Pagos móviles

El futuro de los pagos móviles

12 noviembre, 2018 by Alvaro Manjarrés 1 Comment

Con este post damos por finalizada la asignatura de auditoría, certificación y calidad de sistemas informáticos, han sido 5 entradas en las que hemos tratado el tema de los pagos móviles, tecnología en auge durante estos últimos años. Como bien decía, a lo largo de los meses anteriores, se han ido redactando distintos posts en los que se ha tratado la visión global de dichos pagos, el impacto que genera en el sector industrial, los riesgos a los que nos exponemos y, finalmente, las contramedidas existentes para disipar dichos peligros. Pues bien, en este último hablaré sobre el futuro de esta tecnología, gran incógnita para todos nosotros y que seguramente nos planteemos cosas como estas: ¿qué es lo que realmente nos espera en los próximos años?,¿conseguirán solventar los riesgos mencionados en el post 3?,¿supondrá el fin definitivo del dinero en metálico? A continuación, trataremos de dar respuesta a esas y muchas más preguntas que seguramente tendréis en vuestras cabezas.

De acuerdo con lo mencionado en previas entradas, los pagos realizados vía móvil han ido incrementándose de una manera increíble a lo largo de los años, ejemplo claro el de Starbucks, una de las mayores historias de éxito de pagos móviles hasta la fecha. De acuerdo con una investigación realizada recientemente por el Mobile Economic Forum, afirmaron que una quinta parte de los consumidores globales ya han realizado, al menos, un pago móvil en alguna tienda. Por esa razón, es lógico pensar que esto seguirá creciendo a pasos agigantados, sin embargo, si hasta el momento no lo ha hecho es debido a obstáculos como las preocupaciones de la ciudadanía acerca del fraude, privacidad y seguridad, falta de experiencia y dificultad de elección debido al gran abanico de aplicaciones existentes en el mercado actual y, finalmente, los viejos hábitos son, de momento, más rápidos y eficaces [1].

El futuro de los pagos móviles en China es algo más prometedor que en España, pues este país ya ha superado los 520 millones de usuarios y se prevé que estas cifras sigan aumentando con el paso del tiempo. Al contrario, a pesar de que dicha tecnología haya sido implantada en más de 600.000 comercios españoles, el 77% de nuestra población aún prefiere hacerlo en efectivo dada la falta de confianza en los procesos de seguridad que ofrecen. No cabe duda de que sería conveniente facilitar más información sobre estas innovaciones y destacasen las principales ventajas que ofrecen [2].

De acuerdo con la mesa redonda organizada por el confidencial, en colaboración con ING, al dinero en efectivo le quedan los días contados, pues cada día más comercios están adoptando estas tecnologías y, como ya se ha dicho en repetidas ocasiones, solo requerimos de una mayor adaptación. Los seres humanos buscamos tanto facilidad como beneficio y en esto es en lo que se centran las principales compañías, por ello, según un artículo de “El confidencial”, en cuestión de pocos años acabaremos pagando con un reloj, anillo o hasta con nuestras propias partes del cuerpo [3].

La biometría, sistema de identificación de la persona que se aplica en muchos procesos debido a la seguridad y comodidad que ofrece, va a coger relevancia en los próximos años, pues el presente año ha sufrido un aumento de 1.400 millones de usuarios que lo usan y se espera que estas cifras sigan en aumento. Las principales razones por las cuales las compañías pretenden adoptar esta tecnología en un futuro es gracias a la seguridad, confianza, fidelidad y mejor experiencia que ofrecen, un poco diferente a lo que suponen los actuales métodos de pagos móviles. Mastescard es una de las primeras compañías en subirse al carro y estoy totalmente seguro de que, debido al auge que existe en la actualidad por la biometría, miles de empresas comenzarán a adoptarlo. A continuación, adjunto un pequeño video ilustrativo presentado por dicha compañía: https://www.youtube.com/watch?time_continue=16&v=pKcCrj1budE

Otro aspecto que a simple vista puede parecer ficción pero que cada vez se acerca más es el pago mediante nuestras palmas de la mano, basándose en las venas y huellas existentes en las propias manos. Posiblemente, al igual que yo al principio, penséis que es algo imposible pero realmente no lo es, pues así lo muestra HAndBe, un startup española que apuesta por esta tecnología futurista que sin duda será adoptada por miles de famosas empresas por las ventajas que ofrecen frente al resto, como ya se ha dicho en diversas ocasiones, comodidad, fiabilidad y seguridad [5].

Concluyendo, disponer de tarjetas de crédito puede ser algo un tanto molesto dado que requerimos de una serie de contraseñas que en ocasiones pueden perderse, olvidarse y, por seguridad, deben modificarse cada cierto tiempo. Por esa razón, las compañías tratan de innovar en este ámbito mediante la creación de aplicaciones que permitan realizar pagos mediante nuestro dispositivo móvil e incluso con partes del cuerpo (vemos como es cada vez más común pagar con nuestra huella dactilar). Este último método puede ser una de las mejores elecciones dado que eliminamos la complejidad de depender de contraseñas o aplicaciones móviles que pueden ser hackeadas, por ello, es la principal área de investigación por las compañías innovadoras del momento.

Son sorprendentes las estadísticas que muestran el porcentaje de usuarios que todavía prefieren pagar en efectivo, sin embargo, no cabe duda de que con el paso de los años, seguramente pocos, las divisas que conocemos hoy en día acabarán por extinguirse de manera que todo funcione a través de internet, por esa razón, es importante hacer llegar a la ciudadanía las principales ventajas de éstos y qué mejor que con estos 5 posts relacionados con los pagos móviles.

Bibliografía

[1] Retailers, Tech Firms and Financial Services Providers. Acceso el 16 de octubre del 2018. https://www.knowledgeleader.com/knowledgeleader/content.nsf/web+content/hotissueretailerstechfirmsfinancialservicesproviders

[2] El futuro de los pagos por móvil. Acceso el 17/10/2018. http://blog.grupocajamar.com/el-futuro-de-los-pagos-por-movil/

[3] Así se prepara el futuro de los medios de pago. Acceso el 17/10/2018. https://www.elconfidencial.com/tecnologia/2017-12-13/pagos-movil-ing-mastercard-twyp-cash_1489431/

[4] Biometría. Acceso el 17/10/2018. https://es.wikipedia.org/wiki/Biometr%C3%ADa

[5] ¿Qué es lo que vamos a ver en el futuro de los pagos móviles? Acceso el 17/10/2018. http://mktefa.ditrendia.es/blog/qu%C3%A9-es-lo-que-vamos-a-ver-en-el-futuro-de-los-pagos-m%C3%B3viles

Los distintos controles de auditoría para los pagos móviles

5 noviembre, 2018 by Alvaro Manjarrés 1 Comment

Una vez vistos los múltiples riesgos existentes en los pagos móviles, debemos concienciar a todos sus usuarios a prevenirlos de manera que no se lleven las manos a la cabeza, por lo tanto, en la presente entrada describiremos los diferentes controles de auditoría que se deberán realizar para hacer un correcto uso de esta tecnología y correr los menores riesgos posibles.

