Академический Документы
Профессиональный Документы
Культура Документы
i
DEDICATORIA
A mi mam Estela,
ii
AGRADECIMIENTOS
Agradezco a mi mam Estela, por haberme dado todo su amor y por estar siempre a mi
lado.
Agradezco a mis hermanos, por su cario brindado y la paciencia otorgada a pesar de las
diferencias causadas por nuestras distantes edades.
A mis compaeros de trabajo, sin cuyo valioso aporte no hubiera podido ser acabado esta
monografa.
iii
NDICE
NDICE..............................................................................................................................IV
NDICE DE FIGURAS.......................................................................................................VI
NDICE DE TABLAS.......................................................................................................VIII
ABREVIATURAS..............................................................................................................IX
GLOSARIO........................................................................................................................X
INTRODUCCIN................................................................................................................1
CAPTULO 1.......................................................................................................................2
ASPECTOS GENERALES.................................................................................................2
DEFINICIN DEL PROBLEMA..........................................................................................................................2
JUSTIFICACIN DEL PROYECTO......................................................................................................................4
OBJETIVOS DEL PROYECTO............................................................................................................................5
Objetivo General..........................................................................................................................................5
Objetivos Especficos...................................................................................................................................6
HIPTESIS DEL PROYECTO.............................................................................................................................6
CAPTULO 2.......................................................................................................................7
MARCO TERICO.............................................................................................................7
INTRODUCCIN.............................................................................................................................................7
SMART CARD.................................................................................................................................................8
TARJETA SIM/USIM......................................................................................................................................11
Caractersticas Fsicas y Elctricas ............................................................................................................11
Protocolo de comunicacin ......................................................................................................................12
Modelo Lgico...........................................................................................................................................13
SIM APPLICATION TOOLKIT..........................................................................................................................16
TECNOLOGA JAVA CARD.............................................................................................................................19
JAVA CARD EN LAS TARJETAS SIM/USIM.....................................................................................................22
TECNOLOGA OVER THER AIR......................................................................................................................23
SIMALLIANCE TOOLBOX..............................................................................................................................25
CAPTULO 3.....................................................................................................................29
ARQUITECTURA DEL SERVICIO BANCARIO MVIL SEGURO UTILIZANDO UNA
APLICACIN EN LA TARJETA SIM...............................................................................29
INTRODUCCION...........................................................................................................................................29
ARQUITECTURA DEL LADO DEL OPERADOR MVIL.....................................................................................30
Aplicacin Banca Mvil.............................................................................................................................31
Servidor de Transacciones Bancarias........................................................................................................32
ARQUITECTURA DEL LADO DE LA ENTIDAD BANCARIA................................................................................34
Hardware Security Module........................................................................................................................34
Plataforma de Servidores Bancarios.........................................................................................................35
iv
CAPITULO 4.....................................................................................................................36
SEGURIDAD DEL SISTEMA BANCARIO MVIL UTILIZANDO UNA APLICACIN EN
LA TARJETA SIM............................................................................................................36
INTRODUCCIN...........................................................................................................................................36
DOS ELEMENTOS FUERTES DE AUTENTICACIN..........................................................................................38
ADMINISTRACIN DE LLAVES......................................................................................................................39
CLASIFICACIN DE DATOS...........................................................................................................................40
IDENTIFICADOR DE TRANSACCIN NICA...................................................................................................40
NICA LLAVE POR TRANSACCIN................................................................................................................41
HARDWARE SECURITY MODULE..................................................................................................................41
ESQUEMA DE SEGURIDAD DEL SERVICIO BANCARIO MVIL USANDO EL CLIENTE SIM...............................41
Configuracin de la seguridad end-to-end................................................................................................42
Mensajes Seguros......................................................................................................................................43
SEGURIDAD EN ACCIN...............................................................................................................................43
Generacin, Personalizacin e Instalacin de Llaves................................................................................44
Activacin del servicio...............................................................................................................................46
CAPTULO 5.....................................................................................................................50
FACTIBILIDAD ECONMICA DEL SERVICIO BANCARIO MVIL SEGURO...............50
ANLISIS DE ENTORNO................................................................................................................................50
Entorno Econmico-Social.........................................................................................................................50
Entorno de Mercado..................................................................................................................................54
ANLISIS DE MERCADO...............................................................................................................................57
Demanda ..................................................................................................................................................57
Oferta........................................................................................................................................................58
EVALUACIN FINANCIERA DEL PROYECTO..................................................................................................58
Sustento metodolgico..............................................................................................................................58
Flujos Financieros......................................................................................................................................59
CONCLUSIONES.............................................................................................................65
BIBLIOGRAFIA................................................................................................................68
ANEXO.............................................................................................................................73
v
NDICE DE FIGURAS
vii
NDICE DE TABLAS
viii
ABREVIATURAS
AES: Advanced Encryption Standard.
ix
GLOSARIO
AES: Elegido como el nuevo estndar de criptografa simtrica por ser inmune a ataques
conocidos, tener un diseo simple y poder ser implementado en la mayora de escenarios
posibles desde dispositivos con recursos limitados (smart cards) hasta procesadores
paralelos.
CMOS: Es el tipo de material con el que est basada la fabricacin de un circuito especial
llamado del mismo nombre CMOS, el cul tiene la caracterstica de consumir un nivel muy
bajo de energa elctrica cuando est en reposo.
