PublicaTIC

Máster Universitario en Ingeniería Informática

image_pdfimage_print

El futuro del IoT y los riesgos que conlleva

by 1 Comment

2018 ha sido sin duda el año del Internet de las cosas (IoT), pues actualmente existen alrededor de 11.000 millones de dispositivos conectados por todo el mundo, esto es, triplican o cuadriplican el número de personas en el planeta, cifra cuanto menos sorprendente. Por si esto fuera poco, se prevé que para el 2020, alrededor de 25 mil millones de “cosas” estén conectadas a Internet, unos 5 dispositivos por persona, tasa que duplicaría lo que ya tenemos en la actualidad.

A continuación, me gustaría mencionar una serie de predicciones que hay que tener en cuenta para este próximo año en el que nos adentraremos en breve. Tal y como adelantaba al inicio del post, la principal estimación acerca de este ámbito es el crecimiento general, es decir, el aumento de usuarios con dispositivos conectados a la red, lo que provocará un mayor impulso de la conectividad 5G, agregando un carril a la congestionada vía web para manejar el aumento de dispositivos. En segundo lugar, quería destacar la adopción del IoT en el ámbito sanitario, en el que se estima que para el año que viene el 87% de las organizaciones hayan adoptado este tipo de tecnologías con productos como píldoras inteligentes, atención domiciliaria inteligente, administración de atención médica personal, registros electrónicos de salud, administración de datos confidenciales y un mayor grado general de atención al paciente.

Asimismo, respecto al ámbito de los coches inteligentes, situado entre las 10 tendencias futuras de Gartner para el 2019, se cree que el IoT tendrá una mayor penetración con aplicaciones como la búsqueda por voz, información del trafico en un momento dado, verificación en tiempo real del combustible del vehículo, etc.

 

Todo esto que comentaba suena muy bien, pero, ¿qué hay de los riesgos?, ¿nos hemos parado a pensar acerca de los peligros a los que estamos expuestos? La gran mayoría de personas no somos conscientes de ello, incluso los fabricantes, aún son pocos los que se detienen a considerar los enormes riesgos de seguridad que vienen asociados a estos dispositivos. Muchos de nosotros no somos conscientes o no tenemos los conocimientos necesarios para actualizar un sistema operativo de una bombilla inteligente, o una nevera IoT, y, ¿qué decir sobre el hackeo sobre nuestra lavadora inteligente? La realidad es que cuando una parte de tu red ha sido atacada, se convertirá en una puerta de entrada para otros ciberdelincuentes. Un claro caso de vulnerabilidad después de otra vulnerabilidad.

De acuerdo con un estudio llevado a cabo por Trustlook, más de la mitad de los usuarios que utilizamos este tipo de dispositivos no disponemos de una solución de seguridad que proteja nuestros dispositivos propios de amenazas externas. Más me sorprende que un tercio de ellos admite no cambiar la contraseña que viene predefinida de fábrica, algo primordial y fundamental que se debe de hacer inmediatamente, de lo contrario, puede considerarse como un asombroso y preocupante fracaso.

Al hilo de todo esto, me gustaría señalar la previsión de que el 25% de los ciberataques que se produzcan en los próximos años vayan dirigidos a estos dispositivos IoT, algo que a mucha gente le tranquiliza por los beneficios que estos aparatos pueden conllevarles. Personalmente creo que es un grave error, pues como se ha dicho previamente, el hecho de que nos pirateen algo tan simple como una bombilla puede suponer una puerta de entrada para que nos hackeen nuestro dispositivo móvil, por ejemplo, algo que claramente no nos da igual. Por ello, debemos ser conscientes de todo eso y ponerle una solución inmediata.

De la misma manera, los fabricantes de estos dispositivos deberían unirse para defender los estándares de seguridad a implementar en los dispositivos IoT. Estos estándares pueden incluir una certificación mediante la cual, los propios usuarios puedan tener garantías que dichos dispositivos ofrecen unas garantías. Si un dispositivo no cumple con estos estándares, puede ser reconocido como un dispositivo inseguro y como resultado, se le retiraría este certificado.

 

Como punto final de la presente entrada se me viene a la cabeza una noticia que leí recientemente, un dispositivo IoT puede piratearse en menos de 3 minutos. El principal blanco de hackeo existente a día de hoy son las bombillas inteligentes, pues tan solo se requiere de un dron o un vehículo que se encuentre a menos de 70 metros de éstos y así poder extraer la clave global del fabricante. Adjunto un vídeo donde se percibe la facilidad de ello:   https://youtu.be/Ed1OjAuRARU

 

Concluyendo, el IoT es uno de los temas en auge de este año y que lo seguirá estando durante los próximos, pero debemos ser totalmente responsables de los peligros a los que estamos expuestos y poner fin a todos los que estén a nuestro alcance, al mismo tiempo en el que los fabricantes implanten las medidas de seguridad necesarias. De lo contrario, todo ello que a simple vista puede facilitarnos la vida nos la complicará por completo. Mi principal objetivo con este post es el de concienciar a todos los usuarios a tomar las medidas necesarias y, como usuario con dispositivos conectados a Internet, espero que las compañías pongan el foco en estos peligros que tanto pueden perjudicarnos.

