Los pagos móviles que utilizan el sistema HCE (Host Card Emulation) abrieron un nuevo capítulo en lo que respecta a la seguridad de los datos de las tarjetas en los smartphones. Y sobre todo, en la gestión de sus riesgos asociados.
La falta del elemento de seguridad de almacenamiento en el hardware genera la necesidad de contar con soluciones de software que disminuyan el riesgo de almacenar datos sensibles de la tarjeta en la memoria del teléfono.
En este contexto, la tokenización emerge como uno de los sistemas más difundidos para garantizar la seguridad de los pagos basados en la nube. El especialista Kaushik Roy, del proveedor de seguridad para billeteras digitales Sequent, dice que un buen recurso es reemplazar un dato confidencial por otro que no lo es, pero que permite el mismo tipo de operación. Así el número de cuenta personal es protegido de un posible mal uso.
¿Es esto suficiente? El token es un de número de cuenta personal alternativo. Si bien este sistema da seguridad porque protege la información personal, existen otros métodos que, según algunos especialistas, pueden ser más efectivos.
Si los datos que se envían al teléfono fueran para una sola utilización, los riesgos de seguridad de los datos se limitarían únicamente a esa transacción. En este sentido, existen dos aspectos a tener en cuenta a la hora de pensar en garantizar la seguridad de los pagos HCE:
1. la emisión dinámica y
2. la gestión de seguridad dentro del dispositivo
Los proveedores de servicios suelen estar familiarizados con los aspectos de la emisión de tarjetas y la personalización, dos procesos con mucho en común. Pero Roy advierte que la diferencia clave es que el primero es estático, mientras que el segundo es de naturaleza dinámica.
Esta última implica una gestión dinámica de los datos de la tarjeta y de la cuenta, además de la tokenización.
Con respecto a la gestión dentro del dispositivo, se trata de la capacidad de controlar dinámicamente varios parámetros que permiten efectuar una transacción. Por ejemplo, un banco puede decidir que se modifiquen los parámetros de seguridad si el dispositivo se utiliza para realizar transacciones en un lugar que se encuentra a 250 kilómetros de distancia de donde los datos de la cuenta se emitieron inicialmente.
En este caso, el sistema de emisión digital restablece los parámetros y genera una clave de uso limitado. Este es un ejemplo de cómo los datos de localización se pueden utilizar para administrar los parámetros de seguridad de una cuenta para los pagos móviles.
El dispositivo de seguridad es la implementación de un software basado en elementos de seguridad para proteger los datos de la tarjeta, claves criptográficas y funciones. Además, la integridad de la aplicación se debe mantener para resistir a la modificación de la solicitud por parte de piratas informáticos.
Existen varias técnicas que se pueden emplear para proteger la integridad de la aplicación incluyendo lo que se conoce como el test “white-box cryptography” (caja blanca de criptografía). Este análisis permite una revisión a fondo del sistema, identificando no sólo las vulnerabilidades inmediatas, sino también secciones de código y configuraciones potencialmente peligrosas y posibles defectos de construcción.
El planteo general de Roy es que a la hora de asegurar los pagos móviles se deberán emplear todas las herramientas disponibles, ya sea sistemas de tokenización basados en la red, la emisión dinámica y gestión de claves seguras, así como las herramientas de software en el dispositivo.
La seguridad vinculada a los pagos requiere de un enfoque holístico y los primeros en incorporarlo serán aquellos que se ganen la confianza de los usuarios, que aparece como la llave para todo lo demás.