EMV: Es un estndar global para las tarjetas de pago de crdito y dbito basadas en la
tecnologa de smart cards.
x
INTRODUCCIN
Los telfonos mviles se han convertido en una parte integral del panorama del siglo XXI
con una penetracin alrededor del mundo de 4,5 mil millones de suscriptores a finales del
ao 2011, segn las cifras ofrecidas por la Global Suppliers Association1 (GSA). Mientras
que Amrica del Norte y Europa tienen las tasas de penetracin ms alta, alcanzando el
100% en muchos pases occidentales; en Amrica del Sur y Asia representan los
mercados mviles de mayor crecimiento. El telfono mvil es el dispositivo que las
personas llevan consigo en todo momento. Servicios ms all de voz y mensajes de texto
estn en auge en todo el mundo y los usuarios quieren los mismos servicios en su
telfono mvil que se puede obtener a travs de una PC conectada a Internet.
Los telfonos mviles representan una solucin rentable para los usuarios de los bancos y
servicios bancarios, las instituciones financieras y operadores, lo que les permite reducir
la brecha digital en lugares donde la banca tradicional y los servicios de Internet son
demasiado caros o simplemente no existen.
1
La GSA representa mundialmente a los proveedores mviles, dedicados a infraestructura, semiconductores,
terminales, desarrollo de aplicaciones y servicios, as como soporte de servicios.
1
CAPTULO 1
ASPECTOS GENERALES
A travs del tiempo, las entidades financieras han diversificado los canales bancarios
para atender la gran cantidad de clientes que manejan, como se grafica en la Figura
1.1, donde se puede observar que cada canal ha sido implementado de acuerdo a la
tendencia tecnolgica. Hoy en da, el telfono mvil se convierte en un elemento
masivo y amigable que permite integrar los sistemas financieros a la vida cotidiana de
los clientes. Sin embargo, lo ms importante para estos fines es brindar un alto nivel
de seguridad que ofrezca la confianza necesaria para realizar transacciones de este
tipo.
Gran parte de las soluciones brindadas por las entidades bancarias es la extensin
de sus pginas de Internet para los dispositivos mviles inteligentes o mejor
2
conocidos como Smartphones. Sin embargo, al finalizar el 2011 existe un 38% de
suscriptores usando Smartphones a nivel mundial, tal como lo indica comScore; y al
cierre del segundo trimestre del ao 2011, solo el 12% de la poblacin en Per
cuenta con este tipo de dispositivos, segn lo informado por la versin digital del
diario de negocios biznews, dejando de lado un alto porcentaje de los usuarios de
servicios mviles. Por ello, para llegar a todos los suscriptores mviles se debe
considerar un elemento seguro, masivo y que adems permita disear una aplicacin
estndar y de fcil manejo para el usuario.
Adems, existe una gran demanda para facilitar el acceso a los servicios financieros
por dos motivos: los usuarios tienen acceso al crdito y pueden manejar su dinero de
forma segura, mientras que las instituciones financieras amplan su base de usuarios
y procesan ms transacciones.
Por otro lado, desde el punto de vista de los operadores mviles el servicio tiene
tambin un impacto positivo de cara a sus clientes, considerando el alto nmero de
suscriptores. Segn la GSM Association, los suscriptores mviles alrededor del
3
mundo llegan a tres billones hoy en da y se proyecta que para el ao 2015 se tendr
alrededor de 5.4 billones. De esta manera, un canal bancario mvil se presenta como
un servicio de valor agregado interesante que permita expandir el mercado tanto a
usuarios bancariamente activos como a aquellos que no lo son.
Elaboracin propia
4
El aumento de la competencia entre operadoras de redes mviles impone una mayor
disputa por dichos servicios. La bsqueda incesante de diferenciales competitivos
exige de las operadoras gran creatividad en el lanzamiento de servicios y en la
simplicidad de relacionamientos con el cliente.
Objetivo General
5
Objetivos Especficos
Identificar los elementos desplegados sobre una red mvil que permiten la
implementacin de servicios de valor agregado.
6
CAPTULO 2
MARCO TERICO
INTRODUCCIN
7
SMART CARD2
Una smart card (tarjeta inteligente) es una tarjeta plstica con circuitos integrados que
permiten la ejecucin de cierta lgica programada.
Dentro de las tarjetas con microprocesador, a las que llamaremos smart card en este
trabajo, podemos encontrar dos tipos diferentes:
2
En base a las especificaciones [EUR2009a] y [GSM2000].
8
Las smart cards, tambin conocidas como tarjetas de circuitos integrados (ICC=
Integrated Circuit Card), presentan tres tipos de memoria como se puede ver en la
Figura 2.1.
Memoria no voltil ROM (Read Only Memory): Se usa para guardar los
programas de la tarjeta. Aqu se encuentra el sistema operativo de la tarjeta que
maneja el protocolo del sistema de entrada y salida (E/S), maneja el
microprocesador, procesa comandos externos, maneja las memorias y efecta los
algoritmos de autenticacin.
Memoria voltil RAM (Random Access Memory): Se usa como espacio temporal
de trabajo para guardar y modificar datos. Como se sabe, la informacin de la RAM
no se puede preservar cuando la fuente de alimentacin se apaga. A diferencia de
la memoria EEPROM, a la RAM se puede acceder un nmero ilimitado de veces.
9
Figura 2.1. Componentes de una tarjeta inteligente con microprocesador.
El inters en las smart cards se debe a las ventajas que aportan. Una ventaja es su
potencial computacional. Otras son la seguridad, la portabilidad y la facilidad de uso.
Para conseguir la informacin que contiene una smart card hace falta la posesin
fsica de la tarjeta, conocimientos del hardware y software y equipamiento adicional.