La importancia de liderar personas y no proyectos

by 1 Comment

Vamos a comenzar este post hablando sobre lo que es el liderazgo y más concretamente en el
mundo empresarial. Además, definiremos aquellas características imprescindibles que éstos
deben disponer para ser capaces de liderar personas y no proyectos, algo a lo que muchos no
están acostumbrados.
La pregunta clave es la siguiente: ¿qué es el liderazgo? Bien, dicho término hace referencia al
concepto que engloba las habilidades que debe poseer una persona capacitada para guiar e
influenciar a otras. De la misma manera, implica potenciar la actividad empresarial, donde
motivación y cooperación van de la mano de la consecución de los objetivos. Debemos
establecer una clara distinción entre liderar y dirigir, para ser un buen líder son necesarias una serie de cualidades que no todo el mundo es capaz de tener. Precisamente, una de las cosas más complicadas de la gestión empresarial es la gestión y el trabajo diario con personas. De las habilidades más difíciles y, a la vez más demandadas, es la de hacerlo bien.
Un buen líder es aquel que forja una relación con sus colaboradores, no un simple traspaso de
funciones. De la misma manera, debe mantener un compromiso a largo plazo con ellos, sacar
lo mejor de su equipo, crear un ambiente de armonía, confianza y colaboración, tener en
cuenta las opiniones de todos los miembros del equipo, motivar, establecer una adecuada
comunicación entre todos y proporcionar las herramientas necesarias y posibles para cumplir
con los objetivos del proyecto. Esto que acabo de describir no es lo habitual en muchas
compañías, es perceptible como una gran cantidad de “líderes” se ciñen a liderar proyectos
cuando lo imprescindible en todas y cada una de las compañías son las PERSONAS.

Estas son las habilidades principales que debe tener un buen líder:

  • Capacidad comunicativa. No sólo puede defender las nuevas ideas y explicar con
    claridad los proyectos, sino que sabe escuchar a los demás, algo que muchos deberían
    hacer.
  • Resolución de conflictos. Habilidad para encontrar soluciones a situaciones
    complejas.
  • Ética. Poseer unos principios y valores éticos.
  • Empatía. Ponerse en el lugar de los demás.
  • Evoluciona. Crecimiento personal y profesional.
  • Creatividad. Busca nuevas oportunidades de negocio, propone alternativas y
    proyectos nuevos.
  • Fomenta del aprendizaje continuo. Comparte y no enseña. Trata de transmitir sus
    conocimientos y apuesta por que los trabajadores se formen constantemente.
  • Da ejemplo. Comparte, pero también no deja de recoger información de los demás,
    colabora en las actividades críticas y cuando más le necesita el equipo.
  • Flexibilidad. Capacidad de adaptarse a los cambios e imprevistos que surgen. Trabajo
    en equipo. Conoce a tu equipo y confía en él. Es capaz de delegar el trabajo a las
    personas adecuadas.

Además de poseer cada una de estas habilidades que se han enumerado previamente, tendrá
en su conjunto la capacidad del equilibrio de las cosas, entre ayudar y sobre-ayudar a sus
colaboradores. Esta es una de las competencias más importantes y que mejor diferencian a un
buen líder de uno no bueno.

Y es que las personas nos formamos gracias a las experiencias vividas, y los nuevos retos
desarrollan habilidades con las que podrán resolver futuros problemas. De modo que saber
cuándo actuar y cuando permanecer en la sombra es básico para liderar un equipo de trabajo.
Y es que cuando se tiene un buen líder, se recuerda por mucho tiempo. Un líder es
extremadamente valioso, a la vez que una persona excepcional y maravillosa.

Me gustaría finalizar el post con una fantástica frase de Grace Murray Hooper, científica de la
computación y militar estadounidense con grado de contraalmirante, «Tu dominas cosas, pero
lideras gente». Es una estupenda frase que resume todo lo que he hablado con anterioridad,
los líderes deben tener en cuenta en todo momento que lideran personas y no solo proyectos,
por lo que es importante y vital pararse a reflexionar sobre ello detenidamente.

El futuro de los pagos móviles

by 1 Comment

Con este post damos por finalizada la asignatura de auditoría, certificación y calidad de sistemas informáticos, han sido 5 entradas en las que hemos tratado el tema de los pagos móviles, tecnología en auge durante estos últimos años. Como bien decía, a lo largo de los meses anteriores, se han ido redactando distintos posts en los que se ha tratado la visión global de dichos pagos, el impacto que genera en el sector industrial, los riesgos a los que nos exponemos y, finalmente, las contramedidas existentes para disipar dichos peligros. Pues bien, en este último hablaré sobre el futuro de esta tecnología, gran incógnita para todos nosotros y que seguramente nos planteemos cosas como estas: ¿qué es lo que realmente nos espera en los próximos años?,¿conseguirán solventar los riesgos mencionados en el post 3?,¿supondrá el fin definitivo del dinero en metálico? A continuación, trataremos de dar respuesta a esas y muchas más preguntas que seguramente tendréis en vuestras cabezas.

 

De acuerdo con lo mencionado en previas entradas, los pagos realizados vía móvil han ido incrementándose de una manera increíble a lo largo de los años, ejemplo claro el de Starbucks, una de las mayores historias de éxito de pagos móviles hasta la fecha. De acuerdo con una investigación realizada recientemente por el Mobile Economic Forum, afirmaron que una quinta parte de los consumidores globales ya han realizado, al menos, un pago móvil en alguna tienda. Por esa razón, es lógico pensar que esto seguirá creciendo a pasos agigantados, sin embargo, si hasta el momento no lo ha hecho es debido a obstáculos como las preocupaciones de la ciudadanía acerca del fraude, privacidad y seguridad, falta de experiencia y dificultad de elección debido al gran abanico de aplicaciones existentes en el mercado actual y, finalmente, los viejos hábitos son, de momento, más rápidos y eficaces [1].

El futuro de los pagos móviles en China es algo más prometedor que en España, pues este país ya ha superado los 520 millones de usuarios y se prevé que estas cifras sigan aumentando con el paso del tiempo. Al contrario, a pesar de que dicha tecnología haya sido implantada en más de 600.000 comercios españoles, el 77% de nuestra población aún prefiere hacerlo en efectivo dada la falta de confianza en los procesos de seguridad que ofrecen. No cabe duda de que sería conveniente facilitar más información sobre estas innovaciones y destacasen las principales ventajas que ofrecen [2].

De acuerdo con la mesa redonda organizada por el confidencial, en colaboración con ING, al dinero en efectivo le quedan los días contados, pues cada día más comercios están adoptando estas tecnologías y, como ya se ha dicho en repetidas ocasiones, solo requerimos de una mayor adaptación. Los seres humanos buscamos tanto facilidad como beneficio y en esto es en lo que se centran las principales compañías, por ello, según un artículo de “El confidencial”, en cuestión de pocos años acabaremos pagando con un reloj, anillo o hasta con nuestras propias partes del cuerpo [3].

