Seguridad informática en TPVs

Cada vez es más habitual comprobar que los comercios se van sumando a la tendencia de admitir el pago móvil. Aunque parezca que solo exista un único método de pago móvil la verdad es que habría que aclarar que no es exactamente lo mismo pagar desde el teléfono móvil que pagar con el Smartphone.

Seguridad informática en TPV

En el primer caso estaríamos hablando de la posibilidad de realizar un pago accediendo a una aplicación móvil, monedero electrónico o a través de una plataforma online donde introduciríamos, tras haber realizado una compra, los datos que identificarán nuestra tarjeta bancaria, su código CV, fecha de caducidad y un código basado habitualmente en el valor señalado en un cuadro de coordenadas. Se trataría de llevar el uso del ordenador al teléfono móvil y valdría principalmente para aquellas compras que se realizan de modo online. El resultado aunque práctico resultaría algo engorroso a la hora de pagar en la cola del supermercado.

¿Pero qué sucede si quiero pagar la compra en un comercio local con mi Smartphone?

El pago con el Smartphone, sin dejar de ser un pago móvil, va más allá aportando una funcionalidad mucho más rápida y sencilla gracias a la implementación de la tecnología NFC.

Aratecnia ofrece un servicio de tarjeta ciudadana que aprovecha la tecnología NFC.

La tecnología NFC, Near field communication o comunicación de campo cercano, es una tecnología inalámbrica que nos permite el intercambio de datos e información entre dispositivos. Dicha comunicación es de corto alcance por lo que es habitual que se precise el contacto entre dispositivos para poder interactuar de manera eficiente.

En el tema que nos ocupa el Smartphone con tecnología NFC tendría que tocar el TPV, también equipado con dicha tecnología, para efectuar el pago de manera efectiva.

Revolución bancaria gracias al NFC

Los bancos más importantes de España se han ido sumando a la posibilidad de pagar con el Smartphone. Bankia, BBVA, La Caixa y Santander ya cuentan con soluciones más o menos similares donde es requisito indispensable el uso de la tecnología NFC para confirmar la operación y efectuar el pago al instante. En algunos casos se une el requisito de disponer de una SIM NFC además de NFC en el teléfono móvil pero en todas ellas es necesaria una app que controle la operación de pago de manera segura.

El adiós definitivo a las tarjetas de crédito

Al uso de la tecnología por parte de las entidades bancarias se va sumando la posibilidad de que sean las grandes compañías de Internet las que se lleven el gato al agua en el pago con Smartphone.

Tal es el caso de Apple Pay, Google Wallet o Samsung Pay por citar algunos de ellos. Estas aplicaciones móviles permiten almacenar los datos de tarjetas de débito, crédito e incluso tarjetas promocionales de venta y guardarlas de manera segura para con posterioridad poder utilizarlas para el pago digital utilizando la tecnología NFC.

De momento la penetración del pago con el Smartphone  muestra cierta tibieza. Las generaciones de jóvenes usuarios, habituados a utilizar los avances tecnológicos de manera inmediata, ven frustradas sus aspiraciones al comprobar como los comercios siguen anclados en métodos de cobro que prefieren el contacto con el papel moneda. Posiblemente se deba a que los clientes más maduros no han interiorizado las ventajas del uso de la tecnología NFC o también que este tipo de dispositivos se mueven en una franja de precios superior a la media.

Otra de las complicaciones que lastra la utilización masiva de la tecnología NFC en el pago con Smartphone es el planteamiento cerrado de algunos servicios que ofrecen esta posibilidad solo teniendo en cuenta algunos bancos u operadoras de tarjetas de crédito o débito.

Según un estudio de American Express, el pago mediante NFC es un 60 % más rápido que con efectivo y un 50 % más rápido que con tarjetas de crédito.

Amenazas de seguridad en NFC

La mayoría de las aplicaciones que aprovecha la tecnología NFC para aceptar pagos coctactless utilizan protocolos con los que protegerse de posibles fraudes. Para pagar de manera segura una vez determinada la tarjeta o cuenta que asume la operación la app consulta la información que dispone cifrada e incluso se habrá generado un número aleatorio en base a un algoritmo complejo que refuerce la seguridad de la operación bancaria.