La seguridad se hace mayor con el uso de funciones criptogrficas, es decir, que los
datos guardados en la tarjeta se pueden codificar para salvaguardar la privacidad en
la memoria fsica, y los datos intercambiados entre la tarjeta y el mundo exterior se
pueden firmar y codificar. Adems, el acceso a una smart card suele requerir la
introduccin de un PIN (nmero de identificacin personal) que evita su uso por parte
de personas no autorizadas. Otra ventaja es la portabilidad. Se puede llevar una
smart card en la cartera de la misma forma que se lleva una tarjeta bancaria. As
mismo, las smart cards tambin son muy prcticas. Para comenzar una transaccin,
se inserta la tarjeta en el dispositivo, y se retira del mismo cuando el trabajo haya
concluido.
Las aplicaciones prcticas de una smart card se pueden clasificar de forma general
en tres categoras principales:
Identificacin: Las smart cards proveen unas medidas de seguridad para identificar
el titular de la misma con el fin de permitirle o no el acceso.
10
Transporte de datos: Las smart cards se usan como un dispositivo de
almacenamiento de informacin practico, porttil y seguro.
TARJETA SIM/USIM3
- ID-1: Tarjeta que posee las dimensiones de una tarjeta de crdito (85.6 x 54 x
0.76 mm)
3
En base a las especificaciones [3RD2009a], [3RD2009b], [EUR2001], [EUR2005b] y [GSM1999].
11
- Plug-in: O microtarjeta, con unas dimensiones de 25 x 15 x 0.76 mm.
Fuente: Morpho
Protocolo de comunicacin
12
El protocolo T=0 se utiliza tradicionalmente en GSM. Tanto para las tarjetas
USIM como para los terminales UMTS, el protocolo T=0 es obligatorio, mientras
que el protocolo T=1 es obligatorio para el terminal pero no para la tarjeta.
Modelo Lgico
Master File (MF): El archivo raz de la SIM card y por lo tanto de existencia
obligatoria y es el nico archivo de esta clase que tiene condiciones de
acceso. Debajo de l se encuentran los Dedicated Files y los Elementary Files.
13
Figura 2.3. Modelo jerrquico de archivos en la SIM/USIM.
14
- EF Cyclic: Usado para almacenar registros en orden cronolgico. Cuando
todos los registros hayan sido utilizados, el siguiente almacenamiento de
informacin deber sobrescribir el registro con la informacin ms antigua.
15
SIM APPLICATION TOOLKIT4
Al comienzo del estndar GSM, la SIM, al igual que cualquier smart card, estaba
dotada de un microprocesador y de 8 Kbytes de memoria. A medida que ha ido
pasando el tiempo, se ha incrementado la potencia del hardware (memorias RAM,
ROM, Flash y EEPROM ms rpidas, incremento de la capacidad de proceso con
sistemas RISC de hasta 32 bits) como su capacidad para soportar servicios y
funcionalidades avanzadas, incorporando tecnologas antes reservadas a sistemas
de mayor capacidad (sistemas operativos multitarea como MultOS, lenguajes de alto
nivel como Java o MEL, interoperabilidad, acceso remoto, etc.).
Por ello, en las denominadas tarjetas Fase 2+ aparece la nocin de aplicacin que se
almacena y ejecuta dentro de la tarjeta y que utiliza el terminal como interfaz al
mundo exterior a travs del estndar SIM Application Toolkit, proporcionando al
usuario nuevos servicios de valor aadido.
4
En base a las especificaciones [3RD2004], [EUR2005a], [EUR2009b] y [EUR2004].
16
- Enviar un mensaje corto o SMS (Short Message Service).
Con la funcionalidad que le proporciona STK, la SIM puede realizar el control de las
llamadas y de los mensajes cortos, por ejemplo:
- La SIM puede proporcionar un mensaje completo SMS al terminal para que ste lo
enve.
- Puede recibir directamente un mensaje SMS enviado desde la red. Este mensaje
puede contener, por ejemplo, una nueva aplicacin que se ejecutar en la SIM o
datos/comandos para el STK.
Las aplicaciones STK suelen disearse siguiendo un modelo cliente-servidor. Con los
comandos proactivos, la aplicacin en la SIM puede establecer un canal de datos con
el ME y, a travs del ME, con un servidor remoto en la red. El ME permite entonces
intercambiar datos entre la aplicacin en la SIM y el servidor de forma transparente.
17
Actualmente las comunicaciones entre el cliente (la aplicacin en la tarjeta SIM) y el
servidor se realizan a travs de SMS, USSD o GPRS.
La norma TS 03.48 define los mtodos para proteger el contenido de los mensajes de
aplicacin, describiendo formato e implementacin de los llamados Paquetes seguros
para el servicio de mensajes cortos punto a punto (SMS-PP) y para el servicio de
difusin de mensajes cortos (SMS-CB). La TS 03.48 no especifica el tipo de
mecanismo de seguridad (cifrado simtrico o de clave pblica, firma digital, etc.) ni los
algoritmos criptogrficos a utilizar, por lo que stos dependern de la implementacin.
La seguridad real del sistema estar en funcin de la robustez de las claves y
algoritmos elegidos. El SIM puede encargarse de almacenar de forma segura los
algoritmos criptogrficos y las claves correspondientes en el lado del cliente.
Las aplicaciones STK interactan con el usuario a travs del sistema de mens del
telfono mvil (ver Figura 2.5.). Las aplicaciones pueden aadir una entrada al
sistema de mens del mvil para que el usuario seleccione los nuevos servicios.