La biometría, sistema de identificación de la persona que se aplica en muchos procesos debido a la seguridad y comodidad que ofrece, va a coger relevancia en los próximos años, pues el presente año ha sufrido un aumento de 1.400 millones de usuarios que lo usan y se espera que estas cifras sigan en aumento. Las principales razones por las cuales las compañías pretenden adoptar esta tecnología en un futuro es gracias a la seguridad, confianza, fidelidad y mejor experiencia que ofrecen, un poco diferente a lo que suponen los actuales métodos de pagos móviles. Mastescard es una de las primeras compañías en subirse al carro y estoy totalmente seguro de que, debido al auge que existe en la actualidad por la biometría, miles de empresas comenzarán a adoptarlo. A continuación, adjunto un pequeño video ilustrativo presentado por dicha compañía: https://www.youtube.com/watch?time_continue=16&v=pKcCrj1budE

biometria

Otro aspecto que a simple vista puede parecer ficción pero que cada vez se acerca más es el pago mediante nuestras palmas de la mano, basándose en las venas y huellas existentes en las propias manos. Posiblemente, al igual que yo al principio, penséis que es algo imposible pero realmente no lo es, pues así lo muestra HAndBe, un startup española que apuesta por esta tecnología futurista que sin duda será adoptada por miles de famosas empresas por las ventajas que ofrecen frente al resto, como ya se ha dicho en diversas ocasiones, comodidad, fiabilidad y seguridad [5].

Concluyendo, disponer de tarjetas de crédito puede ser algo un tanto molesto dado que requerimos de una serie de contraseñas que en ocasiones pueden perderse, olvidarse y, por seguridad, deben modificarse cada cierto tiempo. Por esa razón, las compañías tratan de innovar en este ámbito mediante la creación de aplicaciones que permitan realizar pagos mediante nuestro dispositivo móvil e incluso con partes del cuerpo (vemos como es cada vez más común pagar con nuestra huella dactilar). Este último método puede ser una de las mejores elecciones dado que eliminamos la complejidad de depender de contraseñas o aplicaciones móviles que pueden ser hackeadas, por ello, es la principal área de investigación por las compañías innovadoras del momento.

Son sorprendentes las estadísticas que muestran el porcentaje de usuarios que todavía prefieren pagar en efectivo, sin embargo, no cabe duda de que con el paso de los años, seguramente pocos, las divisas que conocemos hoy en día acabarán por extinguirse de manera que todo funcione a través de internet, por esa razón, es importante hacer llegar a la ciudadanía las principales ventajas de éstos y qué mejor que con estos 5 posts relacionados con los pagos móviles.

 

Bibliografía

[1] Retailers, Tech Firms and Financial Services Providers. Acceso el 16 de octubre del 2018. https://www.knowledgeleader.com/knowledgeleader/content.nsf/web+content/hotissueretailerstechfirmsfinancialservicesproviders

[2] El futuro de los pagos por móvil. Acceso el 17/10/2018. http://blog.grupocajamar.com/el-futuro-de-los-pagos-por-movil/

[3] Así se prepara el futuro de los medios de pago. Acceso el 17/10/2018. https://www.elconfidencial.com/tecnologia/2017-12-13/pagos-movil-ing-mastercard-twyp-cash_1489431/

[4] Biometría. Acceso el 17/10/2018. https://es.wikipedia.org/wiki/Biometr%C3%ADa

[5] ¿Qué es lo que vamos a ver en el futuro de los pagos móviles? Acceso el 17/10/2018. http://mktefa.ditrendia.es/blog/qu%C3%A9-es-lo-que-vamos-a-ver-en-el-futuro-de-los-pagos-m%C3%B3viles

Los distintos controles de auditoría para los pagos móviles

by 1 Comment

Una vez vistos los múltiples riesgos existentes en los pagos móviles, debemos concienciar a todos sus usuarios a prevenirlos de manera que no se lleven las manos a la cabeza, por lo tanto, en la presente entrada describiremos los diferentes controles de auditoría que se deberán realizar para hacer un correcto uso de esta tecnología y correr los menores riesgos posibles.

La primera tarea que debe realizarse es definir los principales segmentos de riesgo de las aplicaciones de pagos móviles, de esta manera, será más fácil establecer un control más ordenado y en buenas condiciones. Tal y como aporta ISACA y se muestra en la imagen adjuntada en la parte inferior del presente párrafo, los 4 segmentos de riesgos básicos son las redes móviles, dispositivos móviles, servicios web y bases de datos, por lo que, a continuación, se incluirá una tabla en la que se detallan los controles clave para garantizar y fortalecer la seguridad en las apps móviles.

auditoria

Área Tema que controlar Controles Riesgo mitigado
Dispositivos móviles Almacenamiento de datos Cifrado de dicha información mediante estándares como 128, 192 o 256. Pérdida de datos
Dispositivos móviles Transmisión de datos Aplicar la encriptación de datos, así como diferentes protocolos de seguridad como HTTPS, TLS, FTPS. Pérdida de datos
Dispositivos móviles Ingeniería inversa

del código de la aplicación

 Uso de protecciones binarias. Pérdida de datos, acceso no autorizado
Dispositivos móviles Acceso a la aplicación y

seguridad

 Uso de gestor de aplicaciones MAM que gestione el acceso y despliegue de la app. Algunos ejemplos son MobileIron o

Airwatch

 Acceso no autorizado y fraude
Redes móviles Conectividad inalámbrica Transmisión de datos mediante protocolos criptográficos seguros como SSL o TLS.

 

 Pérdida y revelación de datos
Redes móviles Secuestro de sesión Las conexiones de las a través de TLS son a través de HTTPS en lugar de HTTP, de esta manera, nos aseguramos de conectarnos a una URL. Acceso no autorizado, pérdida de datos y revelación de estos
Redes móviles Suplantación de identidad Uso de protocolos de comunicación segura TLS, Secure Shell

(SSH) y HTTPS.