La primera tarea que debe realizarse es definir los principales segmentos de riesgo de las aplicaciones de pagos móviles, de esta manera, será más fácil establecer un control más ordenado y en buenas condiciones. Tal y como aporta ISACA y se muestra en la imagen adjuntada en la parte inferior del presente párrafo, los 4 segmentos de riesgos básicos son las redes móviles, dispositivos móviles, servicios web y bases de datos, por lo que, a continuación, se incluirá una tabla en la que se detallan los controles clave para garantizar y fortalecer la seguridad en las apps móviles.

Área	Tema que controlar	Controles	Riesgo mitigado
Dispositivos móviles	Almacenamiento de datos	Cifrado de dicha información mediante estándares como 128, 192 o 256.	Pérdida de datos
Dispositivos móviles	Transmisión de datos	Aplicar la encriptación de datos, así como diferentes protocolos de seguridad como HTTPS, TLS, FTPS.	Pérdida de datos
Dispositivos móviles	Ingeniería inversa del código de la aplicación	Uso de protecciones binarias.	Pérdida de datos, acceso no autorizado
Dispositivos móviles	Acceso a la aplicación y seguridad	Uso de gestor de aplicaciones MAM que gestione el acceso y despliegue de la app. Algunos ejemplos son MobileIron o Airwatch	Acceso no autorizado y fraude
Redes móviles	Conectividad inalámbrica	Transmisión de datos mediante protocolos criptográficos seguros como SSL o TLS.	Pérdida y revelación de datos
Redes móviles	Secuestro de sesión	Las conexiones de las a través de TLS son a través de HTTPS en lugar de HTTP, de esta manera, nos aseguramos de conectarnos a una URL.	Acceso no autorizado, pérdida de datos y revelación de estos
Redes móviles	Suplantación de identidad	Uso de protocolos de comunicación segura TLS, Secure Shell (SSH) y HTTPS.	Acceso no autorizado y pérdida de datos
Servicios Web	Parche de operaciones para la administración	Uso de procesos para el despliegue e identificación de parches del sistema.	Pérdida de datos y acceso no autorizado
Servicios Web	Gestión de acceso	Roles correspondientemente definidos y cada uno con los accesos específicos.	Pérdida de datos y acceso no autorizado
Servicios Web	Ataque de fuerza bruta	Evitar DoS y emplear técnica CAPTCHA de manera que se pueda obtener una clara distinción entre humanos y computadoras.	Fraude y acceso no autorizado
Bases de datos	Acceso privilegiado	Limitar acceso a la base de datos y llevar un exhaustivo control de las contraseñas del sistema.	Fraude y acceso no autorizado
Bases de datos	Inyección SQL	Para cada tipo de sintaxis habrá unas reglas plenamente definidas con su respectiva valoración.	Fraude y acceso no autorizado
Bases de datos	Validación de la entrada de la app	Uso de diferentes controles de lógica para una correcta protección	Fraude y acceso no autorizado
Bases de datos	Servicios de aplicaciones de BBDD	Uso obligatorio de conexiones SSL, uso de HTTPS para el logeo de la app y un servidor de BBDD correctamente probado.	Fraude y acceso no autorizado

Tal y como habéis visto en la figura situada en la parte superior, el auditor debe ser quien establezca las diferentes áreas a controlar en caso de posibles riesgos. Asimismo, para cada una de esas áreas, será importante señalar los riesgos evitados gracias al uso de éstos [1].

Por otro lado, en la entrada anterior prometí completar una de sus figuras relacionadas con otros muchos posibles riesgos referentes a las apps móviles para el pago, por ello, en la parte inferior se describen sus planes de contingencia correspondientes:

Tipo de objetivo perseguido	Amenazas	Riesgos	Controles a realizar
Usuario	Intercepción del tráfico	Robo de identidad	Uso de TPM y encriptación
Usuario	Intercepción de datos de autenticación	Robo de parámetros de autenticación, divulgación de información confidencial	Autenticación de ambos usuarios (PIN) y firma digital verificado por tercera parte
Usuario	Enmascaramiento del usuario	Transacciones fraudulentas	Autenticación de dos factores
Usuario	Configuración y complejidad de configuración	Reducción en la adopción de la tecnología	Interfaz de usuario simplificada
Usuario	Infección del dispositivo móvil	Divulgación de datos y violación de la privacidad	Control de usuario de las características de geolocalización, privacidad criptográficamente apoyada.
Proveedor de servicio	Ataques enmascarados	Robo de servicios y modificación de mensajes	Solicitar filtrado en base al lector en dispositivo móvil
Proveedor de servicio	Distribución ilegal de contenido como videos o juegos.	Robo de contenido, piratería digital.	Incorporación de DRM en el Smartphone
Proveedor de servicio	Modificación de mensajes, respuesta de transacciones.	Robo de servicio o contenido, pérdida de ingresos, transferencia ilegal de fondos	Uso de protocolos criptográficos potentes y autenticación vía SMS

Como ya se ha dicho en diversas ocasiones, estamos tratando con una de las tecnologías que más riesgos corren del mercado actual, por ello, la tabla 2 muestra algunos otros riesgos que también podemos correr al hacer uso de todo ello. Igualmente, el impacto que estos pueden causar es también objeto de investigación, luego, el auditor deberá priorizar cada uno de ellos en función de estos valores [2], tarea que ya se realizó en la entrada previa.

Con toda la información ya adjuntada podemos afirmar que los auditores de las tecnologías de la información son una pieza clave ya que deben de encargarse de realizar un proceso de vigilancia de manera que exista un control en situaciones de riesgo como las enumeradas en las ilustraciones anteriores. Además, deben de encargarse de las llamadas pruebas de penetración (práctica para poner a prueba un sistema informático, red o aplicación web para encontrar vulnerabilidades que un atacante podría explotar) cada vez que las aplicaciones sean actualizadas [3].

A modo de recapitulación, hasta el momento hemos descrito el marco general de las aplicaciones móviles para el pago, su impacto en la industria, los riesgos que conlleva su uso y, gracias a este último, ya sabemos la manera en la que poder solventarlos. Aun así, creo que es relevante exponer el futuro de éstas apps que todo utilizamos, de manera que conozcamos todo lo que se nos viene por delante y afrontarlo de la mejor manera posible.