Cuando el usuario selecciona un servicio STK en el men de su telfono, el ME
comunica a la SIM la seleccin y la SIM activa la aplicacin correspondiente. La
aplicacin seleccionada se comunica con el servidor remoto intercambiando la
informacin necesaria para proporcionar el servicio. Si el servicio requiere la
intervencin del usuario, la aplicacin STK puede ordenarle al ME que pida una
entrada al usuario, que le permita elegir entre una lista de opciones o que muestre un
texto por pantalla. El ME transmite la respuesta del usuario a la SIM para que la
interprete.
18
Figura 2.5. Vista tipo de un men STK.
Elaboracin propia
La tecnologa Java Card ofrece un camino para superar los obstculos mencionados
anteriormente. Esta tecnologa permite a las ICC y otros dispositivos de memoria muy
limitada ejecutar pequeas aplicaciones, llamadas applets, usando la tecnologa
Java. Asimismo, proporciona a los fabricantes de ICC una plataforma de ejecucin
segura e interoperable que puede almacenar y actualizar mltiples aplicaciones en un
nico dispositivo.
Es importante sealar que si bien Java Card permite que programas escritos en
lenguaje de programacin Java puedan ejecutarse sobre una ICC, tales dispositivos
pequeos estn lejos de poder soportar la completa funcionalidad de la plataforma
Java. Por ello, Java Card soporta solo un subconjunto de caractersticas de la
plataforma Java, el cual fue elegido cuidadosamente, de tal forma que los
desarrolladores disfruten de todas las ventajas de trabajar bajo el lenguaje de
programacin Java:
19
- Disponibilidad completa de poderosas herramientas de desarrollo.
De igual manera, Java Card define un entorno de ejecucin adecuado para las
caractersticas de las smart cards. Dicho entorno cumple con los actuales estndares
ICC. La ltima versin concerniente a esta tecnologa, la especificacin Java Card
Platform 2.2.2, incluye tres documentos que brindan la base de interoperabilidad
entre las aplicaciones Java Card:
20
Figura 2.6. Arquitectura Java Card.
Fuente: Oracle
21
Capacidad para Multi-Aplicaciones: La tecnologa Java Card permite que
mltiples aplicaciones convivan en la misma TCI.
Los fabricantes de tarjetas SIM, que aportan valor aadido a un hardware tan
desnudo, han optado desde el inicio por una arquitectura abierta, partiendo de sus
desarrollos propietarios a nivel de sistema operativo. Para ocultar las diferencias
entre fabricantes (sistemas operativos) se ha optado por el modelo de mquina virtual
en torno a la tecnologa Java. Todas las aplicaciones se ejecutan sobre un sistema
estndar y genrico, y es tarea del fabricante de tarjetas SIM adaptar esa mquina
virtual al sistema operativo y al hardware subyacente. As el desarrollador no tiene
que preocuparse por las peculiaridades del sistema operativo o del hardware del
fabricante, a la hora de desarrollar una aplicacin.
La base para todos los sistemas operativos de tarjetas inteligentes con cdigo
ejecutable se encuentran en la especificacin GSM 02.19. Aqu, se presenta una lista
de todos los servicios bsicos de un API independiente del lenguaje para el cdigo
ejecutable del programa en la tarjeta SIM. En el ao 1999, el ETSI apost por la
tecnologa Java, estandarizando el API para el desarrollo de aplicaciones para este
lenguaje sobre la tarjeta SIM. De esta manera, en las especificaciones GSM 03.19 y
TS 43.019 se encuentran la SIM API para la tecnologa Java Card 2.1. Las
especificaciones de la UICC API para UMTS se describen en la norma TS 31.111 y
en la TS 102.241 se encuentra la UICC API para la versin 2.2 de Java Card.
Para las tarjetas basadas en las especificaciones Java Card, la TS 03.48 define un
conjunto de comandos usados en la gestin remota de applets; comandos basados
en la especificacin Open Platform 2.2 sobre gestin de applets. Over The Air o
conocido tambin como OTA es una tecnologa usada para los propsitos
mencionados en la TS 03.48, respecto a la gestin de aplicaciones en la tarjeta SIM,
sin la necesidad de estar conectados fsicamente a sta.
5
En base a la especificacin [EUR2005a]
23
end. La comunicacin entre el SMSC y la plataforma OTA se realiza mediante el
protocolo de comunicacin SMPP (Short Message Peer to Peer).
Generar la estructura de los mensajes seguros para que sean entendibles por la
tarjeta SIM. Para conseguir esto, la plataforma OTA tiene un arreglo de libreras,
las cuales contienen el formato a utilizar para cada marca de fabricante de tarjetas
SIM. De esta manera la plataforma OTA da formato a los mensajes
independientemente de la tarjeta receptora.
Fuente: Gemalto
24
SIMALLIANCE TOOLBOX6
La SIMalliance es una organizacin sin fines de lucro establecida en 1999 por cuatro
fabricantes lderes de SIM cards en el mundo (Gemplus, Giesecke & Devrient (G&D),
ORGA Kartensysteme y Schlumberger) para obtener la convergencia entre el mundo
mvil y el Internet, y promover un acceso estandarizado al contenido de Internet
usando los recursos tecnolgicos existentes: SIM, terminal mvil e infraestructura.
Cabe indicar que la SIMalliance cuenta actualmente con doce miembros.
Para conseguir que los servicios ofrecidos al usuario tengan una caracterstica
dinmica; es decir, que las pginas S@TML sean transferidas desde un servidor que
mantenga la informacin actualizada, SIMalliance detalla en sus diversas
especificaciones, los siguientes tres elementos:
6
En base a las especificaciones [S@T2009a], [S@T2009b], [S@T2009c], [S@T2009d], [S@T2009e] y
[S@T2009f].