 Acceso no autorizado y pérdida de datos
Servicios Web Parche de operaciones para la

administración

 Uso de procesos para el

despliegue e identificación de parches del sistema.

 Pérdida de datos y acceso no autorizado
Servicios Web Gestión de acceso Roles correspondientemente definidos y cada uno con los accesos específicos. Pérdida de datos y acceso no autorizado
Servicios Web Ataque de fuerza bruta Evitar DoS y emplear técnica CAPTCHA de manera que se pueda obtener una clara distinción entre

humanos y computadoras.

 

 Fraude y acceso no autorizado
Bases de datos Acceso privilegiado Limitar acceso a la base de datos y llevar un exhaustivo control de las contraseñas del sistema. Fraude y acceso no autorizado
Bases de datos Inyección SQL Para cada tipo de sintaxis habrá unas reglas plenamente definidas con su respectiva valoración. Fraude y acceso no autorizado
Bases de datos Validación de la entrada de la app Uso de diferentes controles de lógica para una correcta protección

 

 Fraude y acceso no autorizado
Bases de datos Servicios de aplicaciones de BBDD Uso obligatorio de conexiones SSL, uso de HTTPS para el logeo de la app y un servidor de BBDD correctamente probado. Fraude y acceso no autorizado

Tal y como habéis visto en la figura situada en la parte superior, el auditor debe ser quien establezca las diferentes áreas a controlar en caso de posibles riesgos. Asimismo, para cada una de esas áreas, será importante señalar los riesgos evitados gracias al uso de éstos [1].

Por otro lado, en la entrada anterior prometí completar una de sus figuras relacionadas con otros muchos posibles riesgos referentes a las apps móviles para el pago, por ello, en la parte inferior se describen sus planes de contingencia correspondientes:

Tipo de objetivo perseguido Amenazas Riesgos Controles a realizar
Usuario Intercepción del tráfico Robo de identidad Uso de TPM y encriptación

 
Usuario Intercepción de datos de autenticación Robo de parámetros de autenticación, divulgación de información confidencial Autenticación de ambos usuarios (PIN) y firma digital verificado por tercera parte

 
Usuario Enmascaramiento del usuario Transacciones fraudulentas Autenticación de dos factores

 
Usuario Configuración y complejidad de configuración Reducción en la adopción de la tecnología Interfaz de usuario simplificada
Usuario Infección del dispositivo móvil Divulgación de datos y violación de la privacidad Control de usuario de las características de geolocalización,

privacidad criptográficamente apoyada.

 
Proveedor de servicio Ataques enmascarados Robo de servicios y modificación de mensajes Solicitar filtrado en base al lector

en dispositivo móvil

 
Proveedor de servicio Distribución ilegal de contenido como videos o juegos. Robo de contenido, piratería digital. Incorporación de DRM en el Smartphone

 
Proveedor de servicio Modificación de mensajes, respuesta de transacciones. Robo de servicio o contenido, pérdida de ingresos, transferencia ilegal de fondos Uso de protocolos criptográficos potentes y autenticación vía SMS

 

Como ya se ha dicho en diversas ocasiones, estamos tratando con una de las tecnologías que más riesgos corren del mercado actual, por ello, la tabla 2 muestra algunos otros riesgos que también podemos correr al hacer uso de todo ello.  Igualmente, el impacto que estos pueden causar es también objeto de investigación, luego, el auditor deberá priorizar cada uno de ellos en función de estos valores [2], tarea que ya se realizó en la entrada previa.

 

Con toda la información ya adjuntada podemos afirmar que los auditores de las tecnologías de la información son una pieza clave ya que deben de encargarse de realizar un proceso de vigilancia de manera que exista un control en situaciones de riesgo como las enumeradas en las ilustraciones anteriores. Además, deben de encargarse de las llamadas pruebas de penetración (práctica para poner a prueba un sistema informático, red o aplicación web para encontrar vulnerabilidades que un atacante podría explotar) cada vez que las aplicaciones sean actualizadas [3].

A modo de recapitulación, hasta el momento hemos descrito el marco general de las aplicaciones móviles para el pago, su impacto en la industria, los riesgos que conlleva su uso y, gracias a este último, ya sabemos la manera en la que poder solventarlos. Aun así, creo que es relevante exponer el futuro de éstas apps que todo utilizamos, de manera que conozcamos todo lo que se nos viene por delante y afrontarlo de la mejor manera posible.

 

Bibliografía

[1] Journal volume 4 2016 spanish Issues. Acceso el 08/10/18. https://www.isaca.org/Journal/archives/2016/volume-4/Documents/Journal-volume-4-2016-Spanish.pdf

[2] Mobile Payments: Risk, Security and Assurance Issues. Acceso el 09/10/18. https://www.isaca.org/Groups/Professional-English/pci-compliance/GroupDocuments/MobilePaymentsWP.pdf

[3] Prueba de penetración. Acceso el 12/10/2018. https://searchdatacenter.techtarget.com/es/definicion/Prueba-de-penetracion-pen-test

Riesgos de los pagos móviles

by 2 Comments

Tras los dos posts anteriores en los que hemos tratado aspectos generales acerca de los pagos móviles, en este nos vamos a centrar en uno de los temas que más nos pueden llegar a afectar, los posibles riesgos a los que estamos expuestos a la hora de utilizar dicha tecnología. Por ello, algunas de las preguntas a las que vamos a poner respuesta son las siguientes: ¿cuáles son los riesgos a los que estamos expuestos?, ¿qué tipo de pérdidas podemos sufrir en caso de ser hackeados? Es obvio que, tal y como yo hago, estamos constantemente adquiriendo productos vía móvil, de hecho, según informan algunos medios de comunicación, más de la mitad de los ciudadanos realizamos compras de manera semanal o incluso diaria. Es por esa razón que el uso de la banca móvil ha sufrido un gran incremento con el paso de los años, según una encuesta realizada por ISACA en 2015, el 87% de los 900 encuestados practicantes de la seguridad estimaron un aumento del uso de esta tecnología, y debemos concienciar y alertar a los usuarios de los posibles riesgos que pueden producirse [1].