Bibliografía

[1] Journal volume 4 2016 spanish Issues. Acceso el 08/10/18. https://www.isaca.org/Journal/archives/2016/volume-4/Documents/Journal-volume-4-2016-Spanish.pdf

[2] Mobile Payments: Risk, Security and Assurance Issues. Acceso el 09/10/18. https://www.isaca.org/Groups/Professional-English/pci-compliance/GroupDocuments/MobilePaymentsWP.pdf

[3] Prueba de penetración. Acceso el 12/10/2018. https://searchdatacenter.techtarget.com/es/definicion/Prueba-de-penetracion-pen-test

Riesgos de los pagos móviles

24 octubre, 2018 by Alvaro Manjarrés 2 Comments

Tras los dos posts anteriores en los que hemos tratado aspectos generales acerca de los pagos móviles, en este nos vamos a centrar en uno de los temas que más nos pueden llegar a afectar, los posibles riesgos a los que estamos expuestos a la hora de utilizar dicha tecnología. Por ello, algunas de las preguntas a las que vamos a poner respuesta son las siguientes: ¿cuáles son los riesgos a los que estamos expuestos?, ¿qué tipo de pérdidas podemos sufrir en caso de ser hackeados? Es obvio que, tal y como yo hago, estamos constantemente adquiriendo productos vía móvil, de hecho, según informan algunos medios de comunicación, más de la mitad de los ciudadanos realizamos compras de manera semanal o incluso diaria. Es por esa razón que el uso de la banca móvil ha sufrido un gran incremento con el paso de los años, según una encuesta realizada por ISACA en 2015, el 87% de los 900 encuestados practicantes de la seguridad estimaron un aumento del uso de esta tecnología, y debemos concienciar y alertar a los usuarios de los posibles riesgos que pueden producirse [1].

En primer lugar, todos nuestros dispositivos móviles cuentan con una serie de sistemas de seguridad que nos protegen de los distintos riesgos que nos rodean, ya sean los sistemas de seguridad de pagos, usuarios, comunicación o de puntos finales, sin embargo, se han dado ciertos casos en los que hackers han podido traspasar esas barreras y causar graves problemas en la ciudadanía. De hecho, tal y como afirma el 47% de encuestados en la investigación de ISACA, los pagos móviles no son 100% seguros, estamos totalmente expuestos a diversos riesgos tanto controlables como no controlables por nosotros mismos que procederé a enumerar más adelante. Algunos de los sistemas de seguridad más importantes son la autenticación de dos factores, la tokenización, concepto que hace referencia al envío de señales aleatorias al punto de venta y la red de pago y los criptogramas, encargados de garantizar que los pagos móviles sean únicamente utilizados desde el propio dispositivo del usuario [2].

Algunos de los riegos de los pagos móviles:

Como bien os he comentado en reiteradas ocasiones, el uso de los dispositivos móviles para realizar pagos ha supuesto un incremento de los robos debidos a los riesgos que estos conllevan. Entre ellos encontramos dos claros tipos de objetivos que son frecuentemente perseguidos. A continuación, mostraré una ilustración donde se muestran los tipos de amenazas y riesgos que tienen lugar cuando hacemos uso de dicha tecnología, así como la escala (del 1 al 3) de probabilidad e impacto de estos:

Tipo de objetivo perseguido	Amenazas	Riesgos	Probabilidad	Impacto
Usuario	Intercepción del tráfico	Robo de identidad	Baja	3
Usuario	Intercepción de datos de autenticación	Robo de parámetros de autenticación, divulgación de información confidencial	Moderada	3
Usuario	Enmascaramiento del usuario	Transacciones fraudulentas	Moderada	2
Usuario	Configuración y complejidad de configuración	Reducción en la adopción de la tecnología	Baja	1
Usuario	Infección del dispositivo móvil	Divulgación de datos y violación de la privacidad	Moderada	2
Proveedor de servicio	Ataques enmascarados	Robo de servicios y modificación de mensajes	Baja	2
Proveedor de servicio	Distribución ilegal de contenido como videos o juegos.	Robo de contenido, piratería digital.	Baja	2
Proveedor de servicio	Modificación de mensajes, respuesta de transacciones.	Robo de servicio o contenido, pérdida de ingresos, transferencia ilegal de fondos	Moderada	3

Riesgos de la tecnología empleada

A todo lo anterior se le suman los riesgos producidos por el uso de tecnologías como NFC, tecnología de comunicación inalámbrica, de corto alcance y alta frecuencia. Conocemos a NFC como una de las más cómodas y seguras de la actualidad, no obstante, éstos no son invulnerables y la seguridad depende, como en la mayoría de las cosas, del uso que hagamos de ello. Por ello, viene bien que os comenté los peligros de estos sistemas de pago de manera que todos hagamos un correcto y seguro uso de ello.

Las escuchas de piratas informáticos son una de las principales amenazas a tener en cuenta ya que, a pesar de que sea complicado de que se den esos casos, nuestro smartphone se encuentra constantemente intercambiando datos bancarios, lo que podría ser interceptado por este tipo de personas y utilizarla para averiguar información de los usuarios.

Otro de los riesgos a los que estamos sometidos y que no dependen de nosotros reside en los posibles fallos de seguridad de los que disponen algunas de las aplicaciones de pago existentes en el mercado. Exactamente igual que en el caso anterior, si eso ocurre podría suponer un grave peligro para nuestra seguridad.

El uso del PIN del propio dispositivo móvil es uno de los mecanismos que más nos pueden ayudar a disipar los riesgos. En caso de carecer de ello, cualquier persona que se apropie de nuestros smartphones podrá acceder a las aplicaciones y obtener nuestra más personal y confidencial información. Por esa razón, muchas aplicaciones bancarias relacionadas con los pagos móviles ya implementan el uso de la propia huella digital como mecanismo para controlar este tipo de riesgos.

La activación constante del NFC en nuestros dispositivos también puede suponer que un hacker intercepte nuestro chip y se comunique con el haciéndose pasar por un sistema de pago normal y corriente para conseguir nuestros datos bancarios.

El último de los riesgos que procedo a comentar tiene una probabilidad de ocurrencia media, no obstante, el impacto que éste supone es increíble (podríamos tratarlo como nivel 3). Hablo sobre el robo de los dispositivos móviles, acción que vemos como aumenta de manera considerable con el paso del tiempo y que, ya que ahora es posible el pago sin contacto, se convierten en interesantes objetivos para los ladrones [3].

Me gustaría concluir el presente post animando a todos los usuarios a que lean la siguiente entrada que se publicará en el blog dado que trataré algunas de las mejores técnicas para poder disipar los riesgos existentes al utilizar estas técnicas. Asimismo, trataré de completar el cuadro adjuntado en la parte superior de manera que se listen todos los planes de contingencia pertinentes a los riesgos indicados. Espero que os haya servido para concienciaros acerca del tema y que lo tengáis en cuenta ya que están en juego nuestras tarjetas bancarias e información más privada.