25
Bytecode S@T: Interpretacin tcnica de una pgina S@TML residente en el rbol
de aplicaciones STK o proporcionadas dinmicamente por el proveedor de
contenidos.
Browser S@T: Aplicacin Java cargado en la tarjeta SIM donde se ejecuten los
diferentes servicios de valor agregado definidos por el operador y las
actualizaciones enviadas por el S@T gateway, as como el despliegue de un
conjunto de mens dinmicos. Su propsito es ofrecer una herramienta genrica de
navegacin embebida en la SIM card.
Gateway S@T: Plataforma albergada por el operador mvil que permite difundir los
servicios ofrecidos. sta plataforma, atender las solicitudes enviadas por la tarjeta
(bytecode S@T) permitiendo la conexin al proveedor de contenidos. La respuesta
es una(s) pgina(s) S@TML que el gateway S@T deber codificar en bytecode
S@T para poder entregarlo al browser de la tarjeta.
Como se ha indicado, S@TML utiliza conceptos del lenguaje WML, con la finalidad de
asegurar compatibilidad al momento de interactuar entre ellos. Es as que se definen
elementos bsicos como:
Deck: Es la unidad ms pequea que puede ser cargada en el browser S@T para
su ejecucin. Un deck contiene uno o ms cards.
26
Card: Es la unidad ms pequea de navegacin para el browser S@T y contiene
los comandos bytecode S@T.
Como se puede observar en la Figura 2.9, el gateway S@T recibe los bytecode S@T
y entrega las pginas S@TML de respuesta a travs del SMSC. La comunicacin
entre el SMSC y la interfaz del gateway S@T se realiza mediante el protocolo de
comunicacin SMPP. De igual manera, es importante indicar que al conectarse con
los diferentes proveedores de contenidos a travs de Internet, el gateway S@T debe
soportar los protocolos de comunicacin de esta tecnologa en una de sus interfaces;
como el caso del protocolo HTTP (HiperText Transfer Protocol) para la capa de
servicios y aplicaciones.
28
CAPTULO 3
INTRODUCCION
29
bancaria. Ambos segmentos estarn interconectados a travs de un enlace dedicado
de Internet o sobre una VPN (Virtual Private Network).
Elaboracin propia
30
Un servidor, residente en la red del operador mvil, exclusivo para las
transacciones bancarias (solicitudes y/o respuestas) cursadas extremo a extremo
al que llamaremos Servidor Transaccional Bancario o STB.
31
Figura 3.2. Ejemplo de un flujo de opciones de la aplicacin Banca Mvil.
Elaboracin propia
Como toda plataforma dentro de un sistema, en este caso la red del operador
mvil; el STB debe estar comunicado con el servidor de gestin de alarmas del
32
operador, de tal manera que se mantenga un constante seguimiento del
desempeo y funcionamiento del STB.
Elaboracin propia
33
ARQUITECTURA DEL LADO DE LA ENTIDAD BANCARIA
El servidor de aplicaciones: Aplicacin web que recibe peticiones SOAP del PSB y
las enva al sistema back-end de la entidad bancaria para el procesamiento de
estas transacciones.
34
En la presente arquitectura, el HSM almacena las Llaves Maestras originadas
por los fabricantes de tarjetas SIM y que sirven para efectuar las operaciones
criptogrficas y generacin de las Llaves de Transaccin.
Elaboracin propia
35
CAPITULO 4
INTRODUCCIN
36
Integridad: Asegurar que los datos de una comunicacin no se alteren, es decir,
que los datos recibidos por el receptor coincidan con los transmitidos por el emisor.
Y en caso de no ser as, detectar esta modificacin.
- Con prueba de entrega: el emisor tiene la prueba de que los datos han llegado
ntegramente al destinatario correcto.
Sniffing: El acto de espiar y robar informacin que atraviesa una red. Permite al
hacker obtener acceso no autorizado a informacin y datos sensibles en una
determinada red.
37
Ataques Man in the Middle: El acto de interceptar una comunicacin entre dos
entidades, modificndola y retransmitindola. Las dos entidades creen estar
comunicndose entre ellas.
El costo directo de los ataques incrementa el costo del soporte al usuario final. El
proveedor de servicios financieros, tiene que contactar al usuario final para corregir el
problema y responder a sus inquietudes. Otro impacto es la prdida de confianza del
usuario final, quien puede decidir mover sus negocios a la competencia. Los
proveedores de servicios financieros tienen que gastar dinero en restablecer su
reputacin, pudiendo inclusive ser considerados responsables de los inconvenientes
del usuario (perdida de dinero, perdida de informacin propietaria, etc.).
Para el cliente SIM, los problemas de seguridad tienen que ser tomados en cuenta
temprano porque es imposible modificar la tarjeta SIM despus de ser dispuestas en
el mercado. A continuacin se presentarn los principales conceptos implementados
en el esquema de seguridad.
Antes de acceder a los servicios bancarios, los usuarios deben autenticarse por s
mismos. Este paso se basa en dos elementos de autenticacin, es decir, los usuarios
38
debe proporcionar su identidad mediantes dos mtodos de autenticacin. La eleccin
de los dos mtodos de autenticacin puede efectuarse a partir de la siguiente lista de
opciones:
Algo que slo el usuario final tenga (tarjeta SIM, token, etc.)
Algo propio e individual del usuario final (huella digital, datos biomtricos, etc.)
Para asegurar la seguridad apropiada, los dos elementos de autenticacin deben ser
requeridos para cada transaccin. Esto significa que el usuario final debe brindar su
PIN cada vez que quiera completar una transaccin usando el servicio bancario
mvil.
