{"id":5132,"date":"2015-03-13T20:19:38","date_gmt":"2015-03-13T20:19:38","guid":{"rendered":"http:\/\/kasperskydaily.com\/mexico\/?p=5132"},"modified":"2020-02-26T09:18:38","modified_gmt":"2020-02-26T15:18:38","slug":"analizando-la-seguridad-de-samsung-pay","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/analizando-la-seguridad-de-samsung-pay\/5132\/","title":{"rendered":"Analizando la Seguridad de Samsung Pay"},"content":{"rendered":"<p>A principios de mes, durante el <a href=\"https:\/\/latam.kaspersky.com\/blog\/los-dispositivos-mas-interesantes-del-mobile-world-congress-2015\/5096\/\" target=\"_blank\" rel=\"noopener\">Mobile World Congress 2015 que se celebr\u00f3 en Barcelona<\/a>, Samsung present\u00f3\u00a0\u201cSamsung Pay\u201d, su nuevo sistema de pagos para m\u00f3viles. Naturalmente, el nombre despert\u00f3 algunas pol\u00e9micas por su similitud con <a href=\"https:\/\/latam.kaspersky.com\/blog\/apple-pay-es-seguro-pagar-todo-con-tu-iphone\/3849\/\" target=\"_blank\" rel=\"noopener\">Apple Pay<\/a>, la plataforma de pago de su m\u00e1s grande competidor. Sin embargo, el servicio de la compa\u00f1\u00eda surcoreana incluye una caracter\u00edstica interesante que su n\u00e9mesis de californiano no tiene: Trasmisi\u00f3n de Seguridad Magn\u00e9tica (MST, por sus siglas en ingl\u00e9s).<\/p>\n<p><strong><\/strong>La tecnolog\u00eda MST fue desarrollada por la compa\u00f1\u00eda LoopPay, empresa que fue adquirida por Samsung a mediados de febrero. La diferencia principal con Apple Pay, es que esta \u00faltima s\u00f3lo puede ser usada por aquellos comerciantes que utilizan terminales de puntos de venta de comunicaci\u00f3n cercana. En tanto que, la tecnolog\u00eda MST le brinda a Samsung Pay la posibilidad de interactuar con sistemas de lectura de banda magn\u00e9tica. Lo cierto es que la gran mayor\u00eda de los terminales de pago de los comercios cuentan con lectores de bandas magn\u00e9ticas, sobre todo en Estados Unidos. Seg\u00fan afirman los especialistas, Samsung Pay tambi\u00e9n incluir\u00e1 la tecnolog\u00eda NFC, aunque la compa\u00f1\u00eda todav\u00eda no se ha pronunciado oficialmente al respecto.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">.@Samsungtweets is joining forces w\/ LoopPay to drive the most compelling, secure &amp; widely accepted digital wallet:<a href=\"http:\/\/t.co\/q24wjBhA4a\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/q24wjBhA4a<\/a><\/p>\n<p>\u2014 LoopPay (@LoopPay) <a href=\"https:\/\/twitter.com\/LoopPay\/status\/568431525328490496?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">February 19, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>En Kaspersky Daily no nos interesa involucrarnos en la eterna pelea de Apple vs Samsung. Sin embargo, s\u00ed nos importa analizar las plataformas de pago desde el punto de vista de la seguridad. Dado que no existen muchas investigaciones acerca de implicaciones de seguridad de la tecnolog\u00eda MST o sobre c\u00f3mo act\u00faa el servicio de Samsung Pay en general, decidimos averiguar qu\u00e9 dec\u00eda LoopPay respecto de su propia tecnolog\u00eda.<\/p>\n<blockquote class=\"twitter-pullquote\"><p>\u00bfQu\u00e9 sabemos sobre la tecnolog\u00eda de #SamsungPay?<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2FyJe4&amp;text=%C2%BFQu%C3%A9+sabemos+sobre+la+tecnolog%C3%ADa+de+%23SamsungPay%3F\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p>Para empezar, MST genera un campo magn\u00e9tico din\u00e1mico que var\u00eda luego de cierto per\u00edodo de tiempo. Los lectores de bandas magn\u00e9ticas \u2013como las que vienen en las tarjetas de cr\u00e9dito y d\u00e9bito- reconocen este campo si tu dispositivo se encuentra a unos 10 cm del lector.