Bibliografía

[1] Mobile Payments: Risk, Security and Assurance Issues. Acceso el 06/10/18. https://www.isaca.org/Groups/Professional-English/pci-compliance/GroupDocuments/MobilePaymentsWP.pdf

[2] ISACA Challenges Mobile Payment Security Perceptions. Acceso el 06/10/18. https://www.isaca.org/About-ISACA/Press-room/News-Releases/2016/Pages/ISACA-Challenges-Mobile-Payment-Security-Perceptions.aspx

[3] Que es el NFC que están poniendo en las tarjetas de crédito. Ventajas y peligros. Acceso el 07/10/18. https://www.smythsys.es/6369/que-es-el-nfc-que-estan-poniendo-en-las-tarjetas-de-credito-ventajas-y-peligros/

Relevancia de los pagos móviles en la industria

18 octubre, 2018 by Alvaro Manjarrés 1 Comment

Tras la visión general redactada en el previo post acerca de los pagos móviles, trataremos de explicar su relevancia en el mercado o la industria, así como mencionar algunas de las más conocidas apps para realizar dichas acciones. Como punto final, me gustaría comentar brevemente uno de los mayores escándalos de esta tecnología en el mercado.

Medios de comunicación como la vanguardia, afirman un terrible incremento del uso de dispositivos móviles para el pago de compras, de hecho, en un solo año se ha dado un abrumador aumento del 40% entre la población europea. Esto no es pura estadística, es perceptible como cada vez adquirimos más productos con nuestro móvil y dejamos de lado las carteras de dinero físico. Además, se estima que el mercado de los pagos móviles llegará en 2019 a los 142 mil millones de $ en países como EEUU, cifra que superará con creces al previsible volumen de mil millones de € en España, sorprendente, ¿verdad?

En la ilustración que se muestra en la parte inferior, se puede ver el incremento del volumen de pago por móvil realizados a nivel mundial en tan solo 9 meses, estando Europa en cabeza, tal y como apuntaba en el párrafo previo, así como las estimaciones del año que viene en EEUU. [1]

Otros países como China también están dejando de lado las tarjetas de crédito y ya realizan pagos mediante códigos QR en cantidad de establecimientos como supermercados, gasolineras, taxis, etc. A diferencia de otros países, en China únicamente compiten dos servicios dedicadas a estos propósitos: Alipay y WeChat Pay. La primera de ellas es gratuita para todos aquellos usuarios menos recurrentes, sin embargo, cuando su uso se incremente, se incorporan pequeñas comisiones crecientes, pero siempre por debajo del 1,2% que tiene PayPal. [2]

Dicho esto, es perceptible como los diferentes dispositivos móviles disponibles en el mercado están cambiando tanto los negocios como nuestro día a día, no solo en el ámbito de la comunicación sino en el ámbito financiero. Por ese motivo, es el gran empresario capaz de crear páginas web en donde los clientes puedan realizar compras utilizando sus respectivos dispositivos móviles el principal favorecido de todo ello.

En el ecosistema del pago por móvil se incluyen los siguientes stakeholders: consumidores, proveedores de servicios financieros, proveedores de servicios de pago, proveedores de servicio y contenidos, proveedores de servicios web, desarrolladores de aplicaciones, fabricantes de dispositivos, etc. Asimismo, estas partes interesadas pueden adoptar multitud de formas: instituciones financieras, redes de tarjetas de débito / crédito, organizaciones de compensación / liquidación, procesadores de pago de terceros, operadores de MNO / inalámbricos, teléfonos, fabricantes de chips, clientes y comerciantes.

Estos son algunos de los ejemplos de las propuestas de valor para los stakeholders que se mencionaban en el párrafo anterior:

Operadores móviles: Los pagos móviles sin contacto son un medio que añaden valor a sus ofertas, lo que les permite aumentar sus ingresos promedio por usuario gracias a otros servicios como por ejemplo tarifas de transacción o alquiler de espacio en el teléfono. En otras palabras, cuanto realizamos transacciones, los diferentes operadores móviles tales como Vodafone, Orange, Movistar, etc, obtienen ciertos beneficios.
Bancos: El pago móvil sin contacto reduce tanto el uso del manejo de dinero en efectivo, como los costos de emisión de tarjetas. Además, da la oportunidad de brindar servicios bancarios sin la necesidad de tener que asistir presencialmente a un banco. Sin embargo, el sector bancario es uno de los más perjudicados por servicios como los que Bizum ofrece, el intercambio de dinero sin requerir de una entidad financiera.
Comerciantes: El pago por móvil ha acelerado el tiempo empleado en las transacciones, así como la generación de un mayor número de transacciones en micropagos. Además, ayudan a identificar al cliente potencial y la lealtad del cliente gracias al uso de cupones electrónicos almacenados en el propio teléfono móvil, por lo que este es uno de los sectores más beneficiados por el uso de esta tecnología.
Operadores de transporte: Cada vez más operadores de transporte ofrecen tarjetas sin contacto en sus webs, manera gracias a la cual obtienen un gran beneficio. ¿Quién no ha utilizado alguna vez PayPal?
Vendedores de entradas: Finalmente, vendedores de entradas de museos, eventos y cine que realizan sus ventas a través de páginas web, pueden enviar instantáneamente sus entradas a los clientes gracias a NFC, de manera que el tiempo de compra sea aún más veloz y menos costoso. [3]
La seguridad es otro de los grandes perjudicados, pues el uso de dicha tecnología incentiva los riesgos, algo que no ocurría con los métodos de pago tradicionales. Por ese motivo, las principales industrias dedicadas a esta área deberán centrarse de manera exhaustiva en solventarlos.

A continuación, me gustaría tratar los tres principales competidores de esta área en los que están involucrados compañías como Samsung, Apple y Google.