ADMINISTRACIN DE LLAVES
Uno de los requerimientos del PCI DSS es brindar procedimientos sobre la gestin de
llaves usadas para la encriptacin de los datos. Para cumplir con este requisito, el
esquema de seguridad proporciona un mecanismo para gestionar (instalar, borrar y
actualizar) estas llaves de transaccin usadas para encriptar la informacin.
Las llaves de transaccin son usadas para asegurar los datos entre el cliente SIM y el
PSB. Las llaves de transaccin se cargan va over-the-air durante el proceso de
activacin o durante el proceso de renovacin de llaves. Para el esquema de
seguridad usando el cliente SIM, se ha definido una infraestructura de administracin
de llaves que gestione las llaves maestras. Estas llaves maestras deben ser
compartidas de manera segura entre el proveedor de llaves y la institucin financiera.
39
CLASIFICACIN DE DATOS
El esquema de seguridad permite clasificar los datos, donde cada tipo tiene
restricciones de acceso y de operacin. Para el sistema de seguridad usando el
cliente SIM se definen cinco tipos de datos:
Datos o cdigos PIN: solo la institucin financiera puede tener acceso a estos
datos. Deben ser usados slo para los cdigos PIN. El formato para estos cdigos
deben obedecer el estndar ISO 9564-1.
Datos sensibles: solo la institucin financiera puede acceder a ellos. Estos datos
puede ser de formato libre.
Datos privados: solo los usuarios finales pueden acceder a estos datos.
40
NICA LLAVE POR TRANSACCIN
La seguridad del PSB se basa en un Hardware Security Module o HSM. Solo las
operaciones criptogrficas, como estn definidas por el esquema de seguridad, estn
permitidas por el HSM. El HSM no contiene otras operaciones criptogrficas, a fin de
evitar huecos de seguridad. Por ejemplo, las operaciones criptogrficas para encriptar
y desencriptar el PIN no estn definidas en este firmware.
Todos los datos de seguridad almacenados en la base de datos del PSB, estn
asegurados por las llaves maestras locales del HSM. Por las propiedades del HSM es
imposible conseguir los valores en claro de los datos de seguridad.
Aqu se describe el esquema seguro establecido entre el cliente SIM y el PSB. Los
principales actores en esta solucin bancaria mvil son el cliente SIM y el PSB.
Debido a las tecnologas usadas, ambos son suficientemente seguros para manejar
datos sensibles. La seguridad de la aplicacin se basa en la tecnologa de la tarjeta
SIM y la seguridad del PSB est basada en un HSM. El principal reto es intercambiar
informacin entre los dos elementos sin poner en peligro la informacin sensible. La
aplicacin Banca Mvil y el PSB no se comunican a travs de un enlace directo, y
algunos elementos terceros inseguros (componentes de la red GSM/UMTS, el SMSC,
etc.) estn involucrados en la transmisin de la informacin sensible. El esquema de
41
seguridad ha sido definido para establecer un canal seguro end-to-end (extremo a
extremo) entre el cliente SIM y el PSB.
42
Figura 4.1. Seguridad end-to-end configurada
Elaboracin propia
Mensajes Seguros
SEGURIDAD EN ACCIN
43
Personalizacin: El fabricante de tarjetas elabora la tarjeta y el centro de
personalizacin carga la aplicacin Banca Mvil en la tarjeta. Durante el proceso de
carga, las llaves de administracin de llaves son generadas para cada tarjeta y
almacenadas de manera segura en la tarjeta SIM.
A continuacin se explicar de manera detallada las primeras tres etapas del ciclo de
vida de la seguridad del servicio, considerando un fabricante de tarjetas SIM y una
entidad bancaria.
44
tarjetas SIM generar tres Llaves Maestras: MK1, MK2, MK3 identificadas por
una etiqueta y que quedarn almacenadas en el HSM local del proveedor.
Luego, para cada tarjeta SIM, es decir, para cada ICCID, se genera una llave
nica conocida como Llave de Registro (cuya funcin se indicar despus),
utilizando un algoritmo que tenga como entradas la llave maestra MK1 y el
ICCID de la tarjeta SIM. El siguiente paso es cargar la Llave de Registro en la
aplicacin Banca Mvil. Una vez terminado el proceso de personalizacin y
generacin de llaves, es el momento de enviarlas cuando el operador mvil y la
entidad bancaria lo soliciten.
Para ello, el HSM del proveedor de tarjetas SIM debe generar una Llave de
Transporte y dividirla en tres partes usando algoritmos especficos. Por otro
lado; cada una de las partes, tanto la que enviar (fabricante) como recibir
(banco) las llaves, maneja tres custodios debidamente identificados para cada
segmento de la Llave de Transporte. Cada custodio del fabricante anotar el
componente asignado de la Llave de Transporte sin compartirlo con los otros.
Despus, cada custodio del fabricante enviar su componente a su similar del
banco. Cuando los custodios del banco lo reciben, ingresarn por separado los
componentes en el HSM local del banco. Una vez ingresados, se regenera la
misma Llave de Transporte del fabricante en el HSM local del banco.
45
Activacin del servicio
Una vez confirmado que el banco tiene la informacin cargada en sus sistemas,
el cliente puede realizar el registro del banco asociado mediante la aplicacin
Banca Mvil instalada en la tarjeta SIM.
Para conseguir esto, el usuario deber navegar a travs de las opciones del
men de la aplicacin hasta aquella que permita el registro, como lo indica la
Figura 4.2.
