Академический Документы
Профессиональный Документы
Культура Документы
Seguridad en los
Pagos Móviles
Estudio sobre Seguridad en los Pagos Móviles
Contenidos
SUMARIO EJECUTIVO 4
1. INTRODUCCIÓN 5
2. INTRODUCCIÓN A LA SEGURIDAD 6
2.1 Diferentes tipos de seguridad 6
2.2 Objetivos de seguridad 7
2.3 Tipos de medidas de seguridad 7
5. Sumario 18
3
Estudio sobre Seguridad en los Pagos Móviles
Sumario Ejecutivo
Los servicios de pago móvil se evalúan para entender el riesgo que tienen. Esta evaluación se usa
para obtener un nivel de riesgo transparente que pueda ser estudiado, asumido y gestionado por las
entidades bancarias.
Con las nuevas formas de implementación de servicios que ofrece la emulación de tarjeta situada en el
host (HCE por sus siglas en inglés), las entidades bancarias se están interesando por sacar servicios más
flexibles en un ecosistema menos complejo. Sin embargo, hay una contrapartida al pasar de las soluciones
de seguridad hardware a las software. Las soluciones situadas en el hardware, como el elemento seguro
a prueba de manipulación (SE por sus siglas en inglés), han sido probadas contra los últimos ataques
del mercado. Las soluciones más recientes que usan la seguridad software, como la HCE, tienen un
nivel seguridad desconocido. Las medidas de seguridad pueden reducir la probabilidad y el impacto de
un ataque con éxito basándose en lo que se sabe actualmente y en la utilización de medidas lógicas y
procedimentales. Sin embargo, la eficiencia de una implementación específica de estas medidas tendrá
que ser verificada y evaluada con el tiempo.
Este estudio explora las vulnerabilidades típicas del sistema de pagos móvil y las medidas de seguridad
que se aplican a soluciones de pago con y sin elemento seguro en hardware, evaluando su impacto en:
• Limitaciones a la seguridad – alcanzar un nivel de riesgo similar
• Complejidad y coste – implementar las medidas de seguridad que se estime necesario
• Usabilidad – impacto en la experiencia del usuario
• Auditabilidad – capacidad de evaluar el nivel de riesgo con un buen nivel de confianza
• La complejidad de todo el ecosistema puede reducirse con soluciones de seguridad software
sin presencia de un elemento seguro en hardware. Al mismo tiempo, la complejidad se desplaza
hacia las entidades financieras, que cargarán con todas las medidas de seguridad en su back-end,
aplicación y procesos.
• Hay un impacto en el coste con ambas soluciones: La complejidad a la que se enfrenta la entidad
financiera para implementar y gestionar las nuevas medidas de seguridad software, llevará aparejada
costes aún desconocidos; un SE hardware necesita una inversión significativa dentro de una
infraestructura múltiple, con costes distribuidos entre sus partes.
• La usabilidad de una solución software requerirá la provisión de tokens temporales en los
dispositivos, para autorizar transacciones y realizar actualizaciones de seguridad periódicas. Algo
que requieren que el usuario se re-autentique de forma que la solución sea capaz de acceder a
los datos sensibles almacenados en la nube. Un diseño cuidadoso será necesario para preservar la
calidad de la experiencia del usuario.
• La auditabilidad es posible a través de procesos formales en los tests y evaluación de la certificación
y seguridad de las soluciones de SE en hardware. Es difícil poner en práctica procesos similares
para muchas soluciones software no estandarizadas. Por ahora, la evaluación debe realizarse caso a
caso y el nivel de riesgo real se evaluará de forma más fiable cuando se hayan recogido experiencias
suficientes del mercado.
4
Estudio sobre Seguridad en los Pagos Móviles
1. Introducción
A medida que los dispositivos móviles se hacen más prevalentes como
herramientas para pagos y banca, la seguridad de la información
confidencial que se utiliza se hace más importante. Consideraciones
como de qué forma las aplicaciones y las transacciones se aseguran
y entregan y cómo se identifica de forma segura al usuario son
preocupaciones clave del ecosistema móvil de pago. Las soluciones de
pago están siendo evaluadas por la gestión de riesgos de los bancos,
en su investigación para implementar el pago móvil.