 

grafico

En primer lugar, todos nuestros dispositivos móviles cuentan con una serie de sistemas de seguridad que nos protegen de los distintos riesgos que nos rodean, ya sean los sistemas de seguridad de pagos, usuarios, comunicación o de puntos finales, sin embargo, se han dado ciertos casos en los que hackers han podido traspasar esas barreras y causar graves problemas en la ciudadanía. De hecho, tal y como afirma el 47% de encuestados en la investigación de ISACA, los pagos móviles no son 100% seguros, estamos totalmente expuestos a diversos riesgos tanto controlables como no controlables por nosotros mismos que procederé a enumerar más adelante. Algunos de los sistemas de seguridad más importantes son la autenticación de dos factores, la tokenización, concepto que hace referencia al envío de señales aleatorias al punto de venta y la red de pago y los criptogramas, encargados de garantizar que los pagos móviles sean únicamente utilizados desde el propio dispositivo del usuario [2].

 

Algunos de los riegos de los pagos móviles:

Como bien os he comentado en reiteradas ocasiones, el uso de los dispositivos móviles para realizar pagos ha supuesto un incremento de los robos debidos a los riesgos que estos conllevan. Entre ellos encontramos dos claros tipos de objetivos que son frecuentemente perseguidos. A continuación, mostraré una ilustración donde se muestran los tipos de amenazas y riesgos que tienen lugar cuando hacemos uso de dicha tecnología, así como la escala (del 1 al 3) de probabilidad e impacto de estos:

Tipo de objetivo perseguido Amenazas Riesgos Probabilidad Impacto
Usuario Intercepción del tráfico Robo de identidad Baja 3
Usuario Intercepción de datos de autenticación Robo de parámetros de autenticación, divulgación de información confidencial Moderada 3
Usuario Enmascaramiento del usuario Transacciones fraudulentas Moderada 2
Usuario Configuración y complejidad de configuración Reducción en la adopción de la tecnología Baja 1
Usuario Infección del dispositivo móvil Divulgación de datos y violación de la privacidad Moderada 2
Proveedor de servicio Ataques enmascarados Robo de servicios y modificación de mensajes Baja 2
Proveedor de servicio Distribución ilegal de contenido como videos o juegos. Robo de contenido, piratería digital. Baja 2
Proveedor de servicio Modificación de mensajes, respuesta de transacciones. Robo de servicio o contenido, pérdida de ingresos, transferencia ilegal de fondos Moderada 3

Riesgos de la tecnología empleada

A todo lo anterior se le suman los riesgos producidos por el uso de tecnologías como NFC, tecnología de comunicación inalámbrica, de corto alcance y alta frecuencia. Conocemos a NFC como una de las más cómodas y seguras de la actualidad, no obstante, éstos no son invulnerables y la seguridad depende, como en la mayoría de las cosas, del uso que hagamos de ello. Por ello, viene bien que os comenté los peligros de estos sistemas de pago de manera que todos hagamos un correcto y seguro uso de ello.

Las escuchas de piratas informáticos son una de las principales amenazas a tener en cuenta ya que, a pesar de que sea complicado de que se den esos casos, nuestro smartphone se encuentra constantemente intercambiando datos bancarios, lo que podría ser interceptado por este tipo de personas y utilizarla para averiguar información de los usuarios.

Otro de los riesgos a los que estamos sometidos y que no dependen de nosotros reside en los posibles fallos de seguridad de los que disponen algunas de las aplicaciones de pago existentes en el mercado. Exactamente igual que en el caso anterior, si eso ocurre podría suponer un grave peligro para nuestra seguridad.

El uso del PIN del propio dispositivo móvil es uno de los mecanismos que más nos pueden ayudar a disipar los riesgos. En caso de carecer de ello, cualquier persona que se apropie de nuestros smartphones podrá acceder a las aplicaciones y obtener nuestra más personal y confidencial información. Por esa razón, muchas aplicaciones bancarias relacionadas con los pagos móviles ya implementan el uso de la propia huella digital como mecanismo para controlar este tipo de riesgos.

La activación constante del NFC en nuestros dispositivos también puede suponer que un hacker intercepte nuestro chip y se comunique con el haciéndose pasar por un sistema de pago normal y corriente para conseguir nuestros datos bancarios.

El último de los riesgos que procedo a comentar tiene una probabilidad de ocurrencia media, no obstante, el impacto que éste supone es increíble (podríamos tratarlo como nivel 3). Hablo sobre el robo de los dispositivos móviles, acción que vemos como aumenta de manera considerable con el paso del tiempo y que, ya que ahora es posible el pago sin contacto, se convierten en interesantes objetivos para los ladrones [3].

 

Me gustaría concluir el presente post animando a todos los usuarios a que lean la siguiente entrada que se publicará en el blog dado que trataré algunas de las mejores técnicas para poder disipar los riesgos existentes al utilizar estas técnicas. Asimismo, trataré de completar el cuadro adjuntado en la parte superior de manera que se listen todos los planes de contingencia pertinentes a los riesgos indicados. Espero que os haya servido para concienciaros acerca del tema y que lo tengáis en cuenta ya que están en juego nuestras tarjetas bancarias e información más privada.

Bibliografía

[1] Mobile Payments: Risk, Security and Assurance Issues. Acceso el 06/10/18. https://www.isaca.org/Groups/Professional-English/pci-compliance/GroupDocuments/MobilePaymentsWP.pdf

[2] ISACA Challenges Mobile Payment Security Perceptions. Acceso el 06/10/18.  https://www.isaca.org/About-ISACA/Press-room/News-Releases/2016/Pages/ISACA-Challenges-Mobile-Payment-Security-Perceptions.aspx

[3] Que es el NFC que están poniendo en las tarjetas de crédito. Ventajas y peligros. Acceso el 07/10/18. https://www.smythsys.es/6369/que-es-el-nfc-que-estan-poniendo-en-las-tarjetas-de-credito-ventajas-y-peligros/

 

Relevancia de los pagos móviles en la industria

by 1 Comment

Tras la visión general redactada en el previo post acerca de los pagos móviles, trataremos de explicar su relevancia en el mercado o la industria, así como mencionar algunas de las más conocidas apps para realizar dichas acciones. Como punto final, me gustaría comentar brevemente uno de los mayores escándalos de esta tecnología en el mercado.

