La comunicación de campo cercano (NFC, por sus siglas en inglés) ha estado presente por un tiempo bastante prolongado, pero no ha conseguido imponerse en el mercado. Pero eso va a cambiar. La NFC se encuentra actualmente en un punto de inflexión, porque los grandes fabricantes de teléfonos móviles, emisores de tarjetas de crédito y empresas de procesamiento financiero han encontrado la manera de hacer los pagos móviles seguros mediante el uso de sólidas metodologías criptográficas, específicamente, la tokenización. El avance proviene de las autoridades emisoras de tokens que se insertan directamente en el sistema de procesamiento de la tarjeta de crédito existente, lo que permite implementar la criptografía sin que sea necesario rediseñar en su mayoría el sistema de pagos. Esto impulsará un crecimiento explosivo en el mercado de pago móviles, y es un perfecto ejemplo de cómo la seguridad puede realmente crear un mercado. No es difícil imaginar el mismo crecimiento dinámico de creación de mercado en el emergente Internet de las cosas (IoT).
Irónicamente, a pesar de su nombre perfectamente literal, "comunicación de campo cercano", la NFC sufre una crisis de identidad. Como su nombre lo define claramente, la NFC es una tecnología de comunicación que utiliza campos electromagnéticos de corto alcance (es decir, ondas de radio). Entonces, se podría pensar que el nombre habla por sí mismo; pero como sucede a menudo, una tecnología específica se combina con las formas en que se utiliza. Esto ha sucedido con la tecnología NFC.
Los usos de la NFC se pueden describir como compartir, emparejar y realizar transacciones. Las transacciones son de lejos el rubro principal de la NFC, y es por eso que actualmente muchas personas piensan que la NFC es un sistema de pago. En realidad la NFC es sólo una pequeña parte del sistema de pago, específicamente la línea inalámbrica que conecta un dispositivo móvil o tarjeta inteligente con el resto del sistema de pago, sin necesidad de un contacto eléctrico físico. Esto permite las transacciones simplemente topando un terminal de pago. Los sistemas de pago como Apple Pay, Google Wallet, Visa Pay Wave, MasterCard Pay Pass, American Express Express Pay, Softcard (Isis) y otros pueden utilizar la NFC y aplicar sus propios mecanismos de seguridad. Es importante que tenga en cuenta que la NFC tiene muchos más usos que los pagos, pero los pagos son los que harán que la NFC sea parte de la vida diaria de todos, y su crecimiento será asombroso.
La ubicuidad de los teléfonos inteligentes a nivel mundial se cruza con la conveniencia de la NFC y la seguridad de la tokenización. Esta combinación impulsará el crecimiento de los teléfonos inteligentes equipados con NFC a 1,2 millones en 2018, según la reconocida firma de investigación IHS, presentando una tasa de crecimiento anual compuesta de 34 %. Los teléfonos inteligentes Android constituyen el grueso del mercado de teléfonos inteligentes, y también representan la participación de Lion en la implementación de teléfonos inteligentes con NFC con 254 millones de unidades enviadas en el 2013, convirtiendo al Android en el 93 % de todos los teléfonos celulares equipados con NFC. Para el año 2018, los teléfonos Android con NFC pueden llegar a los 844 millones de unidades, con la participación descendiendo al 75 % debido a la incorporación de otras empresas, especialmente el gigante de las comunicaciones Apple. El asunto es que la NFC se está convirtiendo en una tecnología predeterminada en los aparatos telefónicos.
Seguridad de la NFC
Incluso los sistemas de pago actuales con tarjeta tienen seguridad integrada en la forma que manejan las transacciones. Es por eso que después de pasar nuestra tarjeta en un establecimiento de compra tenemos que esperar la autorización de la compañía de procesamiento de la tarjeta. Como bien sabe cualquier persona que ha recibido una llamada del departamento de fraude de su compañía de tarjeta de crédito, ese sistema no es muy seguro en absoluto, en gran parte debido a que le entregamos nuestras tarjetas a vendedores y camareros, con nuestro número de tarjeta, fecha de caducidad y códigos de seguridad a la vista. Además, nuestros números de tarjeta y datos personales se encuentran dentro de sistemas inseguros en docenas de compañías minoristas (sólo pregunte a Target y Home Depot cuán seguro eran sus sistemas). Pero el concepto más desconcertante es que la tecnología de tarjetas de banda magnética es de la época de las cintas de ocho pistas y las alfombras de pelo largo. La banda magnética es una tecnología tan deficiente que en el 2013 los EE.UU., que utiliza principalmente la banda magnética, registró el 47 por ciento del fraude global al procesar sólo el 24 por ciento de los pagos por volumen.
Es evidente que ya es tiempo de una verdadera seguridad en las transacciones financieras personales a nivel mundial, y la tokenización parece serlo.