Al elegir esta opcin, la aplicacin enviar una solicitud hacia el STB para que
informe sobre la lista de bancos asociados al operador mvil. Dicha lista
entregada por el STB ser desplegada en la pantalla del mvil, tal cual se
muestra en la Figura 4.3.
46
Figura 4.2. Registro del servicio (i)
Elaboracin propia
A partir de ahora, son las plataformas del servicio bancario mvil en la entidad
financiera las que se encargarn de la solicitud. El PSB devolver una
respuesta al pedido de registro, requiriendo informacin del cliente de acuerdo a
la configuracin elegida por el banco, como pueden ser DNI y PIN (ver Figura
4.4).
47
Figura 4.3. Registro del servicio (ii)
Elaboracin propia
Elaboracin propia
48
Una vez ingresados los datos del cliente, la aplicacin encripta esta data
utilizando la Llave de Registro (instalada durante la etapa de personalizacin) e
incluye el ICCID de la tarjeta SIM. Los datos viajan a travs de la red del
operador mvil hasta llegar al PSB. ste al reconocer que se trata de una
solicitud de registro, entregar la data encriptada y el ICCID al HSM local del
banco.
49
CAPTULO 5
ANLISIS DE ENTORNO
Entorno Econmico-Social
50
Adems, dada la naturaleza de la presente investigacin se presentar un
breve anlisis de la situacin actual de bancarizacin en el Per y su
correspondiente posicionamiento en la regin.
Sin embargo, dicha tasa super la de 4.6% que en promedio registraron los
pases de Amrica Latina y El Caribe. Incluso estuvo por encima de los
registrados por las principales economas de la regin, tales como Chile (6.3%),
Mxico (3.9%) y Brasil (2.8%).
Asimismo, las proyecciones de crecimiento del PBI para los prximos 3 aos,
segn el Marco Macroeconmico Multianual 2012-2014 del Ministerio de
Economa y Finanzas indican que la economa tendr comportamiento positivo
de alrededor del 6%.
51
Por otro lado, el PBI nominal en el ao 2011, ascendi a US$ 168 miles de
millones. Segn diversos anlisis de entorno econmico, el PBI de Lima
Metropolitana es, aproximadamente, 36% del PBI total. Por tanto, se infiere que
en el 2011, Lima Metropolitana registr, aproximadamente, US$ 60 miles de
millones.
168
154
127 127
107
92
79
52
Figura 5.3. Clasificacin de Latinoamrica segn las evaluadoras de riesgo
Entorno de Mercado
Tal como lo indica la Figura 5.6, en Per el servicio mvil ha tomado mayor
participacin del total de ingresos del mercado de telecomunicaciones,
aumentando desde un 37% en el ao 2005 hasta un 64% en el ao 2010.
54
Figura 5.5. Ingresos del sector Telecomunicaciones (mil US$)
Fuente: OSIPTEL
37%
44% 51% 57% 60% 64%
29%
21% 17% 13% 12% 11%
Fuente: OSIPTEL
55
2 9 ,0 3 0
29,003 150%
24,702
130%
2 4 ,0 3 0
20,952
110%
1 9 ,0 3 0
15,417 98% 90 %
85%
75%
1 4 ,0 3 0 70 %
8,772 50 %
9, 030 56%
5,583 30 %
4, 030
32%
21% 10 %
-9 7 0 -1 0 %
Fuente: OSIPTEL
3% 2%
12%
84%
Fuente: 4Gamericas
56
ANLISIS DE MERCADO
Demanda
El SMS no seguro refiere al canal por el cual el cliente enva un texto definido
hacia un nmero corto tambin fijo para indicar a una aplicacin ubicada en el
banco la operacin a realizarse. Lo definimos como un canal no seguro, porque
el SMS generado por el usuario no ofrece mtodo alguno para evitar los
ataques de seguridad mencionados en el Captulo 4. Por otro lado, el canal
mvil SMS seguro es aquel que se ha analizado en esta tesis.
57
CANAL Internet Mvil
Agencia ATM IVR WE WA SMS SMS
BANCO
B P no seguro seguro
BCP SI SI SI SI SI SI NO
BBVA SI SI SI SI SI SI NO
Interbank SI SI SI SI SI SI NO
Scotiabank SI SI SI SI SI SI SI
Banco de la
SI SI SI SI SI NO NO
Nacin
Elaboracin propia
Oferta
Sustento metodolgico
7
De acuerdo a la informacin ofrecida en la pgina web de cada banco mencionado.
58
Para nuestro anlisis, el mtodo a ser utilizado ser el de flujos de caja
incrementales; en el cual se registran slo los ingresos y costos atribuibles a
esta nueva iniciativa de negocio. La evaluacin se har por 5 aos, periodo
mximo trazado para la recuperacin de la inversin realizada por el operador.
Flujos Financieros
Plataforma
mvil
Precio por
transaccin
Elaboracin propia
Este anlisis se har bajo un modelo de negocio (ver Figura 5.9) en el que el
banco es el cliente directo del operador. La mecnica de este modelo es que el
banco va a pagar al operador un precio acordado por cada transaccin que el
usuario final (clientes del banco) realice.
a) Ingresos: Para la estimacin de los ingresos (ver Tabla 2), se definen las
siguientes premisas:
59
De acuerdo con contrato, el precio inicial por transaccin se mantendr por
los 2 primeros aos en un valor de US$ 0.11. A partir del tercero, el precio
disminuir a una tasa de 0,5%, considerando un incremento en el volumen
transaccional.
