Los smartphones combinan a la perfección un teléfono, cámara, reproductor musical, abono de transporte público e incluso una cartera. Evidentemente, esto puede poner en duda la seguridad de la información que almacenan. Vamos a averiguar cómo protegen los smartphones la información más valiosa de sus usuarios y cómo funciona su mecanismo principal de seguridad, un pequeño chip llamado elemento seguro.
Qué es el elemento seguro
Se trata de un chip especial para almacenar información de pago de forma segura que ha migrado de las tarjetas de crédito contactless (o sin contacto) a los teléfonos. Lo más probable es que ya hayas escuchado hablar del estándar EMV (Europay, Mastercard, Visa), el sistema más fiable de la actualidad, ya que almacena la información de pago en un microchip protegido que es virtualmente imposible de hackear. Por ello, las tarjetas que usan el estándar EMV también reciben el nombre de “tarjetas con chip”.
El elemento seguro de tu teléfono es básicamente el mismo chip que se usa en las tarjetas de crédito y cuenta con un sistema operativo independiente (sí, las tarjetas de crédito también tienen su propio sistema operativo para ejecutar sus programas). Toda tu información se almacena en este chip y los sistemas operativos de teléfonos o tablets no pueden leerla o copiarla y, mucho menos, las aplicaciones instaladas en estos dispositivos. El elemento seguro solo funcionará en aplicaciones especiales de confianza, como los monederos virtuales.
El chip se comunica directamente con los terminales de pago, de esta forma, aunque el smartphone esté infectado con malware, los hackers no pueden interceptar esta información, ya que esta no se transfiere al sistema operativo principal, sino al sistema especializado del elemento seguro.
El monedero en tu móvil, ¿cómo empezó todo?
El concepto de combinar un teléfono con una tarjeta de crédito se remonta a más de lo que piensas. Los primeros modelos con un elemento seguro instalado fueron los teléfonos básicos, pero no se hicieron muy populares. Una compañía llegó a inventar un método para imitar una banda magnética con un dispositivo, sin embargo, los teléfonos no empezaron a ser auténticos competidores de las tarjetas hasta el 2014, año en el que se lanzó Apple Pay.
El éxito de Apple Pay suscitó el interés de la competencia y, en 2015, Samsung comenzó a ofrecer un servicio similar. Ambos sistemas requerían el elemento seguro, por ello, los iPhones antiguos y los modelos más económicos de Samsung no admitían el pago sin contacto.
Con la intención de mejorar la funcionalidad de sus dispositivos, la compañía coreana incluso compró LoopPay, la misma empresa que había desarrollado la tecnología que imitaba la banda magnética. Unos cuantos meses después, Google presentó Android Pay, cuyo nombré cambió a Google Pay a principios de 2018.
El elemento seguro: incorporado, externo o en la nube
En realidad, el elemento seguro no tiene por qué ir incorporado en el smartphone, puede ser extraíble, por ejemplo, en formato de tarjeta de memoria. Algunos operadores móviles incluso producen tarjetas SIM que pueden almacenar tu tarjeta de crédito o la información de tu abono de transporte público. Pero estas opciones no han adquirido tanta popularidad.
Google, a diferencia de Apple o Samsung, produce principalmente software para dispositivos móviles y no los dispositivos en sí. Por ello, su sistema de pago se encontró con tantas dificultades. Al principio, la mayoría de los teléfonos Android no contaban con el chip de elemento seguro. La empresa no podía obligar a los fabricantes independientes a instalar este chip o hacer que los usuarios compraran una tarjeta nueva. Y tampoco podía implementar el sistema de pago sin contacto a falta del elemento seguro.
Primero, Google intentó buscar una forma de salir de la situación e instalar su aplicación de pago en tarjetas SIM con elemento seguro. Sin embargo, los operadores de teléfonos móviles líderes en Estados Unidos (en concreto Verizon, AT&T y T-Mobile) se negaron a cooperar con la compañía, en su lugar, fomentaron su propia aplicación, que en un primer momento recibió el nombre de Isis Wallet, pero luego se cambió a Softcard por consideraciones políticas. Sorprendentemente, Google acabó adquiriendo el sistema para sus patentes.
No obstante, antes de que esto ocurriera, la compañía encontró una solución mucho más elegante para este problema. Ya que los teléfonos Android no tenían chips seguros físicos, crearon unos virtuales en la nube. Esta tecnología recibió el nombre de Host Card Emulation (HCE, Emular tarjeta del sistema, en español).
Este sistema basado en la nube era muy distinto a las carteras con chips de elemento seguro incorporado. HCE requiere que el terminal de pago se comunique con el sistema operativo del dispositivo y este también debe contactar con un elemento seguro en la nube donde se almacena la información de pago, así como con una aplicación de confianza.
Los expertos declaran que el uso de HCE es técnicamente menos seguro que el auténtico elemento seguro, ya que, cuanto más se mueva la información por Internet, más fácil es interceptarla. Sin embargo, HCE incluye mecanismos de protección adicional que compensan esta vulnerabilidad, como, por ejemplo, el uso de claves de pago no permanentes que solo se pueden usar una vez.
Continuará
Ahora ya conoces la “caja negra” que se utiliza en tu teléfono para almacenar la información de pago. En el próximo artículo, hablaremos sobre cómo los dispositivos iOS y Android utilizan sistemas de pago sin contacto con elemento seguro. También discutiremos por qué no se debe registrar una tarjeta bancaria en un smartphone sin que Apple Play, Google Pay o Samsung Pay estén involucradas.