Nombre de la app	Descripción de la app
Samsung Pay	Samsung Pay es sistema de pago móvil que nos permite configurar nuestra cartera sin la necesidad de llevar dinero o tarjetas físicas mediante la tecnología NFC. Pese a que Apple Pay sea la aplicación más utilizada en estos momentos, los usuarios de esta app son los más comprometidos con un promedio de 7.3 transacciones cada mes por usuario frente al 5.5 de las restantes apps.
Apple Pay	Sin duda Apple Pay es la predominante de las tres ya que representa el 77% de las transacciones frente a 17% de Samsung Pay y 6% de Google Pay. La principal razón de esta gran adopción fue gracias a ser la primera en ser comercializada, 2014. Finalmente, según estadísticas publicadas por Apple, predomina el usuario joven en su app, los cuales representan la mayor parte de los que usan esta tecnología.
Google Pay	Google Pay es la que se sitúa tercera en el ranking de aplicaciones para estos propósitos, pues alberga la menor tasa de compromiso en sus usuarios como ser la menos empleada. Sin embargo, me gustaría comentar la presencia de una capa de seguridad adicional, gracias a la cual nunca compartes tu tarjeta real y nadie te robará dicha información. [4]

Tal y como adelantaba al inicio, me gustaría comentar una noticia realmente transcendente en el mundo de las aplicaciones móviles, la oleada de fraudes sufrida por Apple Pay 3 años atrás. La prestigiosa compañía de la manzana sufrió numerosas pérdidas (más de 24.000 millones de $) a partir de multitud de compras de altísimo valor realizadas por medio de identidades robadas. El problema reside en la sencillez de comprar en dicha app, bastaba con añadir la tarjeta de crédito o débito y listo, por esa razón algunos bancos ya obligan a sus clientes a llamar a su entidad financiera para activar la cuenta de Apple Pay, lo que demostraría que no se han utilizado datos de manera fraudulenta. [5]

En el próximo post hablaré de uno de los temas que más preocupan a la ciudadanía, los riesgos a los que nos enfrentamos al utilizar estos mecanismos.

Bibliografía

[1] “El pago móvil se triplica en Europa “ https://www.lavanguardia.com/economia_20161121_412015258908/pago-movil-triplica-europa.html (Consultado el 04/10/18).

[2] “ Como China está dejando obsoletas las tarjetas de crédito” https://www.xataka.com/empresas-y-economia/asi-como-china-esta-dejando-obsoletas-a-tarjetas-credito (Consultado el 04/10/18).

[3] “Mobile Payments: Risk, Security and Assurance Issues” https://www.isaca.org/Groups/Professional-English/pci-compliance/GroupDocuments/MobilePaymentsWP.pdf (Consultado el 05/10/18).

[4] “Apple Pay representa el 77% de los pagos móviles entre los usuarios de tarjetas de débito” https://www.hostelvending.com/noticias/noticias.php?n=9240 (Consultado el 06/10/18).

[5] “Apple sufre una oleada de fraudes en su sistema de pago por móviles” https://elpais.com/economia/2015/03/06/actualidad/1425635567_610620.html (Consultado el 07/10/18)

Visión global sobre los pagos móviles

15 octubre, 2018 by Alvaro Manjarrés 1 Comment

La tecnología avanza a pasos agigantados y desde hace prácticamente unos años, hemos pasado de tener que pagar con dinero en metálico a poder realizar pagos vía móvil. De hecho, cada vez más compañías se suman al carro de dicha tecnología, en cuanto al sector financiero, bancos conocidos como BBVA, Santander o Kutxabank ya han empezado a implantarlos en sus apps. Asimismo, compañías de móvil como Samsung o Apple también han decidido desarrollar sus propias aplicaciones para este tipo de propósitos. Yo mismo me sorprendo como hemos podido pasar de tener que llevar una cartera con multitud de monedas y billetes en el bolsillo a poder hacerlo todo con nuestro móvil, y lo que nos espera… De hecho, la gente más despistada que se olvida las carteras lo agradecerán.

Dicho esto, hay una serie de incógnitas acerca de esta tecnología que aclararemos a lo largo de los distintos posts que se redactarán. Personalmente, como aficionado a las tecnologías móviles y sus aplicaciones, me hago una serie de preguntas que posiblemente mucha gente se las haga. ¿Qué se puede hacer con los pagos móviles y cómo funciona? ¿Qué tipos de pagos móviles hay? ¿Qué métodos existen para realizar pagos móviles? ¿Cuáles son sus ventajas y desventajas? ¿A qué riesgos estamos expuestos a la hora de emplear el pago móvil? ¿Qué será del pago móvil en el futuro?

Pero ¿qué es exactamente el pago móvil? La respuesta es muy fácil: hace referencia al conjunto de servicios que nos permiten realizar transacciones financieras a través de diferentes dispositivos móviles. Además del pago de servicios, dicho término incluye también la transferencia de dinero entre los amigos, por ejemplo. Algo realmente cómodo y útil que personalmente me sirve en aquellas situaciones en las que no dispongo de dinero en metálico y debo de dárselo de inmediato a mis amigos, familiares, etc [1].

Otro de los aspectos que me parecen interesantes y que creo que debéis conocer es el proceso que sigue dicha tecnología, 10 pasos que se describen tanto en la ilustración adjuntada en la parte inferior y su descripción detallada:

Paso 1: el usuario se registra en la aplicación de pago móvil correspondiente.

Paso 2: el cliente que utiliza la aplicación realiza una solicitud de pago de compra contra la plataforma interactiva móvil, punto (2) de la ilustración previa.

Paso 3: el tercer paso consiste en la presentación de dicha solicitud al sistema de pago móvil.

Paso 4: a continuación, el sistema de pago móvil recibirá la confirmación de negocio pertinente.

Paso 5: si el elemento del paso anterior confirma dicho pago, el sistema podrá procesar la solicitud del consumidor y realizar las operaciones que sean necesarias.

Paso 6: el órgano financiero puede confirmar la validez de la aplicación de transferencia de cuenta y retroalimenta al sistema.

Paso 7: una vez que el sistema móvil sea retroalimentado por el órgano financiero, dicho sistema podrá enviar a las cuentas de transferencias comerciales las noticias exitosas y las distintas solicitudes de los productos.

Paso 8: el octavo paso es el denominado como entrega o delivering en inglés. Consiste en la entrega al consumidor de ciertos bienes.

Paso 9: tras el paso 6, el sistema de pago móvil también entrega inmediatamente dicha retroalimentación a la plataforma interactiva móvil.

Paso final: la plataforma interactiva móvil devuelve el resultado del pago que se obtiene del sistema de pago móvil al consumidor final [2].

Tipos de pago móvil

Una vez redactado que es el pago móvil, es lógico señalar los diferentes tipos existentes en la actualidad. Para ello, mostraré una pequeña tabla donde podemos ver sus principales características y ventajas.

Existen dos tipos de pago móvil, el pago por proximidad y los pagos remotos:

TIPOS DE PAGOS

CARACTERÍSTICAS

Pago por proximidad

Este tipo hace referencia al pago en el que sus credenciales se encuentran almacenadas en el móvil y se intercambian por la nube. Asimismo, están basadas en las tecnologías NFC, tecnología que permite la comunicación inalámbrica y el intercambio de datos entre dos dispositivos que se encuentren a una distancia inferior a los 20 cm. Esto se ve frecuentemente en comercios como las tiendas de ropa.

Pagos remotos

Por otro lado, los pagos remotos se refieren a aquellos que se realizan vía navegador web móvil o simplemente mediante una aplicación instalada en dicho dispositivo. En este segundo tipo, el teléfono móvil se utiliza como dispositivo para autenticarse de manera remota.

