Por Damien Hugoo, Product Manager de Easy Solutions
Apple Pay entró en funcionamiento en los últimos días, y si bien se ha hablado bastante sobre cómo afectará los sistemas de pago, y sobre su facilidad de uso, de nuevo los temas de seguridad son pasados por alto en pos de la agilidad y la conveniencia sobre cualquier otra cosa.
Primero que todo, tenemos la obvia preocupación sobre la pérdida del teléfono. Los estadounidenses pierden sus teléfonos cada 3.5 segundos[1]. Apple Pay eleva inmediatamente el valor de un iPhone perdido, creando un mayor incentivo para el robo de teléfonos. En nuestra opinión, esta preocupación es similar a la preocupación de perder la tarjeta de crédito, pero con el riesgo añadido de que ahora el criminal también tendrá acceso a su cuenta de email y a su método de autenticación de doble factor para diferentes servicios, haciéndole más fácil no sólo cometer un fraude simple, sino completamente usurpar la identidad de la víctima en fraudes más sofisticados. Y si bien usted puede activar la función de “encontrar mi teléfono” y desactivarlo, esto no siempre funciona instantáneamente.
En segundo lugar, y quizás siendo esta la preocupación más grande, es que los mecanismos de autenticación para validar tarjetas no son claros. Al parecer Apple se ha enfocado en mecanismos de seguridad para pagos como los tokens y la huella dactilar (los cuales consideramos como medidas solidas). Sin embargo, los pagos sólo serán tan seguros como el sistema de autenticación que se utilice, el cual involucra el registro de las tarjetas en una cuenta y la correspondiente autorización por parte del usuario para el acceso a esta.
Apple no ha revelado aun como planean autenticar las tarjetas antes de permitir su utilización. Sin los mecanismos de autenticación apropiados, es posible que Apple le haya hecho más fácil a los criminales el uso de tarjetas de crédito provenientes del mercado negro, ya que ahora incluso no será necesario tener una tarjeta física para realizar compras en persona. Simplemente se puede insertar digitalmente los números de una tarjeta robada en la imagen de otra tarjeta y realizar las compras como de costumbre.
En tercer lugar, los usuarios añaden las tarjetas de crédito a sus iPhones al tomar fotografías de ellas, y como Jennifer Lawrence y otros pueden atestiguar, la habilidad de Apple de almacenar y transmitir estas fotos de forma segura está aún por verse. Dependiendo de cómo se almacenen y transmitan estas fotografías, no debería sorprendernos si empezamos a ver nuevos tipos de malware específicamente diseñados para este mecanismo.
Una falsa sensación de seguridad – probablemente menos fraude inicialmente
Predecimos que inicialmente los bancos e instituciones financieras reportarán menos incidentes de fraude, lo cual brindará una falsa sensación de seguridad. Esto se debe a que los hackers necesitan tiempo para realizar la debida investigación del sistema, descubrir vulnerabilidades y escribir el código que explote dichas vulnerabilidades de la forma más secreta posible. Existe una curva de aprendizaje para cada rol – comerciante, cliente y hacker. Con tan atractivo y potencialmente lucrativo objetivo, es sólo cuestión de tiempo antes de que estos sistemas revelen sus vulnerabilidades. La única pregunta es, ¿quién será el primero en encontrarlas?
Nuestra recomendación es que tanto personas como firmas de servicios financieros continúen adoptando estrategias de seguridad multinivel. En el caso de las personas, esto significa la activación de todos los mecanismos de seguridad que ofrezca su proveedor. Para las firmas de servicios financieros, esto incluye el monitoreo continuo de mercados negros y de transacciones sin tarjeta física. También predecimos que los bancos le prestarán mayor atención al “estado de salud” de los dispositivos, ya que la visibilidad del estado de los dispositivos, de aquellas aplicaciones potencialmente maliciosas instaladas en ellos y demás factores, tendrá gran importancia a medida que nos adentremos en esta tecnología.
Si bien no creemos que la mayoría de usuarios se desharán de sus billeteras todavía, (sólo el 1% de los comercios minoristas han adoptado este método de pago, el cual exclusivamente funciona con un iPhone 6), si consideramos que las instituciones deben comenzar a planear como protegerse a sí mismas y a sus usuarios contra los nuevos esquemas de fraude que muy seguramente surgirán.