Obstáculos para la adopción de la NFC
El principal obstáculo para la adopción de la NFC ha sido una serie de instituciones de grandes capitales tratando celosamente de pescar una posición para obtener una participación injusta del enorme pastel del procesamiento de pagos. Los jugadores van desde los mega-bancos (es decir, el grupo "demasiado grandes para fallar"), a gigantes compañías de tarjetas de crédito (que cobran grandes cuotas consideradas antiguamente como usura), poderosas compañías de procesamiento de tarjetas, los principales fabricantes de teléfonos móviles, los desarrolladores de software de ecosistemas, numerosos organismos gubernamentales internacionales y varios otros. Las maquinaciones entre estos grupos impresionarían a Niccolo Machiavelli, Charles Darwin y la familia Borgia (pero eso es un tema para otro artículo). Con tantos jugadores poderosos halando desde diferentes direcciones, el panorama de los pagos móviles se ha dividido, retrazando la propagación de la tecnología de la NFC. Eso está a punto de cambiar debido a la tokenización y a los teléfonos móviles.
Tokenización
La tokenización es una función criptográfica fundamental, basada en un principio simple pero importante de la criptografía; es decir, mantener los secretos en secreto. El número de su tarjeta de crédito es un ejemplo perfecto de algo que usted desea mantener en secreto. Entonces, ¿qué pasa si usted puede ocultarlo y reemplazarlo con algo completamente inútil para las personas no deseadas? Ese concepto es muy poderoso, especialmente al utilizar un teléfono móvil como tarjeta de crédito, ya que los teléfonos móviles fueron creados para transmitir información a la atmósfera. Los teléfonos contienen múltiples canales de comunicación, cada uno de los cuales puede ser atacado, como la NFC, Wi-Fi, Celular, USB, GPS y Bluetooth. Es fácil darse cuenta del problema, ¿no? ¿Cómo puede proteger la información secreta sensible, tal como identificadores digitales, contraseñas, información de la cuenta de la tarjeta de crédito y los secretos financieros al usar los dispositivos más comunicativos que se han inventado? Mediante la tokenización, y será muy importante.
Como se ha indicado, la idea detrás de la tokenización es mantener en secreto la información secreta al esconderla en un lugar seguro y utilizando un identificador sustituto. La mejor forma de ocultar la información en un dispositivo móvil es dentro de un circuito integrado con mecanismos de protección del hardware integrados. En un teléfono celular equipado con la NFC, el hardware es denominado el "elemento seguro" (el cual es un nombre descriptivo, sin lugar a duda). Con la tokenización, la información del usuario se disfraza utilizando la criptografía en una forma que se parezca a la información original y puede ser utilizada para completar una transacción segura, pero solo con determinadas partes dentro del sistema que pueden vincular dicha información de vuelta al número de tarjeta de crédito. Para utilizar el lenguaje de un alto ejecutivo de Visa, "La tokenización retira del flujo el verdadero número de cuenta de la tarjeta".
En cada transacción individual, el proceso de tokenización sustituye el número de cuenta con una representación numérica única que tiene la propiedad de no poder utilizarse para reconstruir el número de cuenta secreto. Las matemáticas que hacen esto posible se basan en gran medida en las funciones de dispersar (hashing) y firmar, utilizando algoritmos criptográficos como SHA, AES, ECC, RRSA u otros.
Cada transacción se asigna al azar usando un número aleatorio diferente. Tenga en cuenta que el secreto almacenado en el dispositivo móvil probablemente no sea el número de tarjeta real. Es más probable que el secreto guardado en el teléfono sea un único "número de cuenta del dispositivo" asignado por un proveedor de servicio del token. El proveedor de servicio del token mantendrá seguro el número de tarjeta real. (El número de cuenta del dispositivo probablemente es lo que la especificación de la tokenización denomina el "token de pago"). Debido a que cada transacción utiliza un valor aleatorio, no existe correlación entre el valor de una transacción y el de la siguiente. Por definición, son tan diferentes como pueden ser. De este modo, el secreto no puede ser descifrado por un atacante analizando transacciones subsiguientes.
Aleatoriedad, secretos y matemáticas
Las tres metodologías criptográficas importantes que se utilizarán en los pagos móviles de cara al futuro son 1) La asignación al azar, 2) Los secretos guardados en un hardware seguro, y 3) Las funciones matemáticas criptográficas irreversibles de un solo sentido. Estas tres metodologías son lo que va a crear una verdadera seguridad en el universo digital, al igual que lo hicieron los guardias, las armas y los perros antes de que se utilizaran las computadoras. El uso de estas metodologías y de la tokenización para extraer el número de la tarjeta fuera del flujo, significa que los pagos móviles basados en la NFC serán más seguros que pasar una tarjeta de crédito por el lector. Parafraseando a un importante ejecutivo de una compañía de tarjetas de crédito, la tokenización será el mayor cambio en las redes de pago de los últimos 15 a 20 años, y es probable que sea el punto de inflexión que integre a la NFC a la tendencia principal. Es difícil no estar de acuerdo.