Tecnologías de pagos móviles

Actualmente existen multitud de tecnologías para poder realizar pagos vía móvil, sin embargo, las que mencionaré y seguramente todos conozcamos son NFC y Bluetooth.

NFC es una tecnología de comunicación inalámbrica mediante la cual, dos dispositivos se conectan al emitir una señal y, simultáneamente, recibir otra señal. Pese a que NFC tiene una alta frecuencia, no permite la conexión entre dispositivos que se encuentren a más de 20 centímetros de distancia [3].

Otra de las tecnologías más escuchadas para realizar este tipo de pagos es Bluetooth Low Energy, estándar de Bluetooth para realizar pagos. Gracias a esta tecnología, el gasto energético ocasionado se reduce considerablemente dado que hace uso de diversos sensores capaces de reconocer la tecnología y evitar el tener que estar sacando constantemente el móvil. Creo que esta podría ser, en cuanto a comodidad se refiere, la mejor de ellas ya que, tal y como he mencionado anteriormente, no es necesario tener que acercar el dispositivo al datáfono a la hora de pagar. Sin embargo, no pienso lo mismo en cuanto a seguridad se trata, ya hablaré de ello en sucesivos posts.

Me gustaría concluir este primer blog aportando mi opinión acerca del pago móvil. Personalmente opino que es una muy buena tecnología que facilita nuestras vidas cotidianas, por el contrario, es un mecanismo al que aún le queda mucho por prosperar ya que actualmente existen cantidad de riesgos a los que nos exponemos a la hora de hacer uso de ellas, lo cual, antes de decantarnos por utilizar una opción u otra, debemos tener todo ello en cuenta.

Referencias

[1] Como pagar con el móvil. Acceso el 4 de octubre del 2018, https://www.comparaiso.es/moviles/guias/como-pagar-con-el-movil/

[2] Gestión de evaluación de riesgos para la seguridad de pago móvil. Acceso el 4 de octubre del 2018, https://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=4682854

[3] NFC Pago móvil. Acceso el 4 de octubre del 2018, https://www.rastreator.com/telefonia/articulos-destacados/nfc-pago-movil.aspx

El futuro incierto de los pagos móviles

29 noviembre, 2017 by Jon Acha Quintial 1 Comment

Para mi último post voy a hablar sobre dos noticias de actualidad. Una de ellas hace referencia a las vulnerabilidades que sigue teniendo los pagos móviles y las aplicaciones móviles. Otra en cambio hace referencia al futuro de los pagos móviles en relación a las tiendas autosuficientes.

BankBot

BankBot [1] es un troyano bancario el cual se encontró el 26 de diciembre 2016 por primera vez. Poco después de que fuera descubierto por primera vez el código de BankBot se hizo público. Esto derivó en un considerable aumento de los troyanos bancarios. Es un troyano para Android controlado remotamente, el cual es capaz de recolectar datos bancarios usando logins falsos para diferentes aplicaciones en este caso para la aplicación Jewels Strar.

El troyano BankBot volvió a aparecer en Google Play nuevamente en septiembre de la manera más sigilosa posible. El 4 de septiembre de 2017 se descubrió una nueva variante de BankBot el cual podía realizaba la ofuscación de código, además de que añadía una sofisticada funcionalidad para descargar payload y un mecanismo de infección sigiloso, que se aprovecha de la facilidad que tiene Android, para extraer los datos bancarios de la víctima.

El troyano en si logro llegar a la tienda de Android haciéndose pasar por la aplicación Jewer Strar classic, el cual es el típico juego como se muestra en la siguiente figura. En este caso se muestra el juego real, así como la aplicación falsa.

Aplicación verdadera en Google Play

Aplicación falsa en Google Play

El troyano se inicia después de haber ejecutado la aplicación 20 minutos después aparece una ventana de Google service como se muestra en la imagen, la cual solo podemos quitar dando a OK. Una vez demos a OK el malware ya tiene los permisos suficientes para actuar libremente en tu dispositivo móvil.

Ventana de Google Service después de 20 minutos de iniciar Jewels Star Classic

Tras aceptar los permisos, al usuario se le niega brevemente el servicio poniendo una pantalla de una actualización como se muestra en la figura siguiente, en ese momento el troyano aprovecha para habilitar la configuración que permite la instalación de fuentes desconocidas, instala BankBot, le da permisos de administrador a la aplicación BankBot y establece BankBot como aplicación de SMS por defecto.

Pantalla de actualización mientras se instala el Malware.

Cuando se instale debidamente BankBot tendrá como único objetivo hacerse con la información de la tarjeta de crédito de la víctima la próxima vez que se inserte la tarjeta en Google play. Si se inserta la tarjeta en google play los atacantes ya tendrán el control de tu tarjeta ya que ellos tienen acceso a todos tus SMS. Esto les permite a los atacantes pasar la doble autenticación basada en SMS.

El hecho de que lo este tipo de Malware sea peligroso es que la combinación de hacerse pasar por Google más abusar del servicio de accesibilidad de android, hace difícil que se reconozca la amenaza a tiempo.

Para mantenerse protegido de este tipo de infecciones lo mejor es:

Mirar las tiendas oficiales.
Verificar la popularidad de la aplicación.
Prestar atención a los derechos y permisos que pide la aplicación una vez la hayas instalado.

Moby Mart y bingo Box

Actualmente bingo box [2] cuenta con 150 tiendas automáticas estáticas que operan en china. Están tienda no tienen necesidad de tener personal. Las tiendas son de 18 m2 los cuales están llenos de refrescos, snacks y productos de primera necesidad. Estos productos son escaneados por una máquina y se paga a través del móvil por aplicaciones como Alipay o WeChat. Los productos son más baratos ya que te ahorras el coste de personal. Cada esquina del cubículo cuenta con una cámara de seguridad para que el cliente no consuma nada sin pagar. Si hay intento de robo o irse sin pagar hay una alarma.

El pago y la entrada a la tienda se realiza por medio del dispositivo móvil, por ello en un futuro el personal de la tiendas no serán necesarios. Ha esto hay que añadir que los robos se reducirán ya que, para acceder a este tipo de tienda debemos suministrar información personal. Por ello siempre nos tendrán controlados para evitar robos, además sabrán las compras que realizamos y nos suministrarán constantemente esa compra para que la realicemos diariamente.

En un futuro próximo la tienda será la venga a ti y no al revés. Imagínate que es de noche y todas las tiendas y restaurantes ya han cerrado, presionando un botón de la aplicación aparecerá ante ti una tienda autosuficiente en la que podrás realizar compras de comida.