Medios de comunicación como la vanguardia, afirman un terrible incremento del uso de dispositivos móviles para el pago de compras, de hecho, en un solo año se ha dado un abrumador aumento del 40% entre la población europea. Esto no es pura estadística, es perceptible como cada vez adquirimos más productos con nuestro móvil y dejamos de lado las carteras de dinero físico. Además, se estima que el mercado de los pagos móviles llegará en 2019 a los 142 mil millones de $ en países como EEUU, cifra que superará con creces al previsible volumen de mil millones de € en España, sorprendente, ¿verdad?

En la ilustración que se muestra en la parte inferior, se puede ver el incremento del volumen de pago por móvil realizados a nivel mundial en tan solo 9 meses, estando Europa en cabeza, tal y como apuntaba en el párrafo previo, así como las estimaciones del año que viene en EEUU. [1]

g1

Otros países como China también están dejando de lado las tarjetas de crédito y ya realizan pagos mediante códigos QR en cantidad de establecimientos como supermercados, gasolineras, taxis, etc. A diferencia de otros países, en China únicamente compiten dos servicios dedicadas a estos propósitos: Alipay y WeChat Pay. La primera de ellas es gratuita para todos aquellos usuarios menos recurrentes, sin embargo, cuando su uso se incremente, se incorporan pequeñas comisiones crecientes, pero siempre por debajo del 1,2% que tiene PayPal. [2]

Dicho esto, es perceptible como los diferentes dispositivos móviles disponibles en el mercado están cambiando tanto los negocios como nuestro día a día, no solo en el ámbito de la comunicación sino en el ámbito financiero. Por ese motivo, es el gran empresario capaz de crear páginas web en donde los clientes puedan realizar compras utilizando sus respectivos dispositivos móviles el principal favorecido de todo ello.

En el ecosistema del pago por móvil se incluyen los siguientes stakeholders: consumidores, proveedores de servicios financieros, proveedores de servicios de pago, proveedores de servicio y contenidos, proveedores de servicios web, desarrolladores de aplicaciones, fabricantes de dispositivos, etc. Asimismo, estas partes interesadas pueden adoptar multitud de formas: instituciones financieras, redes de tarjetas de débito / crédito, organizaciones de compensación / liquidación, procesadores de pago de terceros, operadores de MNO / inalámbricos, teléfonos, fabricantes de chips, clientes y comerciantes.

Estos son algunos de los ejemplos de las propuestas de valor para los stakeholders que se mencionaban en el párrafo anterior:

  • Operadores móviles: Los pagos móviles sin contacto son un medio que añaden valor a sus ofertas, lo que les permite aumentar sus ingresos promedio por usuario gracias a otros servicios como por ejemplo tarifas de transacción o alquiler de espacio en el teléfono. En otras palabras, cuanto realizamos transacciones, los diferentes operadores móviles tales como Vodafone, Orange, Movistar, etc, obtienen ciertos beneficios.
  • Bancos: El pago móvil sin contacto reduce tanto el uso del manejo de dinero en efectivo, como los costos de emisión de tarjetas. Además, da la oportunidad de brindar servicios bancarios sin la necesidad de tener que asistir presencialmente a un banco. Sin embargo, el sector bancario es uno de los más perjudicados por servicios como los que Bizum ofrece, el intercambio de dinero sin requerir de una entidad financiera.
  • Comerciantes: El pago por móvil ha acelerado el tiempo empleado en las transacciones, así como la generación de un mayor número de transacciones en micropagos. Además, ayudan a identificar al cliente potencial y la lealtad del cliente gracias al uso de cupones electrónicos almacenados en el propio teléfono móvil, por lo que este es uno de los sectores más beneficiados por el uso de esta tecnología.
  • Operadores de transporte: Cada vez más operadores de transporte ofrecen tarjetas sin contacto en sus webs, manera gracias a la cual obtienen un gran beneficio. ¿Quién no ha utilizado alguna vez PayPal?
  • Vendedores de entradas: Finalmente, vendedores de entradas de museos, eventos y cine que realizan sus ventas a través de páginas web, pueden enviar instantáneamente sus entradas a los clientes gracias a NFC, de manera que el tiempo de compra sea aún más veloz y menos costoso. [3]
  • La seguridad es otro de los grandes perjudicados, pues el uso de dicha tecnología incentiva los riesgos, algo que no ocurría con los métodos de pago tradicionales. Por ese motivo, las principales industrias dedicadas a esta área deberán centrarse de manera exhaustiva en solventarlos.

 

A continuación, me gustaría tratar los tres principales competidores de esta área en los que están involucrados compañías como Samsung, Apple y Google.

Nombre de la app Descripción de la app
Samsung Pay Samsung Pay es sistema de pago móvil que nos permite configurar nuestra cartera sin la necesidad de llevar dinero o tarjetas físicas mediante la tecnología NFC. Pese a que Apple Pay sea la aplicación más utilizada en estos momentos, los usuarios de esta app son los más comprometidos con un promedio de 7.3 transacciones cada mes por usuario frente al 5.5 de las restantes apps.
Apple Pay Sin duda Apple Pay es la predominante de las tres ya que representa el 77% de las transacciones frente a 17% de Samsung Pay y 6% de Google Pay. La principal razón de esta gran adopción fue gracias a ser la primera en ser comercializada, 2014. Finalmente, según estadísticas publicadas por Apple, predomina el usuario joven en su app, los cuales representan la mayor parte de los que usan esta tecnología.
Google Pay Google Pay es la que se sitúa tercera en el ranking de aplicaciones para estos propósitos, pues alberga la menor tasa de compromiso en sus usuarios como ser la menos empleada. Sin embargo, me gustaría comentar la presencia de una capa de seguridad adicional, gracias a la cual nunca compartes tu tarjeta real y nadie te robará dicha información. [4]

