En el Mobile World Congress de Barcelona a principios de este mes, Smasung, el gigante de los smartphones Android, presentó su plataforma de pago móvil, Samsung Pay. Desde luego el nombre permitirá hacer una comparación con Apple Pay, su mayor competidor en el servicio de pago móvil. Sin embargo, Samsung Pay tiene algo que Apple Pay no tiene: Transmisión Magnética Segura (MST).
En realidad, la MST fue desarrollada por una compañía llamada LoopPay. A mediados de febrero, Samsung adquirió LoopPay de forma discreta. Mientras que el uso de Apple Pay es limitado para aquellos minoristas que utilizan comunicación de campo cercano (NFC) habilitada por terminales punto de venta (TPV), la inclusión de la MST significa que Samsung Pay tiene la capacidad de conectarse con los sistemas de lectura de banda magnética existente en el punto de venta. Los lectores de banda magnética, por supuesto, constituyen la gran mayoría de terminales de pago, sobre todo en Estados Unidos, donde el chip y el PIN (EMV) se usa menos. Dicho esto, Samsung Pay está supestamente preparado para una NFC, aunque la compañía está siendo hermética sobre su nueva aplicación de pago.
.@Samsungtweets is joining forces w/ LoopPay to drive the most compelling, secure & widely accepted digital wallet:http://t.co/q24wjBhA4a
— LoopPay (@LoopPay) February 19, 2015
En Kaspersky Daily no estamos particularmente interesados en adentrarnos en la discusión permanente de Apple vs. Samsung, pero, como siempre, estamos interesados en la posición respecto a la seguridad de cualquier plataforma nueva y potencialmente popular. No hay una mucha investigación disponible sobre la seguridad de la MST o sobre el funcionamiento de Samsung Pay en general, así que buscamos a LoopPay para ver qué tenía que decir la compañía sobre la tecnología que ha elaborado para Samsung Pay.
¿Qué sabemos a día de hoy sobre la #seguridad del nuevo #SamsungPay?
Tweet
Para empezar, el MST funciona cuando la corriente alterna atraviesa un bucle de inducción, generando un campo magnético dinámico que cambia cada cierto período de tiempo especificado por el usuario. Los lectores de las tarjetas con banda magnética – como los que utilizas cuando pagas con tu tarjeta de crédito o débito – reconocerán este campo magnético si tu dispositivo está dentro del alcance de los 7,5 cm del lector.
Al igual que las tradicionales tarjetas de crédito o débito, este campo magnético contiene la información de pago. El campo solo existe mientras el usuario decide transmitirlo y el campo se disipa rápidamente cuando supera los 7,5 centímetros, lo que significa que un cibercriminal tendría que estar increíblemente cerca durante el proceso de pago para poder robar los datos. No está claro cómo, o si esta tecnología ofrece alguna mejora considerable en la seguridad más allá del modelo tradicional de pago de las tarjetas. Pero lo normal es presuponer que no.
Samsung Pay vs. Apple Pay: There's a difference http://t.co/6tDhvPaLIx pic.twitter.com/mi8z7d7ktu
— CNET (@CNET) March 5, 2015
Dentro de la aplicación de LoopPay, los usuarios pueden seleccionar si quieren que su dispositivo emita este campo magnético todo el tiempo, nunca, cada ocho o diez minutos o cualquier otro período de tiempo. Con LoopPay, parece que ha habido un componente del hardware desmontable con un botón propio para transmitir datos de pago. Así, los usuarios deberán configurar su dispositivo para transmitir datos de pago cada cierto tiempo y luego físicamente presionar un botón para hacer que el servicio funcione.
Para Samsung, parece que el hardware de la MST y el botón de transmisión están hechos para habilitar dispositivos. Contactamos con Samsung para confirmarlo, pero la compañía no se pronuncia mucho sobre su próxima plataforma de pago.
https://twitter.com/androidcentral/status/575432136490004482
Sin embargo, en un comunicado de prensa, Samsung explicó que los usuarios solo necesitarán deslizar el dedo de abajo arriba de la pantalla para iniciar la aplicación de Samsung Pay. Además, pueden elegir el método de pago entre las tarjetas que hayan almacenado en la cartera de Samsung Pay y verificar los pagos con su huella dactilar. Más interesante en términos de seguridad, el comunicado de prensa también hace una vaga mención de cómo Samsung Pay reforzará la seguridad con la implicación de Knox, el sistema operarativo de seguridad de Samsung.
No queda claro cómo la integración de las tecnologías más seguras de Chip y PIN impactarán en el despliegue de una tecnología que depende de lectores de banda magnética. LoopPay tiene una sección entera de FAQs dedicada a preguntas relacionadas con el EMV. Su posición parece ser que la MST es tan segura como el Chip y el PIN. Será interesante ver si Samsung tiene planes diferentes, especialmente considerando que se adopatará el sistema de Chip y PIN a finales del 2015 en Estados Unidos.
Si Samsung no es capaz de incorporar el EMV en Samsung Pay, está simplemente forzando un sistema de pago desactualizado e inseguro en un futuro. Más allá de eso, parece que LoopPay esté apostando a que estos lectores de banda magnética están aquí para quedarse, y simplemente no hay forma de conocer cómo de rápido y de qué manera se adoptarán el Chip y el PIN en Estados Unidos o si algún otro mecanismo de pago aparecerá e interrumpirá la corriente actual.
La preocupación más obvia es la implementación. Como todo, desde los sistemas operativos hasta los termostatos conectados: los virus son inevitables. Tendremos que esperar al lanzamiento oficial en Corea del Sur y Estados Unidos este verano. Una vez Samsung Pay esté en el mercado abierto, los investigadores en seguridad y los cibercriminales irán a la caza de errores, y estaremos aquí para informar al respecto.
Do you use #ApplePay? Better watch out, it's being used to commit fraud. http://t.co/LbU8ipsm7L
— eWeek (@eWEEKNews) March 10, 2015
Merece la pena mencionar que la plataforma abierta de Android y el 76,6 % de cuota de mercado – dos de las razones por las que Android ha sido más elegido para los ataques dirigidos de los cibercriminales – hará a Samsung Pay más atractivo para los estafadores que Apple Pay, que ha sido objeto de un nivel de fraude más bajo este mes.