"Atrás quedaron los días en que buscabas tu billetera. Los momentos perdidos buscando la tarjeta correcta. Pasarla y esperar. Ahora los pagos se harán con un simple toque". Así anuncia Apple su novedoso servicio Apple Pay, que junto con el lanzamiento del iPhone 6 y el Apple Watch, constituyó un anuncio de lo más resonante la semana pasada.

Veamos, en detalle, qué incidencia tiene todo esto en el mundo de la seguridad y de qué se trata esto de reemplazar las tarjetas de crédito con dispositivos móviles.

Hacia la tecnología NFC

Apple Pay se compone de tres elementos principales: una antena NFC y un chip especial llamado Secure Element, además de la tecnología Touch ID para escaneo de huellas. Pero, ¿qué significa todo esto?

La tecnología NFC o Near Field Communication permite el intercambio inalámbrico de datos entre dispositivos a corta distancia. Por ejemplo, hemos visto cómo en Android L se podía compartir conexión Wi-Fi en forma segura utilizando etiquetas que lo tienen implementado.

De esta forma, cada dispositivo genera un campo electromagnético que utiliza para transimitir datos. En los nuevos iPhone 6, iPhone 6 Plus y Apple Watch, que tendrán esta funcionalidad integrada, se podrá hacer pagos inalámbricos por medio de esta tecnología, que permitirá a los equipos comunicarse con las terminales de pago.

El chip denominado Secure Element almacena el número de la tarjeta utilizada y lo cifra, lo que significa que este no es alojado en servidores de Apple -ni del comercio- y nunca sale del dispositivo. En este sentido, si por la explotación de una vulnerabilidad o un ataque de fuerza bruta a servicios de login, por ejemplo, un atacante llegara a comprometer los servidores de la compañía, los datos no estarían en riesgo. De igual forma, si llegara a acceder al software del dispositivo móvil tampoco podría extraer los datos.

Un código de seguridad dinámico y de un solo uso procesa el pago, en vez de enviar el número de la tarjeta a la máquina terminal; esto reemplaza el código de seguridad que las tarjetas tienen en su parte trasera.

Con tan solo acercar el dispositivo a la terminal con conectividad NFC, la tarjeta de crédito o débito previamente cargada en la aplicación Passbook y seleccionada como predeterminada aparecerá en pantalla, momento en el cual se podrá elegir una diferente si fuera necesario. Para confirmar el pago, basta con hacer autenticación mediante huella digital, y en muy pocos segundos, la compra está hecha. Claro que ante un caso de pérdida o robo del dispositivo, Apple recomienda utilizar Find My iPhone para deshabilitar los pagos desde el equipo.

En resumen, el proceso mediante Apple Pay es el siguiente:

funcionamiento_apple_pay
El siguiente video de CNet nos muestra a Eddy Cue, Senior Vice President of Internet Software and Services de Apple, explicando el funcionamiento de Apple Pay:

Ahora bien, ya vimos cómo es el procedimiento que nos va a permitir (o no) dejar de usar billetera. Pero, ¿qué tan seguro es realmente este sistema? ¿Habrá ciberdelincuentes intentando vulnerarlo en el futuro cercano?

Seguridad en pagos inalámbricos, ¿posibilidad real?

En la página oficial de Apple Pay, Apple asegura a sus usuarios que el proceso no involucra su acceso a datos financieros, por lo que la transacción se haría entre el usuario, el banco y el comercio. Inicialmente se implementará en Estados Unidos a partir de octubre, donde alrededor de 220 mil comercios aceptan pagos inalámbricos, y funcionará con tarjetas de crédito y débito de Visa, MasterCard y American Express.

Si tenemos en cuenta los recientes casos de malware en terminales de punto de venta o Point of Sale (PoS) -las cuales se han convertido en blanco de los cibercriminales- que derivaron en grandes brechas de seguridad como las que sufrieron Target, eBay y Home Depot, la aparición de este sistema en escena es un avance hacia nuevas formas de pago.

Sin embargo, la información de Apple Pay queda en cierta forma asociada al Apple ID, por lo que no sería raro que los ciberdelincuentes comenzaran a buscar una forma de vulnerar el sistema.

Como mencionamos anteriormente, Apple Pay genera un número único denominado Device Account Number para cada tarjeta, que se almacena cifrado en el Secure Element. Además, ante cada transacción se usa un código de seguridad dinámico de un solo uso. Combinados, ambos contribuyen a la seguridad de la operación.

Además, Apple afirma que no almacenará historiales de compra en la nube; sólo las compras recientes quedan registradas en Passbook.

Al tratarse de un proceso enteramente digital, el usuario no deberá presentar su tarjeta de crédito física y por lo tanto no existirá la posibilidad de que el nombre, número y código de seguridad que tiene impreso sean replicados.

Por otro lado, está la identificación biométrica que se utiliza como autenticación para confirmar cada compra: a menos que el usuario coloque su dedo sobre el sensor, el proceso no se completará.

Tarjetas tradicionales versus nuevas formas de pago

La implementación de sistemas nuevos siempre lleva su tiempo de adaptación, y este cambio -por el momento- no será generalizado, sino que aplicará solo a los usuarios de los nuevos dispositivos de Apple; la incorporación de las "billeteras virtuales" a la vida cotidiana no será un cambio de la noche a la mañana, ni hará desaparecer inmediatamente a las tarjetas plásticas tradicionales.

Sin embargo, podemos afirmar que se trata de una nueva forma de tratar de combatir la fuga de información y el robo de tarjetas de crédito, y de un paso hacia la utilización de pagos que involucran tokens: en vez de facilitar los 16 dígitos de la tarjeta tradicional, que son estáticos y difícilmente cambiarán, con sistemas NFC se generan otros 16 dígitos de forma aleatoria para cada nueva transacción. De esta forma, si el código cae en las manos de un ciberdelincuente, no le sería útil, ya que expira luego de la operación.

¿Dónde está la debilidad actualmente?

Básicamente, las bandas magnéticas de las tarjetas que hoy conocemos son deslizadas por las terminales PoS, las cuales copian y almacenan la información del plástico -incluyendo números y nombre- y la envían al banco para su verificación antes de completar la transacción. Y como el número es estático, cualquiera que lo obtenga y copie los datos puede utilizarlos fácilmente.

Por tal motivo, las tradicionales tarjetas con bandas magnéticas están comenzando a transformarse en algo anticuado, susceptible a fraude. Pero hay dos tecnologías prometedoras: las tarjetas chip con PIN, y los pagos móviles basados en NFC, como es el caso de Apple Pay. Si bien durante la conferencia de seguridad SecTor en 2012, el investigador Charlie Miller dio una presentación sobre ataques a NFC, estamos en condiciones de afirmar que de todas formas, Apple Pay es una buena forma de empezar a migrar el sistema de pagos hacia métodos más seguros.

Para comprender mejor la diferencia entre estos distintos métodos de pago y sus niveles de seguridad, les recomendamos el artículo "Chip con PIN, con firma o EMV versus bandas magnéticas".