 

 

Tal y como adelantaba al inicio, me gustaría comentar una noticia realmente transcendente en el mundo de las aplicaciones móviles, la oleada de fraudes sufrida por Apple Pay 3 años atrás. La prestigiosa compañía de la manzana sufrió numerosas pérdidas (más de 24.000 millones de $) a partir de multitud de compras de altísimo valor realizadas por medio de identidades robadas. El problema reside en la sencillez de comprar en dicha app, bastaba con añadir la tarjeta de crédito o débito y listo, por esa razón algunos bancos ya obligan a sus clientes a llamar a su entidad financiera para activar la cuenta de Apple Pay, lo que demostraría que no se han utilizado datos de manera fraudulenta. [5]

 

En el próximo post hablaré de uno de los temas que más preocupan a la ciudadanía, los riesgos a los que nos enfrentamos al utilizar estos mecanismos.

 

Bibliografía

[1] “El pago móvil se triplica en Europa “ https://www.lavanguardia.com/economia_20161121_412015258908/pago-movil-triplica-europa.html (Consultado el 04/10/18).

[2] “ Como China está dejando obsoletas las tarjetas de crédito” https://www.xataka.com/empresas-y-economia/asi-como-china-esta-dejando-obsoletas-a-tarjetas-credito (Consultado el 04/10/18).

[3] “Mobile Payments: Risk, Security and Assurance Issues” https://www.isaca.org/Groups/Professional-English/pci-compliance/GroupDocuments/MobilePaymentsWP.pdf (Consultado el 05/10/18).

[4] “Apple Pay representa el 77% de los pagos móviles entre los usuarios de tarjetas de débito” https://www.hostelvending.com/noticias/noticias.php?n=9240 (Consultado el 06/10/18).

[5] “Apple sufre una oleada de fraudes en su sistema de pago por móviles” https://elpais.com/economia/2015/03/06/actualidad/1425635567_610620.html (Consultado el 07/10/18)

Visión global sobre los pagos móviles

by 1 Comment

La tecnología avanza a pasos agigantados y desde hace prácticamente unos años, hemos pasado de tener que pagar con dinero en metálico a poder realizar pagos vía móvil. De hecho, cada vez más compañías se suman al carro de dicha tecnología, en cuanto al sector financiero, bancos conocidos como BBVA, Santander o Kutxabank ya han empezado a implantarlos en sus apps. Asimismo, compañías de móvil como Samsung o Apple también han decidido desarrollar sus propias aplicaciones para este tipo de propósitos. Yo mismo me sorprendo como hemos podido pasar de tener que llevar una cartera con multitud de monedas y billetes en el bolsillo a poder hacerlo todo con nuestro móvil, y lo que nos espera… De hecho, la gente más despistada que se olvida las carteras lo agradecerán.

Dicho esto, hay una serie de incógnitas acerca de esta tecnología que aclararemos a lo largo de los distintos posts que se redactarán. Personalmente, como aficionado a las tecnologías móviles y sus aplicaciones, me hago una serie de preguntas que posiblemente mucha gente se las haga. ¿Qué se puede hacer con los pagos móviles y cómo funciona? ¿Qué tipos de pagos móviles hay? ¿Qué métodos existen para realizar pagos móviles? ¿Cuáles son sus ventajas y desventajas? ¿A qué riesgos estamos expuestos a la hora de emplear el pago móvil? ¿Qué será del pago móvil en el futuro?

Pero ¿qué es exactamente el pago móvil? La respuesta es muy fácil: hace referencia al conjunto de servicios que nos permiten realizar transacciones financieras a través de diferentes dispositivos móviles. Además del pago de servicios, dicho término incluye también la transferencia de dinero entre los amigos, por ejemplo. Algo realmente cómodo y útil que personalmente me sirve en aquellas situaciones en las que no dispongo de dinero en metálico y debo de dárselo de inmediato a mis amigos, familiares, etc [1].

 

shutterstock_271711736

Otro de los aspectos que me parecen interesantes y que creo que debéis conocer es el proceso que sigue dicha tecnología, 10 pasos que se describen tanto en la ilustración adjuntada en la parte inferior y su descripción detallada:

proceso pago movil

Paso 1: el usuario se registra en la aplicación de pago móvil correspondiente.

Paso 2: el cliente que utiliza la aplicación realiza una solicitud de pago de compra contra la plataforma interactiva móvil, punto (2) de la ilustración previa.

Paso 3: el tercer paso consiste en la presentación de dicha solicitud al sistema de pago móvil.

Paso 4: a continuación, el sistema de pago móvil recibirá la confirmación de negocio pertinente.

Paso 5: si el elemento del paso anterior confirma dicho pago, el sistema podrá procesar la solicitud del consumidor y realizar las operaciones que sean necesarias.

Paso 6: el órgano financiero puede confirmar la validez de la aplicación de transferencia de cuenta y retroalimenta al sistema.

Paso 7: una vez que el sistema móvil sea retroalimentado por el órgano financiero, dicho sistema podrá enviar a las cuentas de transferencias comerciales las noticias exitosas y las distintas solicitudes de los productos.

Paso 8: el octavo paso es el denominado como entrega o delivering en inglés. Consiste en la entrega al consumidor de ciertos bienes.

Paso 9: tras el paso 6, el sistema de pago móvil también entrega inmediatamente dicha retroalimentación a la plataforma interactiva móvil.

Paso final:  la plataforma interactiva móvil devuelve el resultado del pago que se obtiene del sistema de pago móvil al consumidor final [2].

 

Tipos de pago móvil

Una vez redactado que es el pago móvil, es lógico señalar los diferentes tipos existentes en la actualidad. Para ello, mostraré una pequeña tabla donde podemos ver sus principales características y ventajas.

