Estudio sobre Seguridad en los Pagos Móviles

Estudio sobre
Seguridad en los Pagos Móviles
Sumario Ejecutivo
Los servicios de pago móvil se evalúan para entender el riesgo que tienen. Esta evaluación se usa para obtener un
nivel de riesgo transparente que pueda ser estudiado, asumido y gestionado por las entidades bancarias.
Con las nuevas formas de implementación de servicios que ofrece la emulación de tarjeta situada en el host (HCE por
sus siglas en inglés), las entidades bancarias se están interesando por sacar servicios más flexibles en un ecosistema
menos complejo. Sin embargo, hay una contrapartida al pasar de las soluciones de seguridad hardware a las software.
Las soluciones situadas en el hardware, como el elemento seguro a prueba de manipulación (SE por sus siglas
en inglés), han sido probadas contra los últimos ataques del mercado. Las soluciones más recientes que usan la
seguridad software, como la HCE, tienen un nivel seguridad desconocido. Las medidas de seguridad pueden reducir
la probabilidad y el impacto de un ataque con éxito basándose en lo que se sabe actualmente y en la utilización de
medidas lógicas y procedimentales. Sin embargo, la eficiencia de una implementación específica de estas medidas
tendrá que ser verificada y evaluada con el tiempo.
La seguridad de los pagos móviles sin contacto (contactless) se ha garantizado tradicionalmente mediante un
elemento seguro de hardware a prueba de manipulación, inspirado en las tarjetas con chip y PIN, que controla el
nivel de seguridad de las transacciones mediante un proceso bien conocido. Este sistema requiere que múltiples
partes participen unidas, en especial las operadoras de telefonía móvil cuando el SE es la tarjeta SIM. La HCE hace
posible que aplicaciones de pago únicamente de software puedan acceder a la interfaz contactless sin necesidad de
usar un elemento seguro físico. Algo interesante para a los bancos, interesados en desplegar sus aplicaciones con
más flexibilidad. Sin embargo, sin un elemento seguro, la HCE no proporciona las herramientas para proteger a las
aplicaciones de pago, por lo que son necesarias medidas de seguridad adicionales que reduzcan la probabilidad y el
impacto de un ataque con éxito.
Este estudio explora las vulnerabilidades típicas del sistema de pagos móvil y las medidas de seguridad que se
aplican a soluciones de pago con y sin elemento seguro en hardware, evaluando su impacto en:
•Limitaciones a la seguridad – alcanzar un nivel de riesgo similar
•Complejidad y coste – implementar las medidas de seguridad que se estime necesario
•Usabilidad – impacto en la experiencia del usuario
•Auditabilidad – capacidad de evaluar el nivel de riesgo con un buen nivel de confianza
Se han extraído cuatro conclusiones principales:
•La complejidad de todo el ecosistema puede reducirse con soluciones de seguridad software sin presencia de
un elemento seguro en hardware. Al mismo tiempo, la complejidad se desplaza hacia las entidades financieras,
que cargarán con todas las medidas de seguridad en su back-end, aplicación y procesos.
•Hay un impacto en el coste con ambas soluciones: La complejidad a la que se enfrenta la entidad financiera para
implementar y gestionar las nuevas medidas de seguridad software, llevará aparejada costes aún desconocidos;
un SE hardware necesita una inversión significativa dentro de una infraestructura múltiple, con costes
distribuidos entre sus partes.
•La usabilidad de una solución software requerirá la provisión de tokens temporales en los dispositivos, para
autorizar transacciones y realizar actualizaciones de seguridad periódicas. Algo que requieren que el usuario se
re-autentique de forma que la solución sea capaz de acceder a los datos sensibles almacenados en la nube. Un
diseño cuidadoso será necesario para preservar la calidad de la experiencia del usuario.
•La auditabilidad es posible a través de procesos formales en los tests y evaluación de la certificación y
seguridad de las soluciones de SE en hardware. Es difícil poner en práctica procesos similares para muchas
soluciones software no estandarizadas. Por ahora, la evaluación debe realizarse caso a caso y el nivel de riesgo
real se evaluará de forma más fiable cuando se hayan recogido experiencias suficientes del mercado.
Descárguese el estudio complete de:
www.gsma.com/digitalcommerce/mobile-payment-security
Estudio sobre Seguridad en los Pagos Móviles
Estudio sobre Seguridad en los Pagos Móviles
Amenazas
Amenazas
• Intercepción mediante malware instalado en las aplicaciones
•S
uplantación de identidad: Intercepción de datos de la
aplicación y credenciales de autenticación
• Redirección de datos de la aplicación a otro dispositivo
• Captura del usuario, datos de tarjeta, valores CVM y claves
ECOSISTEMA SOFTWARE Y
HARDWARE CON AMENAZAS Y
POSIBLEs MEDIDAS DE SEGURIDAD
Posibles medidas
Posibles medidas
Entorno de ejecución de confianza
Criptografía de caja blanca (D)
Controles del sistema operativo (C)
Ofuscación (E)
Verificación de usuario y de
hardware (A)
!