<\/p>\n<p>Dentro del campo magn\u00e9tico se almacena tu informaci\u00f3n de pago. El campo se genera \u00fanicamente cuando el usuario elige transmitirlo y, m\u00e1s all\u00e1 de los 10 cm de distancia, se disipa. Por lo tanto, un atacante tendr\u00eda que estar incre\u00edblemente cerca de su v\u00edctima si quisiera robar la informaci\u00f3n durante un proceso de pago.<\/p>\n<p>Todav\u00eda no est\u00e1 muy claro si esta tecnolog\u00eda ofrece otros protocolos de seguridad adem\u00e1s del modelo tradicional de pago con tarjetas. Por lo que, la decisi\u00f3n m\u00e1s precavida y sensata en estos casos ser\u00eda presumir que no incluye ninguno.<\/p>\n<p>Dentro de la aplicaci\u00f3n de LoopPay, los usuario pueden elegir si desean que su dispositivo emita campos magn\u00e9ticos todo el tiempo, nunca o durante ciertos per\u00edodos de tiempo predefinidos. Aparentemente el dispositivo incluyen un componente de hardware con un bot\u00f3n dise\u00f1ado exclusivamente para transmitir datos de pago. Por lo tanto, los usuario tendr\u00edan que definir primero por cu\u00e1nto tiempo quieren activar la emisi\u00f3n del campo magn\u00e9tico y luego presionar este bot\u00f3n para ejecutarlo.<\/p>\n<p>Los medios especializados afirman que la tecnolog\u00eda MST y el bot\u00f3n de activaci\u00f3n del campo magn\u00e9tico vienen incluidos en todos los dispositivos de Samsung que incluyen la plataforma Samsung Pay. Sin embargo, la compa\u00f1\u00eda no confirm\u00f3 esta versi\u00f3n<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Samsung Pay vs. Apple Pay: There's a difference <a href=\"http:\/\/t.co\/6tDhvPaLIx\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/6tDhvPaLIx<\/a> <a href=\"http:\/\/t.co\/mi8z7d7ktu\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/mi8z7d7ktu<\/a><\/p>\n<p>\u2014 CNET (@CNET) <a href=\"https:\/\/twitter.com\/CNET\/status\/573517301544255488?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">March 5, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>En un comunicado de prensa, Samsung afirm\u00f3 que los usuarios que deseen iniciar la aplicaci\u00f3n Samsung Pay podr\u00e1n hacerlo deslizando los dedos hacia arriba desde la parte inferior de la pantalla. Adem\u00e1s, podr\u00e1n elegir el m\u00e9todo de pago deseado en las tarjetas que hayan sido almacenadas en Samsung Pay y autenticarlos con el esc\u00e1ner. Pero en t\u00e9rminos de seguridad, dicho comunicado hace s\u00f3lo una menci\u00f3 un tanto vaga de c\u00f3mo Samsung Pay piensa reforzar la seguridad gracias a la incorporaci\u00f3n <a href=\"https:\/\/latam.kaspersky.com\/blog\/entendiendo-al-samsung-knox\/1361\/\" target=\"_blank\" rel=\"noopener\">del sistema sub-operativo Knox.<\/a><\/p>\n<p>https:\/\/twitter.com\/androidcentral\/status\/575432136490004482<\/p>\n<p>No queda claro c\u00f3mo la integraci\u00f3n de los Chips y PINs impactar\u00e1 en el despliegue de una tecnolog\u00eda basada en los lectores de banda magn\u00e9tica. LoopPay cuenta con una secci\u00f3n de preguntas frecuentes dedicada a las cuestiones relacionadas con el EMV. Su posici\u00f3n parece ser que MST es tan segura como lo son los Chips y PINs. Ser\u00eda interesante ver si Samsung prev\u00e9 algo distinto, sobre todo teniendo en cuenta la movida de fichas para adoptar Chips y PINs de forma total antes de que finalice el 2015 en los EE.UU.<\/p>\n<div class=\"pullquote\">Al no estar Samsung en la capacidad de incorporar las tecnolog\u00edas Chip y PIN a Samsung Pay, lo que hace es forzar una forma de pago obsoleta e insegura a futuro.