La moneda electrónica (II): Soluciones actuales

Siguiendo con la serie de entradas de “La moneda electrónica” que comenzó Samuel hace un par de días, hoy vamos a hacer un repaso de los formas de pago digital que existen en la actualidad, las tecnologías que existen detrás de ellas y los inconvenientes que presentan, especialmente aquellos relacionados con la seguridad.

Tal y como podemos observar en el día a día, en las transacciones diarias, el pago en efectivo es el rey. Pero, ¿y si pudiéramos eliminar todo el dinero en metálico y sustituirlo por un dispositivo que ya utilicemos, de manera que la transición no suponga un cambio brusco?

Como vimos en la entrada anterior, parece que el móvil es la respuesta a todas estas incógnitas. No obstante, la solución adoptada en Kenia, dónde se utilizan SMS para realizar nuevas transferencias abre algunas preguntas de seguridad: ¿es realmente un método seguro? ¿Pueden cometerse robos mediante técnicas conocidas, como por ejemplo un ataque de estación de base falsa o SMS Spoofing?

A veces no hay que ir a técnicas muy sofisticadas: el procedimiento para sacar dinero de M-PESA (que así es como se llama el servicio en Kenia) es el siguiente: el cliente va a un agente (un empleado de M-PESA) y le pide dinero en efectivo. A continuación, el cliente se identifica en la red de M-PESA e indica la operación en el servidor central. Acto seguido, el agente se conecta al servidor central y recibe un código de autorización de transferencia y la cantidad total que dispone actualmente el cliente.

Con este procedimiento se han dado varios casos de fraude utilizando un arcaico método de SMS Spoofing. El timo en cuestión consiste en acceder físicamente al teléfono del agente, añadir en su terminal un número de teléfono del que se tenga el control, y guardarlo como “M-PESA”. Utilizando este procedimiento se ha conseguido engañar a agentes, que han entregado el efectivo tras recibir el mensaje proveniente de los estafadores [1]. Utilizando el mismo procedimiento, quizás sea posible realizar algún tipo de fraude a distancia utilizando SMS Spoofing, modificando el remitente de la cabecera de un SMS de manera remota.

De manera más sofisticada, también es posible que sea viable la realización de un timo con un ataque de estación de base falsa, en el que un atacante con el hardware adecuado crea una antena de telefonía móvil y es capaz, entre otras muchas cosas, de capturar y redirigir llamadas y SMS. En ese caso, ¿podría este supuesto atacante capturar transferencias válidas y redirigirlas a su antojo?

Otros métodos de pago que se utilizan en dispositivos móviles son aquellos que hacen uso de códigos QR. Para ello, el usuario únicamente enfoca al código QR con la cámara de su móvil, y dependiendo de la compañía que haya implementado el método se realizan unas acciones u otras, aunque generalmente se realiza una petición a un servicio web que previamente ha sido conectado a una tarjeta de crédito.

Sin embargo, este diseño tiene un gran problema de seguridad, y es que este método de pago es altamente vulnerable a los ataques de ingenieria social. Con la rutina de pagar día a día, y la sencillez del método, la gente puede acabar por no comprobar de manera exhaustiva si la URL que codifica el código QR es realmente la del banco, de manera similar a lo que se ve en las aplicaciones de Android y su exceso de necesidad de permisos. Por este motivo, un atacante podría tener éxito si consigue modificar el código que se le muestra al cliente (una vulnerabilidad en la página web de la empresa, una pegatina que se superponga por encima del QR original, etc.), con la que se podría redirigir al móvil a un sitio de phishing, donde su propietario facilitaría las credenciales necesarias al atacante.

También existen aplicaciones que permiten realizar pagos utilizando una combinación de los datos proporcionados con los acelerómetros incluídos en cualquier smartphone y la geolocalización. Su manera de funcionar es sencilla: cuando se produce un evento de pago por parte de un dispositivo, el servidor busca otro que esté cerca cuyo acelerómetro haya registrado una fecha y hora similares.
Acto seguido, transmite la órden de transferencia a la pasarela de pagos on-line, que se encarga de solicitar la confirmación al usuario, como si se tratase de un pago on-line ordinario. Gracias a esta segunda comprobación, es donde se evita que se crucen 2 transferencias que realicen 4 personas en el mismo espacio y tiempo.

No obstante, el principal problema de estos dos métodos de pago es el mismo: el usuario necesita estar conectado a Internet en el momento en el que éste se realice. Pese a que hoy en día puede no parecer un problema, hay casos, como las máquinas de vending en un tren, en el que estos métodos de pago podrían fallar debido a la pérdida de cobertura que se sufren en los túneles o similares.
Por su parte, Google ha apostado por la tecnología NFC para realizar compras y pagos varios en su sistema Google Wallet. El funcionamiento es similar al de una tarjeta de crédito: para que el sistema se pueda utilizar, se necesitan dos cosas: un establecimiento adaptado que cuente con un lector NFC, y un cliente que o bien tenga un dispositivo móvil con NFC, o bien disponga de una pegatina NFC que puede colocar en cualquier dispositivo. En el momento de pagar, el usuario acerca su terminal al lector, así como el pin asociado al monedero, y el lector muestra si la transferencia ha sido aprobada o denegada.

Por lo visto, según Rick Oglesby las intenciones de Google consisten en evitar pasar por la red de las emisoras de tarjetas, y hacer que tanto cliente como vendedor realicen y almacenen sus operaciones en los servidores de Google y a través de la red, dejando fuera a las emisoras, y por tanto, ganando más dinero. Además, puede que el objetivo final de Google sea transformar Google Wallet en una especie de Google Ads, cobrando por cupones y otras ofertas que se le ofrecerían al cliente.

Como alternativa a Google Wallet, pero no a NFC, las tres operadoras de Estados Unidos más grandes, AT&T, T-Mobile y Verizon Wireless han formado la empresa conjunta ISIS. Sin embargo, parece ser que el modelo de negocio estará basado en fabricar dispositivos con chip NFC, en los que el chip NFC será propiedad de ISIS. De este modo, ISIS obtendría beneficios al permitir el acceso al chip, por lo que no le interesaría intentar circunvalar a las compañías emisoras de tarjetas [2].

Otra de las ventajas de NFC es que al estar integrado con el móvil se puede dotar de cierta inteligencia a las aplicaciones de pago: personalización de anuncios, ofertas en el momento en que decides si vas a comprar un artículo o no, etc. Estas ventajas, si bien no son muy útiles para el cliente, seguro que lo son para el vendedor.

Referencias

1 http://www.telco2.net/blog/2010/02/security_breach_at_mpesa_telco.html
2 Phone-y money. Por Philip E. Ross.

Comments

  1. Felicidades por los artículos. Hecho en falta a BitCoin ;)

    Saludos

  2. Hola MrMx,

    ¡no adelantemos acontecimientos! Todavía nos queda alguna bala en la recámara… ;)

    Un saludo y gracias por tu comentario.

    Samuel