Moby Mart [3] es una tienda autosuficiente que funciona las 24 horas y todos los días. Es una tienda que acude a ti cuando la necesitas por medio de una aplicación. Para ingresar a la tienda se deberá deslizar tu teléfono móvil por la puerta y una aplicación de teléfono móvil te salude diciendo tu nombre. Los productos que deseemos los escaneamos mediante el código de barras con tu móvil. Por último, al salir volverás a pasar el teléfono y la tienda en sí te hará el cargo en tu tarjeta por medio de tu teléfono como se muestra en el siguiente video.

Si deseamos un producto que actualmente no se encuentra en la tienda podemos encargarlo y concretar la recogida. Las primeras pruebas se realizaron en Shanghai el software aún tiene problemas ya que aún está en versión beta. La tienda está equipada con paneles solares que alimentan un motor eléctrico y tiene un purificador de aire por ello se convierte en una tienda respetuosa con el medio ambiente. Aún hay muchos muros por superar, para que este tipo de tienda se haga realidad. Uno de esos muros está ligado a la restricciones que hay de los vehículos sin conductor

Conclusión

A la conclusión que llegado al leer estas dos noticias de los pagos móviles es que. Es una tecnología que va evolucionando de manera constante pero, siempre que evoluciona habrá alguien que encuentre alguna vulnerabilidad. Lo que provoca que este tipo de pago nunca tenga la total seguridad. A esta tecnología de pago a pesar de sus vulnerabilidades se le augura un gran futuro ya que, puede llegar a sustituir a los dependientes de las tiendas lo reduciría enormemente los costes y el precio de los productos.

Biografía

[1] “Este peligroso malware de la Google Play te roba los datos bancarios” https://elandroidelibre.elespanol.com/2017/09/troyano-google-play.html , (Consultado el 26/10/17).

[2] “China adelanta a Amazon en la expansión de tiendas automáticas “ https://www.economiadigital.es/tecnologia-y-tendencias/china-adelanta-amazon-tiendas-automaticas_410955_102.html , (Consultado el 26/10/17).

[3] “Así es Moby Mart: la primera tienda móvil, autónoma y sin personal del mundo https://www.mediatrends.es/a/125118/moby-mart-primera-tienda-movil-autonoma-sin-personal-mundo-wheelys-shanghai/ , (Consultado el 26/10/17).

Relevancia de los pagos móviles en el mercado

6 noviembre, 2017 by Jon Acha Quintial 1 Comment

A pesar de que los pagos móviles están en constante evolución estos están beneficiando notablemente a las grandes empresas. Esto se debe a que las compras que antiguamente tendríamos que ir a el sitio en concreto se pueden hacer desde cualquier parte utilizando tu dispositivo. Es decir, este nuevo método de pago beneficia al gran empresario puesto que, estos tienen la capacidad de crear páginas Web donde el cliente pueda realizar sus compras desde el dispositivo móvil.

Actualmente no se han dividido las partes que interactúan con los pagos móviles. Las instituciones financieras y los operadores móviles compiten entre si para mantener las cuentas del cliente y recibir la mayor parte de las tarifas [1]. Por ello se han creado 2 tipos de cliente que son:

Cliente centrado en el banco: El cual toda su información está en el banco. Es el cliente que se usa el sistema de Visa y MasterCard, que son tarjetas de crédito vinculadas al banco.
Cliente no centrado en el banco: El pago se realiza mediante una cuenta que es una organización no financiera como, un servicio móvil o un servicio de pago de terceros como PayPal.

Partes interesadas por pago móvil

Las partes más interesadas en que haya un progreso en el pago móvil son aquellas que les beneficia considerablemente que se realice el pago mediante el dispositivo móvil estas son:

Operadores móviles: Los operadores móviles se llevan un beneficio al hacer las transacciones por medio de ellos, algunos de los más conocidos son MoviStar y Vodafone.
Bancos: El pago móvil sin contacto reduce el uso de los micropagos y los costos de emisión de tarjetas. Además, da la oportunidad de brindar servicios bancarios sin tener que ir a un banco.
Comerciantes: El pago móvil ha acelerado las transacciones. Además, ayudan a identificar al cliente potencial y la lealtad del cliente.
Operadores de transporte: Muchos operadores ya ofrecen tarjetas sin contacto para usar en sus redes, y se llevan un beneficio al realizar la traslación por medio de la aplicación como podría ser PayPal.
Vendedores de entradas: Los vendedores que venden entradas a través de internet, puede enviar los boletos directamente al comprado por medio del teléfono y actualmente se puede hacer desde cualquier ubicación.

Ciclo de vida de un pago móvil NFC centrado en el banco

Aplicaciones para realizar pagos móviles

Estas son las aplicaciones que actualmente están siendo más usadas por los dispositivos móviles para hacer transacciones u compras.

PayPal es una compañía Estados Unidos que opera con los pagos en línea en todo el mundo. Admite la transferencia de dinero en línea y sirve como una alternativa a métodos tradicionales como cheque [2]. PayPal funciona en 202 mercados y actualmente hay 210 millones de personas que tienen sus cuentas registradas con sus tarjetas de crédito. Mediante PayPal se pueden enviar y recibir pagos además de transferir fondos electrónicamente entre individuos y empresas.

Bizum una forma instantánea, fácil y segura de pagar con tu móvil [3]. Es un sistema de pago pensado para todos, que funciona enviando el dinero de una cuenta bancaria a otra. Mediante ella se puede enviar dinero a amigos. Aunque actualmente no cuenta con el sistema de compra online puesto que se está implementando y es mejor utilizar PayPal. Tampoco cuenta con el sistema de pago de comercios ya que, hasta que todos los comercios tengan bizum no se podrá realizar este tipo de pago.

Pinterest es una compañía que tiene una aplicación móvil que les da la capacidad a los minoristas de realizar ventas a través de la aplicación móvil Pinterest [4]. en la actualidad ha salido la opción Shop the Look que permite a los usuarios ver una foto del elemento en concreto y directamente se redirigido a la página Web donde venden el artículo en concreto. El principal objetivo que tiene esta aplicación es ayudar al cliente a realizar su compra de manera más eficaz y gastando el menor dinero posible. En mi humilde opinión este tipo de aplicaciones está haciendo que principalmente aumente el consumismo del ser humano al realizar comprar por medio de imágenes. Esto se debe a que el ser humano es vago por naturaleza y una aplicación que te ayuda a realizar las comprar sentado en el sofá es un riego para los usuarios que la utilizan.

Kuapay es una aplicación de pago móvil en la que añadiendo la tarjeta de crédito podremos realizar tracciones [5]. Una vez nos demos de alta introducimos una contraseña y la aplicación genera un código QR que nos podrá leer la caja que efectúa el cobro. De momento no utiliza el sistema NFC. Para los propietarios de los comercios está aplicando tiene una comisión de cinco céntimos por transacción.

