Razonamientos para la novedad del pago con tarjeta de crédito desde los dispositivos móviles

María Ramírez, experta en seguridad de Trend Micro, analiza los peligros de convertir los dispositivos móviles en terminales de pago.

Publicado el 27 marzo 2013 por Redacción 0

Desde hace ya varios años existe el rumor, pero ahora parece que este rumor se hace realidad: los smartphones y tablets se convierten en terminales de pago mediante tarjetas de crédito/débito.

Ya en 2005, Google hizo “sus pinitos”. Puso en marcha pruebas con tarjetas MasterCard, otra de prepago de Google y varias de regalo de comercios que se adhirieron a estos tests. Si la tienda cuenta con la preparación necesaria, sólo bastará con acercar el teléfono a un terminal concreto y confirmar el pago. El comercio podrá mostrar ofertas, regalos y otra información en el móvil del usuario y, además, este servicio sería gratis para los compradores. En el entorno de pruebas se demostró que este procedimiento es seguro y satisfactorio. La comunicación entre el teléfono y el terminal se hace vía NFC (Near Field Communication) y sólo entra en acción si se teclea un pin correcto. La compañía Google afirmó que para 2014 esta tecnología empezaría a florecer rápidamente, primero en Estados Unidos y en breve en el resto del mundo.

Pero a pesar de que todo parezca tan innovador, cómodo, práctico y sencillo, no es oro todo lo que reluce, pues sólo hace falta pararse un poco a pensar en los problemas de seguridad que puede acarrear. Distintas organizaciones ya han advertido de los riesgos que tiene el pago por dispositivo móvil asociado a tarjeta de crédito/débito, y recomienda a los comercios que esperen a que haya más técnicas de protección para este tipo de pagos.

Hemos de tener en cuenta que hoy en día los smartphones y tablets son capaces de establecer comunicaciones muy diversas, de diferente propósito y almacenar en su interior información de todo tipo, ya sea personal, empresarial, etc. La fuga de datos confidenciales, el robo de contraseñas y de otros recursos son puntos críticos a considerar antes de alojar un sistema de pago por tarjeta en un teléfono. Además, PCI Standards Council aboga por que los dispositivos que vayan a hacer el pago cuenten con PIN cifrados y que los lectores de tarjetas, a su vez, estén certificados apropiadamente.

Cabos sueltos

Hay muchos “puntos débiles” que antes deberían ser solucionados previamente. Todavía no se tiene una concienciación social acerca de la necesidad de proteger los dispositivos móviles y ya estamos yendo más allá y pensando en implantar el pago por tarjeta de crédito a través de los smartphones. El “crackeo” del sistema operativo del teléfono (jailbreak) en IOS y Android, por ejemplo, es una técnica que, en caso de interferir con el sistema de compra por tarjeta desde el dispositivo traería más de un disgusto al usuario comprador. O por ejemplo, la entrada de un malware en el dispositivo, también podría ser muy peligrosa y tener consecuencias nefastas.

En el mercado de la seguridad ya se dispone de tecnología y soluciones específicas para la gestión de la seguridad en dispositivos móviles, sin embargo se aprecia que es ahora, sobre todo en nuestro país, cuando las empresas que adoptaron el BYOD hace meses, están incorporando herramientas de seguridad que permitan proteger a nivel de antimalware, control de aplicaciones, control de funcionalidades, geo-localización, autenticación, cifrado, borrado de configuraciones, aprovisionamiento de parámetros de conexiones (VPNS, ActiveSync…) en los dispositivos. Pero, sin duda, es algo que debe estar mucho más asentado en el mercado antes de incorporar una funcionalidad tan arriesgada como es el comercio electrónico por tarjeta de crédito en los dispositivos. Podría llegar a ser un desastre. Y es por esto que PCI Standards Council se ha pronunciado con sus recomendaciones incluidas en el “PCI Mobile Payment Acceptance Security Guidelines for Merchants as End-Users”.

Avanzando por el camino correcto…

Near Field Communication (NFC) es una tecnología inalámbrica de intercambio de datos de corto alcance y alta frecuencia entre dispositivos que ha sido utilizada desde hace varios años para proyectos piloto de pago por móvil. En España, ya en 2010, La Caixa, Telefónica y Visa participaron en uno de estos tests. Fue el primer piloto desarrollado en Europa, con más de 500 comercios y más de 1.500 empleados.

A día de hoy, son muchos los dispositivos de distintos fabricantes que incorporan el estándar NFC. Incluso, en nuevas vídeo consolas como Wii U, ya se integra este estándar. Todo esto demuestra que NFC es realmente una tecnología útil y muy beneficiosa para muchos propósitos.

NFC aporta confianza y “da luz” a la desconfianza que el pago por tarjeta con móviles está empezando a crear, ya que este estándar está basado en normativas ISO, lo cual es una garantía de seguridad. Pero, a pesar de ello, la combinación de este tipo de pagos con el resto de capacidades de las tablets o smartphones sigue pareciendo un cóctel arriesgado.

Sin duda los proyectos piloto, los escenarios prácticos y demás iniciativas que se están desarrollando son muy positivas. Vamos avanzando tecnológicamente para hacerle al usuario la vida más fácil. Así, por ejemplo, este año, en Mobile World Congress, se permitió a 3.500 delegados de este evento el pago con el móvil durante esta celebración.

Pero tampoco hemos de ser muy ambiciosos. Hemos de sopesar la situación en la que ahora nos encontramos y, al menos en España, lo cierto es que todavía hay que recorrer un camino necesario para concienciarnos de que antes de poder pagar con nuestra tarjeta de crédito desde nuestro móvil, tenemos que securizar nuestro dispositivo; dotarlo de antimalware, tener cerradas sus vulnerabilidades y evitar que estos “agujeros de seguridad” puedan suponer la entrada de ladrones que nos roben los datos asociados a la tarjeta bancaria.

Fuente: ChannelBiz

Comentarios

Entradas populares de este blog

Descienden las detecciones de malware en Android y crecen en iOS

Explotan el día cero de la VPN de Fortinet para robar credenciales

Microsoft dice que la interrupción masiva de Azure fue causada por un ataque DDoS