protegido, y cuál de los dos lleves puesto decide qué puede hacer la pulsera y qué puedes leer tú.

Cómo funcionan de verdad los pagos y el acceso

El pago sin efectivo va en circuito cerrado

El sistema cashless de un festival es de circuito cerrado: el dinero solo sirve dentro del evento. Cargas un saldo por internet antes de que abran las puertas o en un quiosco dentro del recinto, y luego pagas con un toque. Ese saldo vive en uno de dos sitios: cifrado en un fichero seguro del propio chip, de modo que el lector puede cerrar la venta incluso sin señal, o en el servidor del operador asociado al UID del chip. En cualquier caso, la autorización suele tardar entre dos y cuatro segundos, y lo que no gastes normalmente se devuelve después del evento.

El control de acceso funciona casi siempre sin conexión

La entrada es más sencilla. Cada lector guarda la lista de pulseras válidas y comprueba el UID del chip de forma local, así que la puerta sigue avanzando aunque un campo embarrado haya dejado sin cobertura móvil. El mismo truco protege zonas VIP, el backstage y las áreas de acampada: tu pulsera está codificada para las zonas que pagaste, y el lector solo dice sí o no.

Qué chip llevas en la muñeca

Dos familias de chips cubren casi cualquier pulsera.

Para las pulseras de identificación y networking —las que comparten una vCard o una URL de perfil cuando alguien las toca— lo habitual es un NTAG215. Sus 504 bytes guardan una tarjeta de contacto o un enlace de sobra y, como NTAG es NDEF abierto, cualquier móvil puede leerlo.

Para el pago sin efectivo y la entrada segura, los organizadores recurren a MIFARE DESFire EV2 o EV3. DESFire guarda el valor en aplicaciones cifradas basadas en ficheros, protegidas con AES y autenticación mutua: justo lo que quieres custodiando un monedero. También seguirás viendo MIFARE Classic en pulseras baratas de solo acceso. Es económico, pero su cifrado Crypto-1 está roto desde 2008, así que no tiene nada que hacer guardando dinero.

Qué puedes leer con NFCore

Puedes inspeccionar tu propia pulsera, dentro de los límites que marca el chip.

Si es un NTAG abierto, NFCore lee el contenido NDEF —la vCard o la URL— y el UID del chip, tanto en iOS como en Android. Si es una pulsera de acceso MIFARE Classic, un iPhone solo te mostrará el UID; Core NFC no vuelca los sectores de Classic como sí hace Android, una de las diferencias entre plataformas que conviene conocer. Y si es una pulsera cashless DESFire, todos los móviles leen el UID y el tipo de chip, pero la aplicación de pago cifrada permanece bloqueada: leer el saldo exige las claves del operador, que ninguna app de consumo —NFCore incluida— tiene.

Ese es el límite honesto, y es el mismo que mantiene tu dinero a salvo. Lee tu propia pulsera para ver qué es; no vas a sacarle el monedero a nadie de la muñeca. En NFCore, abre Leer Etiqueta para identificar el chip y el UID, o el volcado de memoria para ver el NDEF en bruto de una pulsera abierta. Está en la App Store y en Google Play, no guarda nada en la nube y no necesita cuenta.

Preguntas frecuentes

¿Pueden robarme dinero escaneando mi pulsera del festival? No de una pulsera cashless DESFire: el saldo está cifrado y el lector necesita las claves del operador. Un toque casual desde el móvil de un desconocido obtiene el UID, nada gastable.

¿Me devolverán el saldo que me sobre? Normalmente sí. Los sistemas de circuito cerrado casi siempre ofrecen un reembolso del saldo no gastado tras el evento; revisa las condiciones cashless del evento para conocer el plazo y las posibles comisiones.

¿Puedo leer mi propia pulsera con el móvil? Puedes leer el UID y el tipo de chip de cualquier pulsera, y todo el NDEF de una pulsera NTAG abierta. No puedes leer un monedero DESFire cifrado sin las claves del operador.

¿Funcionan las pulseras NFC sin internet? Sí. Tanto las comprobaciones de acceso como el cashless guardado en el chip se resuelven sin conexión en el lector, que es justo el motivo por el que los festivales las usan.