Sin embargo las transacciones por NFC pueden verse atacadas por sistemas o aplicaciones haciéndolas vulnerables al robo de credenciales o lo que es peor al cobro de importes por productos o servicios no adquiridos. Aunque puede afirmarse que en la actualidad la tecnología NFC es 100% gracias a la mejora constante de sus protocolos la audacia de los cibercriminales esta fuera de toda duda y no está de más seguir ciertas normas que nos garanticen las operaciones de pago efectuadas y nos alerten de cualquier vulnerabilidad.

  1. Los modelos antiguos de Smartphone con tecnología NFC pueden llegar a comunicarse con dispositivos sin haber cifrado los datos privados (número de tarjeta de crédito, historial de transacciones, etc.)
  2. Dejar desatendido el teléfono móvil puede permitir a un atacante equipado con la tecnología adecuada copiar los datos y utilizarlos.
  3. Existen técnicas que permitirían a un atacante escuchar los datos entre el dispositivo emisor y el receptor pudiendo: corromper los datos enviados de modo similar a un ataque de denegación de servicio (DoS), cambiar los datos enviados pero manteniendo la validez de los mismos e incluso se podría ser víctima de un ataque MitM (Man in the middle) donde emisor y receptor creen haber haberse comunicado correctamente y sin embargo el atacante está en medio de ambas comunicaciones.
  4. Hay que comprobar que el importe marcado en el terminal de cobro sea el correcto.
  5. La tecnología NFC es sensible a las ondas electromagnéticas. Una funda que proteja el teléfono móvil de estas interferencias será una medida extra de seguridad.

Cualquier ataque cibercriminal a un teléfono móvil con NFC se basará en ingeniería social, acceso a datos sin cifrar y en el robo del terminal sin protección de acceso al mismo.

Actualizar seguridad sistema TPV

Se calcula que en España solo el 35% de los terminales TPV admite el pago con el Smartphone.

Es primordial adaptar dichos dispositivos a los nuevos requisitos tecnológicos si de verdad se apuesta por facilitar el pago a los usuarios aprovechando las ventajas de NFC.

Actualizar el algoritmo responsable de que toda comunicación del TPV con la pasarela vaya cifrada y firmada electrónicamente es uno de los pasos de seguridad que no hay que rechazar cuando se avisa de que se debe de modificar el sistema. En ocasiones basta con aprobar una actualización del sistema que reinicia y aplica las nuevas políticas de seguridad en la conexión con la implementación de un nuevo algoritmo. En otros casos son precisos unos cambios más drásticos que requieren de la intervención de un experto informático que realice los pasos pertinentes salvaguardando la información sensible.

seguridad en TPVs
Seguridad en TPVs
Entrevista a David Sancho – Responsable Investigación Trend Micro Iberia

Pero sin duda las medidas de seguridad en los sistemas TPV no terminan en una actualización de vez en cuando. Al utilizar un terminal de punto de venta se cae en utilizar los equipos de modo dual. Es decir se utilizan para realizar funciones comunes a la gestión ordinaria como pueden ser los pagos, consultar inventarios, hacer pedidos. Pero también se dan casos en los que los TPV se utilizan para consultar el correo electrónico, visitar páginas web, juegos online, etc.

Esto supone una combinación explosiva que hace vulnerable cualquier TPV. Si a esto le sumamos que este equipado con tecnología NFC cabe la posibilidad de que datos de cobro, importes y otra información protegida acabe en manos de cibercriminales.

Ante cualquier duda lo conveniente es acudir a los expertos informáticos que nos puedan revisar y garantizar el funcionamiento correcto del TPV.

Tarjetas ciudadanas: las ventajas de la tecnología NFC

Sin duda el uso del NFC ira abriéndose camino con mejores implementaciones y aumentando su utilidad con cientos de aplicaciones prácticas.

Una de las más recientes llevadas a cabo por Aratecnia tiene que ver con los accesos a servicios municipales aprovechando la tecnología NFC. Gracias a una tarjeta inteligente multiservicio se permite a los ciudadanos disfrutar de los servicios que ofrece su municipio al mismo tiempo que ayuda a rentabilizar la gestión aprovechando la innovación que supone la tecnología de proximidad NFC.

Tanto los terminales como las tarjetas personalizadas que se suministran cumplen los requisitos de seguridad exigibles.