Ao 0 1 2 3 4 5
Nmero de bancos 1 1 2 2 2
Transacciones banco 1 210 000 336 217 538 294 861 826 1 379 811
Transacciones banco 2 216 000 345 823 553 674
Precio banco 1 (US$) 0.111 0.111 0.111 0.110 0.110
Precio banco 2 (US$) 0.111 0.111 0.111
INGRESOS (US$) 23 377 37 428 83 669 133 479 212 636
Elaboracin propia
60
directamente a la ejecucin del nuevo negocio es el mantenimiento del
Servidor de Transacciones Bancarias (STB).
Ao 0 1 2 3 4 5
Mantenimiento (US$) -28 320 -28 320 -28 320
OPEX (US$) -28 320 -28 320 -28 320
Elaboracin propia
Tabla 4. CAPEX.
Elaboracin propia
61
d) Costo de Capital Promedio Ponderado (WACC): El WACC es el costo que
enfrenta el inversionista al comprometer sus recursos en determinada
inversin, dejando de lado otras alternativas. La metodologa utilizada es la
siguiente:
e) Resultados
62
Ao 0 1 2 3 4 5
Nmero de bancos 1 1 2 2 2
Transacciones banco 1 210 000 336 217 538 294 861 826 1 379 811
Transacciones banco 2 216 000 345 823 553 674
Precio 1 0.111 0.111 0.111 0.110 0.110
Precio 2 0.111 0.111 0.111
INGRESOS 23 377 37 428 83 669 133 479 212 636
Flujo de Caja Acumulado -135 700 -112 323 -74 895 -19 546 85 614 269 930
Elaboracin propia
Valor incremental del nuevo proyecto de Banca Mvil (VAN) US$ 144 596
Elaboracin propia
63
En esta evaluacin se est tomando un escenario conservador ya que
supone el incremento slo de un banco como cliente. Sin embargo, la
coyuntura en la regin de Amrica Latina sugiere que este tipo de servicios
registrar relevancia en los prximos aos y por tanto, la expectativa de
obtener un nmero mayor de clientes es alta.
64
CONCLUSIONES
El marco terico expuesto as como el caso prctico expuesto en esta tesis permiten
resaltar caractersticas de los servicios de valor agregado desarrollados a partir de un
applet, tales como:
65
estandariz la interface para el desarrollo de aplicaciones para este lenguaje sobre
la tarjeta (U)SIM.
Por otro lado, el servicio bancario mvil analizado le ofrece al operador mvil impulsar
una imagen innovadora hacia sus clientes, incrementando la lealtad de stos y tambin
servir como canal para adquirir nuevos usuarios. De igual manera, permite que el
operador mvil expanda la oferta de servicios utilizando infraestructura existente para
proveer SVA.
66
A partir del anlisis financiero, el servicio bancario mvil implementado es altamente
atractivo para el operador, ya que ste obtiene flujos de caja positivos a partir del
segundo ao de implementado el servicio. Pero dejando por un momento los nmeros
fros del clculo realizado, es importante sealar que muchos estudios han coincidido
en que se debe fomentar el desarrollo econmico y social de un pas a travs de la
implantacin y extensin de las Tecnologas de Informacin y Comunicacin (TIC). Es
as que se espera una evolucin importante de la bancarizacin mvil como ejemplo de
una TIC para el desarrollo en nuestro pas.
67
BIBLIOGRAFIA
[3RD2004] 3RD GENERATION PARTNERSHIP PROJECT. 3GPP TS 09.02 V7.15.0:
3rd Generation Partnership Project; Technical Specification Group Core
Network; Mobile Application Part (MAP) specification (Release 1998).
Marzo de 2004.
[BOY2007] BOYD, Caroline & JACOB, Katy. Mobile Financial Services and the
Underbanked: Opportunities and Challenges for Mbanking and
Mpayments. The Center for Financial Services Innovation. Abril de 2007.
68
[EDG2008a] EDGAR, DUNN & COMPANY. Artculo. Mobile Financial Services Study.
Abril de 2008.
URL: http://www.edgardunn.com/pointsOfView/issuesopportunities.cfm?
xobj=100003&issueopportunityid=100012
ltima consulta: 18/09/2011
[EDG2008b] EDGAR, DUNN & COMPANY. Artculo. Outlook for Mobile Wallets and
Mobile Financial Services. Febrero de 2008.
URL: http://216.239.213.7/mmt/downloads/EDC-GSMA%20Report
%208%20Feb%202008.pdf
ltima consulta: 22/09/2011
69
(SIM-ME) interface (3GPP TS 51.011 version 4.14.0 Release 4). Marzo de
2005.
70
[ITU2010] INTERNATIONAL TELECOMMUNICATION UNION. Artculo. The World in
2010.
URL: http://www.itu.int/ITU-
D/ict/facts/2011/material/ICTFactsFigures2010.pdf
ltima consulta: 20/03/2012.
[MOR2011] MORPHO. Native SIM cards for GSM Networks. Alemania. 2011.
URL: http://www.morpho.com/e-documents/telecoms/?lang=en
ltima consulta: 16/10/2011
[S@T2009c] SIM ALLIANCE TOOLBOX. S@T TS 01.20 v4.0.0: S@T Session Protocol
(Release 2009). 2009.
71
[S@T2009e] SIM ALLIANCE TOOLBOX. S@T TS 01.23 v4.0.0: S@T Push Commands
(Release 2009). 2009.
72
ANEXO
En el anexo se presenta el desarrollo de la frmula para obtener el Costo de Capital
Promedio Ponderado (WACC), cuyo valor nos permite calcular los flujos de caja finales
del anlisis econmico.
73