Existen dos tipos de pago móvil, el pago por proximidad y los pagos remotos:

TIPOS DE PAGOS CARACTERÍSTICAS
 

Pago por proximidad

  

Este tipo hace referencia al pago en el que sus credenciales se encuentran almacenadas en el móvil y se intercambian por la nube. Asimismo, están basadas en las tecnologías NFC, tecnología que permite la comunicación inalámbrica y el intercambio de datos entre dos dispositivos que se encuentren a una distancia inferior a los 20 cm. Esto se ve frecuentemente en comercios como las tiendas de ropa.

 
 

Pagos remotos

  

Por otro lado, los pagos remotos se refieren a aquellos que se realizan vía navegador web móvil o simplemente mediante una aplicación instalada en dicho dispositivo. En este segundo tipo, el teléfono móvil se utiliza como dispositivo para autenticarse de manera remota.

 

 

Tecnologías de pagos móviles

Actualmente existen multitud de tecnologías para poder realizar pagos vía móvil, sin embargo, las que mencionaré y seguramente todos conozcamos son NFC y Bluetooth.

NFC es una tecnología de comunicación inalámbrica mediante la cual, dos dispositivos se conectan al emitir una señal y, simultáneamente, recibir otra señal. Pese a que NFC tiene una alta frecuencia, no permite la conexión entre dispositivos que se encuentren a más de 20 centímetros de distancia [3].

Otra de las tecnologías más escuchadas para realizar este tipo de pagos es Bluetooth Low Energy, estándar de Bluetooth para realizar pagos. Gracias a esta tecnología, el gasto energético ocasionado se reduce considerablemente dado que hace uso de diversos sensores capaces de reconocer la tecnología y evitar el tener que estar sacando constantemente el móvil. Creo que esta podría ser, en cuanto a comodidad se refiere, la mejor de ellas ya que, tal y como he mencionado anteriormente, no es necesario tener que acercar el dispositivo al datáfono a la hora de pagar. Sin embargo, no pienso lo mismo en cuanto a seguridad se trata, ya hablaré de ello en sucesivos posts.

 

Me gustaría concluir este primer blog aportando mi opinión acerca del pago móvil. Personalmente opino que es una muy buena tecnología que facilita nuestras vidas cotidianas, por el contrario, es un mecanismo al que aún le queda mucho por prosperar ya que actualmente existen cantidad de riesgos a los que nos exponemos a la hora de hacer uso de ellas, lo cual, antes de decantarnos por utilizar una opción u otra, debemos tener todo ello en cuenta.

 

Referencias

[1] Como pagar con el móvil. Acceso el 4 de octubre del 2018, https://www.comparaiso.es/moviles/guias/como-pagar-con-el-movil/

[2] Gestión de evaluación de riesgos para la seguridad de pago móvil. Acceso el 4 de octubre del 2018,  https://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=4682854

[3] NFC Pago móvil. Acceso el 4 de octubre del 2018,  https://www.rastreator.com/telefonia/articulos-destacados/nfc-pago-movil.aspx

La importancia de disponer de unos empleados motivados en las compañías

by Leave a Comment

Un elemento fundamental para las empresas es la motivación de sus empleados, la cual puede estar presente en ellos durante los primeros meses de trabajo. Por ello, la propia empresa debe de ser responsable de mantener dichos niveles para así evitar problemas tales como los conflictos internos, ausentismo, bajo rendimiento de trabajo, etc.

Al hilo de lo que se mencionaba al inicio, la motivación es primordial para garantizar un buen estado dentro de la empresa, sin embargo, gran cantidad de compañías mienten de forma descarada a sus empleados a la hora de realizar las entrevistas, de manera que presentan su empresa como la compañía perfecta. Un lugar en el que se respira un fabuloso ambiente de trabajo, sin conflictos ni malas vibras. Lo cierto es que a partir de ese mismo instante, los defectos de la empresa “real” producen una clara reducción de la motivación de sus empleados. Es aquí donde donde me identifico con lo que escribía, yo personalmente me he visto en esa situación en la que a medida que pasan los días, vas viendo que todo lo que te comentaban en la entrevista se iba esfumando día tras día. A modo de reflexión, ¿aguantarías en un trabajo de esta manera o, por el contrario, te marcharías?. La verdad es que hay que tener valentía y dejar ver tus valores y principios,

Otro de los grandes debates gira en torno al concepto del salario, según multitud de ciudadanos, si cobrasen una importante cantidad de dinero estarían motivados. La realidad no es esa, eso en un tiempo es indiferente para nosotros, la motivación no se mide con el dinero sino con planes de carrera reales y bien gestionados.

 

La conflictividad laboral es otro de los temas que me gustaría tocar ya que ciertas empresas creen que estos conflictos internos entre trabajadores deben de ser resueltos únicamente por los involucrados, puesto que si interviniesen, podrían incentivar dichas peleas dentro de ella. La solución más fácil y sencilla que muchas empresas proponen es la que se ha expuesto previamente, no intervenir para no producir más conflictos, sin embargo, la organización debe de ser quien tome las medidas adecuadas para resolver dichos problemas, además de realizar comunicados a sus empleados en el momento en que dichos problemas se hayan disipado. ¿Es una buena empresa aquella que se despreocupa de sus empleados? [1].

Todos los puntos de los que se han hablado son los que producen una falta de motivación entre los empleados, por ello, las áreas de empleo deben ofrecer a los ciudadanos una visión equilibrada y transparente acerca de las empresas, ya que no existe la compañía perfecta como tal.  Asimismo, tal y como diversos medios de comunicación afirman, las empresas eficaces son aquellas con buena administración de recursos humanos, con acciones transparentes y con buena reputación corporativa. Creo que este es un tema de gran importancia del que muchísimas empresas deberían de tomar ejemplo y tener simplemente un poco de humanidad.

 

Referencias

[1]  7 claves para mantener motivación en el trabajo. Acceso el 3 de octubre del 2018, http://noticias.universia.es/consejos-profesionales/noticia/2015/04/29/1124108/7-claves-mantener-motivacion-trabajo.html

Escudo Universidad de deusto