Como hemos podido observar el pago móvil ha afectado tanto al pequeño comercio, como al comercio grande. Aunque el comercio grande se ha visto más afectado por el simple hecho de que la mayoría de los pequeños comercios no tienen una página Web en cambio los comercios grandes si. En vista de esto, los comercios pequeños se ven obligados a utilizar páginas Web de terceros para vender sus productos, lo que provoca que no obtengan todo el beneficio posible.

Biografía

[1] “Mobile Payments: Risk, Security and Assurance Issues https://www.isaca.org/Groups/Professional-English/pci-compliance/GroupDocuments/MobilePaymentsWP.pdf , (Consultado el 29/10/17).
[2] “PayPal https://www.paypal.com/es/home (Consultado el 30/10/17).)
[3] “Bizum” https://bizum.es/,(Consultado el 30/10/17)
[4] “Pinterest “https://es.wikipedia.org/wiki/Pinterest ,(Consultado el 30/10/17)
[5] “Kuapay un nuevo Sistema de gestión de pagos por móvil ” https://www.genbeta.com/movil/kuapay-un-nuevo-sistema-de-gestion-de-pagos-por-movil ,(Consultado el 30/10/17)

Seguridad en pagos móviles

17 noviembre, 2016 by Aitor Brazaola Vicario 2 Comments

Después de varios posts hablando acerca del comercio online y de las posibilidades que brindan los pagos online a empresas o entre particulares, quizá deberíamos hacer un repaso a los riesgos que conlleva sustituir el dinero físico en nuestras transacciones, por una divisa digital, que está en nuestro Smartphone.

En primer lugar, el proceso de autenticación debe asegurar con la máxima fidelidad, que el que está realizando el pago es el usuario legítimo al que pertenece la cuenta y no se está utilizando un Smartphone robado o se está suplantando la identidad del propietario, a priori, puede sonar fácil, vivimos en un mundo de contraseñas que utilizamos para casi todos los servicios que mantienen nuestra vida online, actualmente las formas de autenticar a una persona son en base a lo que sabe o lo que tiene[1] en el primero de los casos hablamos de las contraseñas, cadenas de texto que pueden ser olvidadas en caso de ser largas y contener muchos caracteres o adivinadas por personas que intentan suplantar al usuario. Por otro lado, se nos puede autenticar con respecto a lo que tenemos, como puede ser un token, que no es más que un fragmento binario ubicado en nuestro dispositivo que nos identifica como legítimos, esta última medida como ya se está imaginando el lector, tiene más de una manera de ser trampeada mediante el robo de este token. Sin embargo, actualmente hay un nuevo tipo de autenticación que los fabricantes de dispositivos móviles están extendiendo cada vez más en sus últimos modelos, se trata de la biometría.

Hoy en día es común ver cómo la mayoría de terminales de gama media o alta cuentan con sensores de huellas dactilares que permiten proteger tanto el acceso al teléfono en sí como a sus aplicaciones, actualmente, son muchos los bancos y sistemas de pago que se benefician de esta funcionalidad para garantizar un pago seguro. Pero debemos preguntarnos, ¿Todo son ventajas en este tipo de autenticación para pagos? Lo cierto es que no, ya que para empezar el ni siquiera la misma persona va a tener un escaneado de su huella dactilar idéntico al anterior, lo que hace que estos sistemas cuenten con una tolerancia a fallo[2] que tiene que entrar dentro de los niveles considerados “aceptables”, como esta tolerancia no esté ajustada de una forma muy precisa, puede darse el caso de personas que pueden suplantar identidad de otras a las que físicamente puedan tener una medida corporal parecida. Otro riesgo implícito de la identificación biométrica es la propia naturaleza única e insustituible de tu parte de la anatomía que utilices para esta autenticación, mientras que una contraseña es fácilmente reemplazable y sustituible, difícilmente vamos a poder cambiar nuestro iris o nuestras huellas dactilares en caso de haber conseguido de alguna forma replicar nuestra medida biométrica. En definitiva, el problema de autenticación que implica un pago a través de un Smartphone puede ser subsanado con una mezcla de autenticación biométrica y de contraseña tradicional.

Por otro lado, existen otros riesgos en las transacciones económicas móviles, para comprender la complejidad que implica todos los actores relacionados con este tipo de operaciones primero tenemos que diferenciar qué tipo de entidad es la que gestiona la cuenta cliente[2], principalmente se pueden diferenciar en:

Bancarizada “bank-centric”, la cuenta cliente es gestionada por un banco y toda la operativa relacionada con la seguridad, transacciones y responsabilidad está ubicada en la propia entidad.
No bancarizada “nonbank-centric”, la cuenta del cliente está gestionada por organizaciones no financieras, por ejemplo PayPal o Yaap money, donde el cliente gestiona un saldo virtual en el servicio y es con el que opera en las transacciones.

Es este último modelo no bancarizado el que plantea más dudas en cuanto a la seguridad, aunque la unión europea está dando pasos para regular la actividad de estas nuevas empresas que no son bancos como operadoras de telefonía y grandes almacenes, existe el riesgo que sus sistemas o los que puedan subcontratar a otras empresas no cuenten con las medidas de seguridad suficientes como para garantizar una transacción segura.

Indudablemente, los pagos móviles representan un claro avance en países en desarrollo donde no existan infraestructuras tradicionales para pagos electrónicos, y una extensión de los métodos de pago habituales en países desarrollados donde aportan comodidad en las transacciones online[3], sin embargo, hay que tener en cuenta que la llegada de nuevos actores al escenario financiero introduce nuevos riesgos y el replanteamiento de las formas de autenticación online para la prevención del fraude.

Referencias:

[1] “Biometrics for securing mobile payments: Benefits, challenges and solutions”, IEEE Explore, acceso el 16 de noviembre del 2016

[2] “Pagos mediante dispositivos móviles: cuestiones relacionadas con los riesgos, la seguridad y el aseguramiento”, ISACA, acceso el 16 de noviembre del 2016

[3] “MOBILE PAYMENT – RISKS OF A NEW TECHNOLOGY”, Deusto OCEANO, acceso el 16 de noviembre del 2016

Fraude en Apple Pay

1 noviembre, 2015 by Jordan Aranda Tejada 1 Comment

Hace unos meses surgieron varios titulares de prensa indicando los altos índices de fraudes cometidos por ladrones utilizando números de crédito robados de Apple Pay. Sin embargo, una de los objetivos de Apple Pay es que éste debía optimizar su seguridad, para que resultase imposible acceder a la información de la tarjeta de crédito. El funcionamiento del sistema consiste en la generación de un nuevo número de tarjeta cada vez que se lleva a cabo una transacción, para que los comerciantes no tengan acceso a la información de los clientes. [Read more…]