<\/div>\n<p>Al no estar Samsung en la capacidad de incorporar las tecnolog\u00edas Chip y PIN a su plataforma de pagos Samsung Pay, lo que hace es forzar una forma de pago obsoleta e insegura a futuro. M\u00e1s all\u00e1 de eso, LoopPay parece estar apostando a que los lectores de banda magn\u00e9tica hayan llegado para quedarse, y que simplemente no hay manera de saber cu\u00e1n r\u00e1pido y con qu\u00e9 magnitud los Chip y PIN ser\u00e1n adoptados en los EE.UU. o si emerger\u00e1 alg\u00fan otro mecanismo de pago que sustituya a la tendencia actual.<\/p>\n<p>La preocupaci\u00f3n m\u00e1s evidente es su implementaci\u00f3n. Desde sistemas operativos a <a href=\"https:\/\/www.kaspersky.com\/blog\/securing-the-internet-of-things\/\" target=\"_blank\" rel=\"noopener nofollow\">termostatos conectados<\/a>: los bugs son inevitables. Habr\u00e1 que esperar hasta el lanzamiento oficial en Corea del Sur y los EE.UU en el pr\u00f3ximo verano. Dado que Samsung Pay est\u00e1 en el mercado abierto, los investigadores de seguridad y atacantes seguramente tendr\u00e1n en la mira los bugs. En Kaspersky estaremos aqu\u00ed para informarlo oportunamente.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Do you use <a href=\"https:\/\/twitter.com\/hashtag\/ApplePay?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#ApplePay<\/a>? Better watch out, it's being used to commit fraud. <a href=\"http:\/\/t.co\/LbU8ipsm7L\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/LbU8ipsm7L<\/a><\/p>\n<p>\u2014 eWeek (@eWEEKNews) <a href=\"https:\/\/twitter.com\/eWEEKNews\/status\/575359033302888449?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">March 10, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Es importante destacar que la plataforma abierta de Android y su <a href=\"http:\/\/www.idc.com\/prodserv\/smartphone-os-market-share.jsp\" target=\"_blank\" rel=\"noopener nofollow\">76.6% de participaci\u00f3n de mercado<\/a> \u2013 son dos de las razones por las cuales Android ha sido elegido como el blanco principal para los criminales- ser raz\u00f3n suficiente para que los estafadores est\u00e9n al acecho de Samsung Pay y no de Apple Pay, que ha sido sujeto de fraudes leves en el \u00faltimo mes.<\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: right\">Traducido por: Guillermo Vidal Quinteiro y Maximiliano De Benedetto<\/p>\n<p>\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"<p>A principios de mes, durante el Mobile World Congress 2015 que se celebr\u00f3 en Barcelona, Samsung present\u00f3\u00a0\u201cSamsung Pay\u201d, su nuevo sistema de pagos para m\u00f3viles. Naturalmente, el nombre despert\u00f3 algunas<\/p>\n","protected":false},"author":42,"featured_media":5133,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3145,6,2737],"tags":[2163,26,1423,1758,654,27,172,1756,831,1754,38,1755,1757],"class_list":{"0":"post-5132","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"category-privacy","10":"tag-android","11":"tag-apple","12":"tag-apple-pay","13":"tag-campo-magnetico","14":"tag-dispositivos","15":"tag-ios","16":"tag-moviles","17":"tag-plataforma-de-pago","18":"tag-samsung","19":"tag-samsung-pay","20":"tag-seguridad","21":"tag-telefonos-moviles","22":"tag-terminales-de-pago"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/analizando-la-seguridad-de-samsung-pay\/5132\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/android\/","name":"Android"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/5132","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=5132"}],"version-history":[{"count":3,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/5132\/revisions"}],"predecessor-version":[{"id":17670,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/5132\/revisions\/17670"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/5133"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=5132"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=5132"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=5132"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}