Apple Pay: Desdibujando y segurizando la figura del pago electrónico

El artículo del día (ES) de ayer en el CIGTR fue uno de esos que te dejan buen sabor de boca. En él, hablaba de pagos NFC, del anuncio de Apple en pos de la privacidad, de cómo herramientas de rastreo masivo como FinFisher empiezan a caer en manos de una industria del crimen cada vez más organizada, de burbujas de filtros y monopolios, de empresas que juegan con nuestros datos,…

apple-pay

Debido a la línea editorial que seguimos en el centro (píldoras informativas diarias con los cinco o seis artículos hot de ciberseguridad y riesgo más la curación de contenido sobre estos temas en RRSS), me quedé con ganas de tratar en mayor profundidad el funcionamiento técnico de Apple Pay, que como ya dije en su momento, ni es el primero ni es el único que ha sabido jugar sus bazas adecuadamente.

Después de recopilar información sobre él, me quedo con la impresión de que la unión de varios factores, tanto externos como internos de la propia plataforma de Apple convergen en un servicio de pagos electrónicos a tener en cuenta para replicar en el resto de sistemas semejantes.

Hablar de Apple Pay es hablar de tres elementos:

  1. NFC: el protocolo de comunicación de moda, que en su día encontró su principal Némesis precisamente en una Apple que se negó a implantarlo como estándar, dedicando recursos en aquellos iBeacons enfocados al pago impulsivo e instantáneo de tiendas. La cosa es que ahora han cambiado de idea, lo cual bajo mi punto de vista es todo un acierto.
  2. Secure Element: un chip encargado de guardar los datos de la tarjeta o tarjetas asociadas al servicio (mejor dicho el Device Account Number, que es el número asociado a la tarjeta) y cifrarlo, generando una numeración distinta  para cada compra. Lo mejor de todo, es que funciona en local, por lo que no hay riesgo de robo en servidores de la compañía o por tener que enviarlo por conexiones poco seguras. Además, afirman que será complicado (por ahí dicen que “imposible”, pero ya sabe usted que en seguridad informática lo imposible no existe) sustraerlo una vez se hace la configuración inicial.
  3. TouchID: el sensor biométrico de los iPhone, que será necesario para realizar los pagos. Sobre este sistema de identificación ya hablé largo y tendido en este artículo, e incluso en SbD, por lo que poco más puedo añadir.

El pago sigue el siguiente patrón: Acercamos el dispositivo al PoS (terminal de pago) con compatibilidad NFC, la aplicación Passbook nos permite elegir el método de pago (si es que tenemos varios), el chip Secure Element genera dínamicamente un número de tarjeta único para la transacción. Se envía por NFC y se realiza el pago.

¿Qué me parece interesante?

Lo primero, es que desdibuja la figura del número de tarjeta financiera. De una numeración única para cada tarjeta, asociada a nuestra identidad, y que debemos entregar para realizar cualquier pago, pasamos a un número dinámico, asociado en local a un número de tarjeta, y que es el que el PoS recibe. No entregamos por tanto un dato permanente, sino uno temporal, que solo puede ser usado para ese pago en particular, eliminando así posibles riesgos de robo de credenciales.

Este paso, que a priori representa un vector más de riesgo, se hace en local, asociando un token a cada compra, por lo que los datos finales estarían en el terminal y no en la nube.

La identificación biométrica es un añadido, que aunque no sea totalmente efectiva, bien es verdad que representa una seguridad mayor que un código CSC detrás de una tarjeta física.

¿Qué riesgos entraña?

Pues los mismos que cualquier sistema digital. Bien es verdad que al no haber tarjeta, no hay riesgo de duplicación de la misma, pero habrá que ver la facilidad o dificultad que tenga un ciberatacante de robar los datos de transacciones de Passbook, (Apple afirma que no guardará historial en sus servidores) y qué podría hacer con ellos.

Y se me ocurren posibles ataques de ingeniería social que jueguen con el NFC y la buena fe de las personas para entrar en un concurso o una rifa insertando su huella en el TouchID.

Apple Pay no incluye nada nuevo que no exista ya en el sector, pero como decía al principio, es la unión de varias tecnologías lo que a priori me da buenas vibraciones.

Y soy muy reacio a tenerlas.