Sistema en la nube
Gestión confidencial
Gestión de transacciones
Plataforma de la
aplicación
Plataforma en la nube
Situado en el software
• Manipulación mediante la
descompilación de la aplicación.
El atacante obtiene del usuario,
datos de tarjeta, valores CVM y
claves
• Suplantación de identidad/
Phishing: aplicación falsa/clonada
que captura datos confidenciales
(claves de acceso, mPIN)
• Manipulación por la inyección
de un código malicioso en la
aplicación
Amenazas
Elemento Seguro a prueba de
manipulación
(el TEE, cubre la mayoría de las
amenazas)
Verificación de usuario (A)
Situado en el hardware
Posibles medidas
!
Aplicación
de pago
SIM (UICC)
Entidad bancaria
(Procesador del servidor)
Red de
Pagos
Internet
Amenazas
• Manipulación con control
de acceso al SO y al
SE, accediendo a datos
confidenciales
• Phishing con captura de
datos confidenciales (claves
de acceso, mPIN)
• Interceptación de datos de
aplicación y autenticación.
Posibles medidas
Controles del Sistema Operativo (C)
Criptografía de caja blanca (D)
Ofuscación (E)
Entorno de ejecución seguro (TEE)
Verificación de usuario y de hardware (A)
Verificación de usuario y de hardware (A)
Controles del Sistema Operativo (C)
Entorno de ejecución seguro (TEE)
Ofuscación (E)
Amenazas
• Manipulación mediante el acceso a datos confidenciales por un
puerto de depuración o virus de enraizamiento
• Manipulación mediante la ejecución de un entorno simulado para
encontrar vulnerabilidades
• Captura del usuario, datos de tarjeta, valores CVM y claves
!
Móvil
!
Adquiriente
Aplicación
de pago
móvil
HCE APIs
Controlador
NFC
!
Punto de venta
• La vulnerabilidad del
dispositivo móvil radica en
el malware instalado en el
controlador NFC combinado
con un ataque de relé
• Un comerciante fraudulento
simula un pago de bajo coste
en el que no se necesitan
verificaciones adicionales
• Manipulación mediante la
captura de criptogramas
y claves de acceso para
descubrir la debilidad del
criptograma de acceso
Posibles medidas
Operador Telefonía
Móvil
Operador TSM
Entidad bancaria TSM
Verificación de usuario y de
hardware (A)
Restricciones a las
transacciones (B)
Autenticación o tokens (F)
Acerca de UL
UL es una compañía global líder en seguridad científica que ha abogado por el
progreso durante 120 años. Sus más de 10.000 profesionales se guían por la misión
de UL de promover entornos de trabajo y vitales seguros para todo el mundo. UL
utiliza la investigación y los estándares para avanzar y satisfacer unas necesidades
de seguridad en constante evolución. Nos asociamos con empresas, fabricantes,
asociaciones comerciales y autoridades reguladoras internacionales para aportar
soluciones a una cadena de suministro global más compleja.
La división de Seguridad en las Transacciones de UL orienta a las empresas de los
sectores móvil, de pagos y de tránsito en el complejo mundo de las transacciones
electrónicas. UL es el líder mundial en garantizar la seguridad, el cumplimiento y la
interoperabilidad global. Ofrece servicios de asesoramiento, prueba y certificación,
evaluaciones de seguridad y herramientas de prueba, durante todo el ciclo de vida:
desde el proceso de desarrollo de su producto o durante la implantación de nuevas
tecnologías. El personal de UL colabora activamente con los agentes del sector
para definir normas y políticas sólidas. Les prestamos servicio a nivel local, mientras
actuamos globalmente. UL está acreditado por organismos de la industria como
Visa, MasterCard, Discover, JCB, American Express, EMVCo, PCI, GCF, ETSI, GSMA,
GlobalPlatform, NFC Forum y muchos otros.
Para más información visite www.UL.com
Acerca de la GSMA
La GSMA representa los intereses de los operadores móviles en todo el mundo.
Abarcando más de 220 países, la GSMA reúne a casi 800 operadores móviles
de todo el mundo y 250 empresas del amplio ecosistema móvil, incluyendo
fabricantes de dispositivos móviles, empresas de software, proveedores de equipos
y compañías de Internet, así como organizaciones de otros sectores de la industria
como el financiero de servicios, el de la salud, los medios, transporte y los servicios
públicos. La GSMA también organiza eventos líderes en el sector como Mobile
World Congress y Mobile Asia Expo.
El programa de Comercio Digital de la GSMA trabaja con operadores móviles,
comerciantes, bancos, redes de pago, operadores de transporte y proveedores de
servicios para apoyar el despliegue de servicios de comercio móvil. Al fomentar el
ecosistema para alentar y facilitar la colaboración, el programa ha colaborado con
el ecosistema móvil para desarrollar directrices y especificaciones para la aplicación
técnica y para construir propuestas de valor para los sectores adyacentes.
Para más información visite www.gsma.com
Oficinas centrales de GSMA
Walbrook, Planta 2, 25 Walbrook,
Londres, EC4N 8AF,
Reino Unido
Tel: +44 (0)207 356 0600
www.gsma.com
©GSMA 2014