A principios de mes, durante el Mobile World Congress 2015 que se celebró en Barcelona, Samsung presentó “Samsung Pay”, su nuevo sistema de pagos para móviles. Naturalmente, el nombre despertó algunas polémicas por su similitud con Apple Pay, la plataforma de pago de su más grande competidor. Sin embargo, el servicio de la compañía surcoreana incluye una característica interesante que su némesis de californiano no tiene: Trasmisión de Seguridad Magnética (MST, por sus siglas en inglés).
La tecnología MST fue desarrollada por la compañía LoopPay, empresa que fue adquirida por Samsung a mediados de febrero. La diferencia principal con Apple Pay, es que esta última sólo puede ser usada por aquellos comerciantes que utilizan terminales de puntos de venta de comunicación cercana. En tanto que, la tecnología MST le brinda a Samsung Pay la posibilidad de interactuar con sistemas de lectura de banda magnética. Lo cierto es que la gran mayoría de los terminales de pago de los comercios cuentan con lectores de bandas magnéticas, sobre todo en Estados Unidos. Según afirman los especialistas, Samsung Pay también incluirá la tecnología NFC, aunque la compañía todavía no se ha pronunciado oficialmente al respecto.
.@Samsungtweets is joining forces w/ LoopPay to drive the most compelling, secure & widely accepted digital wallet:http://t.co/q24wjBhA4a
— LoopPay (@LoopPay) February 19, 2015
En Kaspersky Daily no nos interesa involucrarnos en la eterna pelea de Apple vs Samsung. Sin embargo, sí nos importa analizar las plataformas de pago desde el punto de vista de la seguridad. Dado que no existen muchas investigaciones acerca de implicaciones de seguridad de la tecnología MST o sobre cómo actúa el servicio de Samsung Pay en general, decidimos averiguar qué decía LoopPay respecto de su propia tecnología.
¿Qué sabemos sobre la tecnología de #SamsungPay?
Tweet
Para empezar, MST genera un campo magnético dinámico que varía luego de cierto período de tiempo. Los lectores de bandas magnéticas –como las que vienen en las tarjetas de crédito y débito- reconocen este campo si tu dispositivo se encuentra a unos 10 cm del lector.
Dentro del campo magnético se almacena tu información de pago. El campo se genera únicamente cuando el usuario elige transmitirlo y, más allá de los 10 cm de distancia, se disipa. Por lo tanto, un atacante tendría que estar increíblemente cerca de su víctima si quisiera robar la información durante un proceso de pago.
Todavía no está muy claro si esta tecnología ofrece otros protocolos de seguridad además del modelo tradicional de pago con tarjetas. Por lo que, la decisión más precavida y sensata en estos casos sería presumir que no incluye ninguno.
Dentro de la aplicación de LoopPay, los usuario pueden elegir si desean que su dispositivo emita campos magnéticos todo el tiempo, nunca o durante ciertos períodos de tiempo predefinidos. Aparentemente el dispositivo incluyen un componente de hardware con un botón diseñado exclusivamente para transmitir datos de pago. Por lo tanto, los usuario tendrían que definir primero por cuánto tiempo quieren activar la emisión del campo magnético y luego presionar este botón para ejecutarlo.
Los medios especializados afirman que la tecnología MST y el botón de activación del campo magnético vienen incluidos en todos los dispositivos de Samsung que incluyen la plataforma Samsung Pay. Sin embargo, la compañía no confirmó esta versión
Samsung Pay vs. Apple Pay: There's a difference http://t.co/6tDhvPaLIx pic.twitter.com/mi8z7d7ktu
— CNET (@CNET) March 5, 2015
En un comunicado de prensa, Samsung afirmó que los usuarios que deseen iniciar la aplicación Samsung Pay podrán hacerlo deslizando los dedos hacia arriba desde la parte inferior de la pantalla. Además, podrán elegir el método de pago deseado en las tarjetas que hayan sido almacenadas en Samsung Pay y autenticarlos con el escáner. Pero en términos de seguridad, dicho comunicado hace sólo una menció un tanto vaga de cómo Samsung Pay piensa reforzar la seguridad gracias a la incorporación del sistema sub-operativo Knox.
https://twitter.com/androidcentral/status/575432136490004482
No queda claro cómo la integración de los Chips y PINs impactará en el despliegue de una tecnología basada en los lectores de banda magnética. LoopPay cuenta con una sección de preguntas frecuentes dedicada a las cuestiones relacionadas con el EMV. Su posición parece ser que MST es tan segura como lo son los Chips y PINs. Sería interesante ver si Samsung prevé algo distinto, sobre todo teniendo en cuenta la movida de fichas para adoptar Chips y PINs de forma total antes de que finalice el 2015 en los EE.UU.
Al no estar Samsung en la capacidad de incorporar las tecnologías Chip y PIN a su plataforma de pagos Samsung Pay, lo que hace es forzar una forma de pago obsoleta e insegura a futuro. Más allá de eso, LoopPay parece estar apostando a que los lectores de banda magnética hayan llegado para quedarse, y que simplemente no hay manera de saber cuán rápido y con qué magnitud los Chip y PIN serán adoptados en los EE.UU. o si emergerá algún otro mecanismo de pago que sustituya a la tendencia actual.
La preocupación más evidente es su implementación. Desde sistemas operativos a termostatos conectados: los bugs son inevitables. Habrá que esperar hasta el lanzamiento oficial en Corea del Sur y los EE.UU en el próximo verano. Dado que Samsung Pay está en el mercado abierto, los investigadores de seguridad y atacantes seguramente tendrán en la mira los bugs. En Kaspersky estaremos aquí para informarlo oportunamente.
Do you use #ApplePay? Better watch out, it's being used to commit fraud. http://t.co/LbU8ipsm7L
— eWeek (@eWEEKNews) March 10, 2015
Es importante destacar que la plataforma abierta de Android y su 76.6% de participación de mercado – son dos de las razones por las cuales Android ha sido elegido como el blanco principal para los criminales- ser razón suficiente para que los estafadores estén al acecho de Samsung Pay y no de Apple Pay, que ha sido sujeto de fraudes leves en el último mes.
Traducido por: Guillermo Vidal Quinteiro y Maximiliano De Benedetto