Este trabajo de debate, dirigido a las entidades bancarias y escrito en
colaboración con UL, ofrece una visión general informativa y de alto
nivel de la tecnología de seguridad involucrada en la implementación
de las soluciones de pago móviles. Más específicamente, este
documento considera las implicaciones en la seguridad de soluciones
de pago móvil hardware (por ejemplo, el elemento seguro) y software
(por ejemplo, la emulación de tarjeta de host).
El documento describe los objetivos generales, las necesidades y los
tipos de seguridad, centrándose específicamente en los pagos móviles.
Cubre el almacenamiento de datos confidenciales, las medidas de
seguridad móvil y las vulnerabilidades del ecosistema, proporcionando
un marco de evaluación que compara las soluciones de seguridad
hardware y software existentes en el mercado hoy en día.
5
Estudio sobre Seguridad en los Pagos Móviles
2. Introducción a la seguridad
La seguridad se mide a menudo teniendo en cuenta el riesgo y el riesgo
global asociado con los pagos. Este capítulo proporciona una amplia
visión general de los diferentes tipos de seguridad y sus objetivos y
explica las medidas de mitigación de riesgos.
Se puede representar la seguridad como un triángulo cuyas esquinas son: La seguridad física,
la lógica y la procedimental. El nivel general de seguridad lo determina el eslabón más débil.
Triángulo de seguridad
Física
0011101110000
110SECURITY1
11011100010111
0000111011010
1101010100001
Lógica 000110111111101
Procedimental
0001000111100
1111111010101101
6 Figura 1:
Estudio sobre Seguridad en los Pagos Móviles
7
Estudio sobre Seguridad en los Pagos Móviles
8
Estudio sobre Seguridad en los Pagos Móviles
Elemento seguro
El SE en hardware es un elemento a prueba de manipulación en dispositivos móviles y se
presenta como una tarjeta de circuito integrado universal (UICC) o SE incrustado (eSE).
Estos elementos seguros han sido testados contra los métodos de ataque más recientes,
siguiendo los requerimientos de seguridad de organismos de confianza.
10
Estudio sobre Seguridad en los Pagos Móviles
Amenazas
Amenazas
• Manipulación mediante el acceso a datos confidenciales por un
• Intercepción mediante malware instalado en las aplicaciones puerto de depuración o virus de enraizamiento
•S uplantación de identidad: Intercepción de datos de la • Manipulación mediante la ejecución de un entorno simulado para
aplicación y credenciales de autenticación encontrar vulnerabilidades
• Redirección de datos de la aplicación a otro dispositivo • Captura del usuario, datos de tarjeta, valores CVM y claves
• Captura del usuario, datos de tarjeta, valores CVM y claves
ECOSISTEMA SOFTWARE Y Posibles medidas
HARDWARE CON AMENAZAS Y Posibles medidas
POSIBLEs MEDIDAS DE SEGURIDAD Controles del Sistema Operativo (C)
Verificación de usuario y de hardware (A) Criptografía de caja blanca (D)
Controles del Sistema Operativo (C) Ofuscación (E)
Entorno de ejecución seguro (TEE) Entorno de ejecución seguro (TEE)
Ofuscación (E) Verificación de usuario y de hardware (A)
Amenazas
• Manipulación mediante la
descompilación de la aplicación.
El atacante obtiene del usuario,
datos de tarjeta, valores CVM y
! Sistema en la nube
claves Gestión confidencial Gestión de transacciones
Entidad bancaria
• Suplantación de identidad/
Phishing: aplicación falsa/clonada
(Procesador del servidor)
que captura datos confidenciales Plataforma de la Plataforma en la nube
(claves de acceso, mPIN) aplicación
• Manipulación por la inyección
de un código malicioso en la
Situado en el software
aplicación
Posibles medidas
!
el malware instalado en el
Amenazas Adquiriente controlador NFC combinado
Móvil
!
