Cada vez es más habitual pagar con el móvil, según un estudio del Banco de España y, desde Rikki, hemos constatado que éste es un método genera confianza en aquellos usuarios que están más digitalizados. Pues bien, examinemos cuál es la tecnología detrás de este método.
Los wallets que custodian la tarjeta bancaria en el móvil (Google Pay, Samsung Pay o Apple Pay son los más comunes) son hot wallets, es decir, siempre están conectados a internet para hacer transacciones rápidas. Frente a la tarjeta de plástico, el uso de los wallets que custodian tarjetas bancarias añaden estas otras medidas de seguridad:
- Los datos de la tarjeta los controlan el emisor de la tarjeta y la red de pagos (Visa, Mastercard, etc.). Dicho de otro modo, nunca se almacenan directamente en el dispositivo, a diferencia de cómo se hace con la banda magnética o el chip de la tarjeta de plástico, lo que significa que estos datos se ocultan a cualquiera.
- Cada vez que se añade una tarjeta al wallet ésta es tokenizada, es decir, se genera un token que identifica la tarjeta y el dispositivo (smartphone o smartwatch), de modo que los datos de la tarjeta nunca se transmiten durante el proceso de pago. En otras palabras, con el uso de los wallets digitales no es posible la clonación de la tarjeta.
- El banco o la red de pagos tienen control sobre la activación o desactivación de la tarjeta en el wallet. En consecuencia, no sólo comprueban la identidad del titular de la tarjeta en el momento de activarla en el wallet, sino que también pueden desactivarla o bloquearla si sospechan de actividad fraudulenta. Además, si la tarjeta se da de baja en el banco, automáticamente dejará de funcionar en el móvil, o se actualizará el token en el wallet si se solicita una nueva cuando caduca la vieja. También, en caso de quedarse sin fondos en la cuenta, el banco podrá bloquear la tarjeta. Incluso, si el banco se declara en quiebra, Visa o Mastercard pueden desactivarla.
- Para la aprobación del pago se requiere autenticación biométrica o PIN. Tampoco se generan ni se controlan claves privadas para autorizar los pagos (al contrario que las criptomonedas).
- El usuario tiene la opción de bloqueo remoto si pierde el móvil.
Como podemos ver, el circuito tecnológico de seguridad aumenta de forma significativa con los wallets del móvil, hasta el punto de hacerlo prácticamente infranqueable, aunque a costa de ceder una parte importante del control al banco o a la red de pagos. Suena bonito pero acabaremos entendiendo las consecuencias a medida que lo vayamos usando.
Dicho esto, cuanto más seguro es este circuito tecnológico, más vulnerable somos sus usuarios, porque, desde el punto de vista de los ciberdelincuentes, cuanto más difícil sea franquear la seguridad de esta tecnología, más motivo tendrán de dirigir su ataques a la parte más débil del circuito, los titulares de las tarjetas. En definitiva, el viejo truco de siempre.
En los dos siguientes artículos examinaremos los puntos que nos hacen más vulnerables.
