Menú principal

viernes, 12 de septiembre de 2014

Apple Pay: Comienza la carrera para hackear los pagos

Apple Pay Logo
Apple Pay fue presentado en al Keynote del 9 de Septiembre, una de las más importantes de los últimos años para Apple. Con el Apple Pay se abre un nuevo mundo de posibilidades pero también un tiempo en el que se va a poner al límite su seguridad para intentar manipularlo y que no actúe como se espera. Ayer pudimos leer en The Whasington Post un proyecto con algunos años en los que unos investigadores utilizaron la ingeniería inversa a un chip de NFC, cuya tecnología es el centro del sistema de pagos de Apple, para conseguir 'robar' dinero.

¿Cómo funciona realmente el pago con Apple Pay?

En el mundo de la seguridad siempre se mira con preocupación qué es lo que ocurre con los datos de los consumidores. Apple, como ya mencionamos, asegura que no almacenan ninguna información sobre la compra, cliente o localización.

Figura 1: Descripción de Apple Pay

Los números de tarjetas no pasan por Apple, se almacenan en un chip dedicado en el dispositivo llamado Secure Element. Esto ocurre en el iPhone 6 y en el nuevo reloj. Según la documentación los datos, al igual que los de Touch ID, solo residen en el dispositivo, y por lo visto seguirán contándolo ya que la gente sospecha antes el almacenamiento de estos datos tan críticos. 


Figura 2: Funcionamiento de Apple Pay

Después, se genera una clave de seguridad de forma dinámica para procesar el pago, no enviando el número de la tarjeta al terminal de venta. Esto es importante, ya que nos hace entrever que el número de tarjeta no sale en ningún momento del dispositivo, ni a Apple ni a la terminal. Hay muchos grupos preparados esperando a poder probar el sistema e intentar su hack. Seguramente aparezcan, como ocurrió con el Touch ID ofertas ofreciendo dinero por su hack, pero ¿Cuánto puede valer una vulnerabilidad en un sistema de pagos?

Figura 3: Reporte de phishing del Apple Pay en Google Chrome

Con la salida del Apple Pay al mercado se pudo observar un momento crítico en Internet, a la vez que curioso. Sabemos que Apple compite con Google, y éstos decidieron de clasificar de phishing la página del Apple Pay. Esto se solucionó rápidamente, lo cual quedo como un fail curioso. 

1 comentario:

  1. http://www.rockefeller.senate.gov/public/index.cfm/files/serve?File_id=ef4259e8-fa19-4135-ad89-272fcecf8932&SK=C63665C95E14D3CFD79308FC33277F81

    ResponderEliminar

Entrada destacada

Vente al "Security Innovation Day 2016: Let Security Be"

El Security Innovation Day es el evento desde el que Telefónica y ElevenPaths comparten los últimos lanzamientos y novedades en innovació...

Otras historias relacionadas

Entradas populares