• Manipulación con control con un ataque de relé
de acceso al SO y al Aplicación • Un comerciante fraudulento
SE, accediendo a datos de pago simula un pago de bajo coste
confidenciales móvil en el que no se necesitan
• Phishing con captura de
Aplicación verificaciones adicionales
de pago HCE APIs
!
datos confidenciales (claves • Manipulación mediante la
de acceso, mPIN) Controlador captura de criptogramas
y claves de acceso para
!
NFC
Situado en el hardware
• Interceptación de datos de
aplicación y autenticación.
SIM (UICC) Punto de venta descubrir la debilidad del
criptograma de acceso
Posibles medidas
Posibles medidas
Elemento Seguro a prueba de
manipulación Verificación de usuario y de
(el TEE, cubre la mayoría de las Operador Telefonía Operador TSM Entidad bancaria TSM
hardware (A)
Restricciones a las
amenazas)
Verificación de usuario (A)
Móvil transacciones (B)
Autenticación o tokens (F)
Estudio sobre Seguridad en los Pagos Móviles
4. Soluciones de seguridad
hardware y software en
pagos móviles
Este capítulo presenta un marco de evaluación para ayudar a
comparar las soluciones de seguridad en pagos móviles hardware
y software. Soluciones típicas tanto software como hardware son
evaluadas en la figura 4.3.
La figura 4.1 analiza la solución de seguridad hardware basada en un SE. En el ejemplo, una
tarjeta de pago está guardada como tarjeta virtual en el SE. Se asume que:
En una solución hardware, la principal seguridad proviene del SE (por ejemplo una UICC).
Para proporcionar aplicaciones seguras y personalizar la aplicación de pago, se establece una
conexión segura con el SE y las entidades bancarias pueden de controlar por completo sus
activos dentro de la UICC a través de los estándares GlobalPlatform. 1
14
Estudio sobre Seguridad en los Pagos Móviles
La figura 4.2 mira a una solución software en la nube, que se basa en la HCE. En este ejemplo,
los datos de la tarjeta de pago se almacenan en la CPU del servidor host. La aplicación móvil
que se ejecuta en ese servidor gestiona los datos de tarjetas de pago y se conecta a un
sistema de pago situado en la nube para autenticar al usuario y aprobar las transacciones. Los
supuestos para este ejemplo son:
• La tokenización se usa por la aplicación para generar claves. Estas contendrán todos
cualquier dato confidencial utilizado y proporcionarán autentificación de usuario
• La criptografía de caja blanca se usa para proteger los datos confidenciales
• Se activa el PIN offline u online dependiendo de la transacción
15
Estudio sobre Seguridad en los Pagos Móviles Estudio sobre Seguridad en los Pagos Móviles
Usabilidad • La usabilidad de una solución hardware es buena, ya que • El dispositivo debe estar encendido para realizar
ofrece la posibilidad de hacer pagos de bajo valor sin PIN y transacciones.
La usabilidad por lo general va en detrimento de los requisitos de pagos incluso cuando el dispositivo móvil está apagado. • La conectividad móvil es necesaria de forma regular para
seguridad y la entidad bancaria tiene que equilibrarlos. Por ejemplo, las • Cuando el SE es una UICC (SIM), los usuarios tienen la conectar con el servidor de tokens emplazado en la nube para
contraseñas adicionales aumentan la seguridad, pero reducen la usabilidad posibilidad de portabilidad. reponer tokens.
(la gente tiene que memorizar otra contraseña). • La aplicación necesitará actualizaciones periódicas de
software para mantener las medidas de seguridad de software
al día.
• El acceso seguro a la nube requerirá del usuario que se vuelva
a autenticar periódicamente con mecanismos de autenticación
4.3 Evaluación de la seguridad fuerte.
• Transacciones rápidas, como el pago de bucle abierto para
el transporte público, es posible que se queden fuera del
alcance.