El resto de la historia de la NFC
Además de los pagos, la NFC se puede utilizar para una gran variedad de aplicaciones, algunas de las cuales se indican a continuación:
-
Pago de parquímetros
-
Obtener pasajes o tarjetas de embarque
-
Abrir puertas
-
Llaves del carro
-
Descargar información (por ejemplo, kioscos, carteles inteligentes, etc.)
-
Ajustar las configuraciones en cabina del automóvil
-
Elementos de seguimiento (por ejemplo, equipaje, materiales industriales)
-
Aplicaciones para emparejar Bluetooth
-
Programar productos de consumo
-
Compartir archivos
-
Apagar las baterías del teléfono (por ejemplo, con un golpecito en la mesa de noche)
-
Boletos de transporte público
-
Tarjetas comerciales electrónicas
-
Enlaces directos personales
-
Implantes (por ejemplo, rastreo de mascotas)
Carterista electrónico
Los sistemas tokenizados descritos anteriormente están diseñados en torno a los pagos. Estas técnicas no necesariamente se aplicarán a otros modelos de uso de la NFC. Como con cualquier estándar de comunicaciones inalámbricas, hay espacio para la interceptación, corrupción, falsificación de IP o spoofing y suplantación de identidad, entre otras conductas inapropiadas. La NFC no es diferente. Cuando recién apareció la NFC, la gente pensaba que las cortas distancias de comunicación de la NFC establecían un nivel significativo de seguridad. Eso es una tontería: las distancias cortas no crean una seguridad real. Para despejar ese mito para siempre, los investigadores de la Universidad de Surrey (Reino Unido) crearon un receptor barato y pequeño capaz de espiar las tarjetas a distancias de 20 a 90 centímetros. Incluso tenían una buena recepción hasta a 45 centímetros, lo cual es importante porque se supone que los sistemas de pago no pueden transferir los datos a más de 10 cm de un lector. Es evidente que no se puede confiar en la distancia. Sólo puede confiar en las metodologías de seguridad reales. De hecho, la NFC ha demostrado ser una manera fácil de escabullirse en un sistema, y se le puede considerar como otra superficie de ataque. Recientemente, en una convención de entusiastas del hacking, la NFC fue explotada para irrumpir en las plataformas de los dos principales proveedores de teléfonos móviles basados en Android. Eso resume bastante bien lo importante que es aplicar metodologías de seguridad del mundo real a todas las aplicaciones de la NFC, de modo que no se convierta en un carterista electrónico de topar-y-cargar.
Para proporcionar el conjunto completo de seguridad, deben estar presentes los tres pilares fundamentales de la seguridad. Puede recordarlos mediante la sigla "CIA", que significa confidencialidad, integridad y autenticación. (Además, como hemos visto con los pagos móviles, almacenar secretos en un hardware protegido es otro aspecto crítico).
-
La confidencialidad es asegurar que nadie puede leer el mensaje, excepto el receptor previsto. En general, esto se consigue mediante el cifrado y descifrado, que oculta el mensaje de todas las personas excepto el emisor y el receptor.
-
La integridad, también denominada integridad de datos, asegura que el mensaje recibido no fue alterado. Esto se realiza utilizando funciones criptográficas. Para aplicaciones simétricas, por lo general esto se lleva a cabo mediante el resumen (hash) de los datos con una clave secreta y el envío del resultado de dicho hash (denominado código de autenticación del mensaje o "MAC" por sus siglas en inglés) junto con los datos hacia el otro lado, el cual realiza las mismas funciones para crear el MAC y luego comparar ambos MAC para ver si coinciden. Firmar-verificar es el mecanismo asimétrico utilizado para asegurar la integridad.
-
La autenticidad es la verificación de que el remitente de un mensaje es quien dice ser (es decir, es real). En los mecanismos de autenticación simétrica esto generalmente se lleva a cabo con un desafío (a menudo un número aleatorio) que se envía al otro lado para ser resumido (hashed) con una clave secreta para crear una respuesta MAC, la que luego se envía de vuelta al lado que inició el desafío. Luego, el lado del desafío ejecuta los mismos cálculos internamente para crear un MAC utilizando las mismas entradas, y después compara los MAC de ambos lados para ver si coinciden.
Debido a que la especificación de la NFC deja la seguridad al diseñador, ¿qué pueden hacer los diseñadores para conferir una seguridad sólida? Un punto obvio es empezar con el almacenamiento de la clave secreta protegida. Dispositivos,como los circuitos integrados CryptoAuthenticationTM de Atmel, han sido creado específicamente para este propósito. Además de asegurar las claves secretas en un hardware protegido, dichos dispositivos proporcionan motores de criptografía en paquetes pequeños, rentables y fáciles de usar.
Las enseñanzas que nos ha dejado la evolución del sistema de pagos es que la seguridad es obligatoria, que el almacenamiento secreto seguro es crítico para eso, y que se deben emplear procesos criptográficos. Debido a que actualmente están disponibles dispositivos de seguridad sólidos, pequeños y rentables, la NFC puede de hecho ser la tecnología del presente hacia el futuro en todos los modelos en uso.
-