El marco de evaluación de la seguridad
presenta una comparación exhaustiva
Costes • Para el aprovisionamiento seguro y personalización de tarjetas • El emisor no necesita contratar muchas partes externas, como
basada en cinco aspectos: seguridad, de pago virtuales en los teléfonos móviles, se necesita que TSMs y, operadores móviles o gerentes SE, sin embargo,
Los costes se ven afectados principalmente por el tamaño del ecosistema, se involucren partes como los proveedores de TSM y los otros miembros como un proveedor de servicios de token
usabilidad, costes, auditabilidad y
el nivel de implementación de la seguridad y el tipo de medidas de operadores móviles podrían cobrar una tasa por el uso de la u otro que provea/actualice el software de seguridad son
complejidad. Una comparación completa seguridad. UICC como SE. necesarios. Los costes adicionales para la gestión de nuevas
requeriría un análisis completo de complejidades (ver en este marco el apartado complejidad)
riesgos de ambas implementaciones. • Se necesita una inversión significativa en infraestructura de incurrirán en otros costes de magnitud aún desconocida y
varias partes: generalmente el coste de la configuración y específicos de la implementación.
Nótese que en la práctica, la evaluación
gestión del TSM lo cubre el dueño del SE y la conexión es • La aplicación aún tiene que ser suministrada de forma
del nivel de riesgo de una aplicación de cubierta por el usuario. segura y personalizada con claves o tokens, que pueden ser
software tendrá que ser completada con elaborados internamente o por una entidad externa.
un período de monitorización operativa
antes de que esté funcionando el proyecto Auditabilidad • Es robusto ya que hay un proceso establecido desde hace • La auditabilidad no está tan madura como con las soluciones
muchos años para la prueba, la certificación y la evaluación de hardware ya que los procesos formales están siendo
(certificación, riesgo de las transacciones, Otro aspecto importante para las entidades bancarias es la auditabilidad la seguridad formal. desarrollados.
provisión para riesgos financieros). En que tiene la solución, sus transacciones y la integridad de las transacciones • Los procesos son deliberadamente oscurecidos o protegidos
su lugar, se ofrece una comparación en que se realicen. Una implementación compleja es más difícil de evaluar. criptográficamente, haciendo que sea menos transparente y,
en consecuencia, menos auditable.
profundidad que tiene en cuenta las
características generales de las soluciones
hardware y software. Complejidad • La complejidad de una solución de pago móvil de SE viene • El ecosistema puede tener menos partes, aunque el papel
dada por el gran ecosistema y la cantidad de partes externas de los operadores móviles y TSMs es sustituido por los
La complejidad se puede determinar por el número de partes, el tamaño involucradas. proveedores del servicio de tokens y gestores de medidas de
del ecosistema y el nivel de seguridad deseado. • Estas partes tienen que integrar y operar juntas para seguridad software. La complejidad para la entidad bancaria
lanzar una solución exitosa. Surgen dudas de integración puede incrementarse. Los sistemas back-end de la misma,
e interoperabilidad debido a la cantidad de interfaces y la necesitarán ser adaptados para incorporar una plataforma
complejidad de ir sumando entidades bancarias adicionales u de pago en la nube que gestione los pagos móviles y sea
operadores móviles. capaz de autenticar a usuarios y pueda soportar este tipo
de transacciones. Por lo tanto, se deben hacer cambios
significativos en el sistema back-end de la entidad.
• Cuando la aplicación incorpora algoritmos criptográficos,
se necesita que otra parte haga llegar las claves o las
actualizaciones de seguridad. Otro ejemplo es la tokenización,
donde se requiere un gestor de tokens.
16 17
Estudio sobre Seguridad en los Pagos Móviles
5. Sumario
Se pueden obtener niveles similares de riesgo, sin embargo el impacto
en la usabilidad, costes, auditabilidad y complejidad varía, como se
puede comprobar en Figura 5.1.
Usabilidad La usabilidad es buena. Una vez que el La usabilidad puede estar a un nivel
producto de pago llega al usuario, la comparable, pero depende de las medidas
usabilidad está al mismo nivel que una concretas de seguridad software que la
tarjeta de pago física. entidad bancaria emplee. Estas medidas
pueden obstaculizar la usabilidad y podrían
añadir factores añadidos de coste y
complejidad a las entidades bancarias.
18
Estudio sobre Seguridad en los Pagos Móviles
19
Acerca de UL
Acerca de la GSMA
www.gsma.com
©GSMA 2014