No solo Apple está lanzando un sistema de pagos inteligentes. MasterCard acaba de anunciar la primera tarjeta que utiliza la huella dactilar para autenticar pagos, como reportó The Verge. Esta tarjeta, que será lanzada al mercado en 2015, es producto de una alianza con Zwipe, la compañía detrás de esta tecnología biométrica.
Podrás acercar la tarjeta a un lector NFC para pagos sin contacto. ¿Cómo funciona? Solo se realizará el pago si el pulgar se encuentra sobre el sensor incorporado a la tarjeta, el cual está encargado de reconocer la identidad del propietario de la cuenta. Esta sería la primera tarjeta de crédito autenticada del mundo en contar con esta revolucionaria tecnología que facilitará nuestros pagos en el futuro cercano y evitará que personas ajenas hagan compras con nuestra tarjeta sin nuestro consentimiento.
Según el comunicado de prensa de Zwipe, esta tarjeta es la primera de su clase y combina la seguridad de la autenticación biométrica con la velocidad y la comodidad del pago sin contacto, pues la autenticación biométrica sustituye el PIN, lo que para la compañía es un sistema mucho más seguro que permite hacer pagos por cualquier cantidad.
Zwipe estuvo probando un piloto de este nuevo sistema con un banco noruego. Esta prueba les permitió hacer grandes mejoras y cambios para que sea más fácil de manejar lo que será la tarjeta oficial de 2015, que empezará a funcionar en Reino Unido.
Además, por seguridad del usuario, los datos de las huellas dactilares se almacenarán directamente en la tarjeta y nunca se transmitirán a MasterCard o a una base de datos externa.
Imagen: Zwipe.
hmm.. cosas que se me ocurren.. si se roban la tarjeta le pueden poner la memoria que tiene la información de la huella a otra tarjeta.. un riesgo de seguridad.. o si la validación la hace la misma tarjeta y la tarjeta le envía el mensaje a la máquina de sí valida o no valida, lo único que hay qué hacer es copiar el mensaje de sí valida o no valida, que viaja por nfc.. o simplemente se roban la tarjeta con la huella pintada en grasita dactilar.. hmm.. tal vez eso funcione en noruega donde no hay tanto ladrón..
editado: aunque tiene su mérito que hayan puesto un lector de huellas en un atarjeta. me regunto de dónde sale la corriente, si la máquina de pagos se la pasa por inducción en el momento del pago, o eso tiene una pila (y cómo se cambia) o cómo funciona..
Curiosamente, estoy en una posición única para responder esa pregunta. Estoy en un país donde hay implementado algo parecido y tuve una clase sobre esa tecnología en particular la semana pasada. Lo que tienen implementado acá es débito (convencional, sacado de una cuenta bancaria) vía NFC con límites muy bajos (25 EUR) sin ningún tipo de autenticación adicional, por lo que la implementación de un control biométrico (huella dactilar, en este caso) puede ser una adición interesante (el objetivo fundamental es que sea rápido: acá la usan, por ejemplo, para pagar un almuerzo en un restaurante y no demorar las filas).
En cuanto a la tecnología, la energía se transmite por inducción, pero es la forma en que funciona la comunicación mediante NFC. No quiero alargar mucho el comentario, pero en versión resumida: todas las tarjetas inteligentes tienen un “computador” integrado (memoria, procesador, etc.), pero necesitan de una fuente de energía. De esta forma, es posible autenticar mutuamente a la tarjeta y al equipo (un datáfono, por ejemplo) sin revelar información que pudiera ser usada para una suplantación.
me parece que hay diferencias. por ejemplo, lo que ud describe suena como lo de las pulseras de disney, que según leí fue una de las inspiraciones para los pagos de apple. en esa situación lo que ud dce es algo medio experimental, donde quienes cobran el pago son los mismos qu ehacen la tarjeta, y son los que tenen los puntos de pago. si yo hago tanto las tarjetas como la máquina en el punto de pago y no es un estándard, no van a haber personas caminando en la calle con máquinas de pago. las máquinas de pasgo están en sitios fijos, y si yo hago todo, yo decido cómo es la comunicación entre esas tarjetas y las máquinas.
si por el contrario es un estándard, y cualquiera pñpuede hacer cobros con ese tipo de pago, entonces imagine que du lleva su tarjeta nfc en el bolsillo, y cualquiera puede andar con un datáfono (o el equivalene a un datáfono) por la calle, en el bus o donde sea, y cualquiera que acerque un bicho de esos al bolsillo de su pamtalón puede descargarle la tarjeta, y ud ni se dio cuenta, porque no necesitaba de su intervención para nada, sólo con acercar la tarjeta al punto de pago con eso ya se hizo el pago, sin que ud hiciera es avalidación.
como acá no se trata de pagos de almuerzos o de comprar un recuerdo en disney, donde si alguien va a hacer un cobro no tiene forma de redimirlo si ud no apartó un cupo y hacen el descuento a nombre de disney en un repositiorio central, para eso es la validación. si alguien acerca un datáfono (por ponerle un nombre) a su bolsillo, eso no es suficiente para hacer el pago si ud no pone el dedo en ese momento en el lector de huellas. la cuestión es que tanto el sistema de validación, como la misma tarjeta que en cierta forma es equivalente a la plata, van integradas. de pronto no le roban la plata simplemente acercando un aparato al bolsillo (y por eso ahora hay tanto billeteras como otras cosas para que al acercar algo a su bolsillo no le saquen información de sus tarjetas o el pasaporte), pero así como lo pintan, se abren nuevas posibilidades
si yo le pongo una memoria con mi huella a su tarjeta (no sé cómo sea la tarjeta por dentro, hasta ahora me entero con este artículo), yo puedo usar mi huella para hacer pagos con su plata. si la información de la huella no pasa de la tarjeta al datáfono, sino que la tarjeta pasa un mensaje de sí aceptado el pago o no aceptado el pago, yo únicamente tendría qué copiar ese mensaje y después repetirlo, saltándome lo de la huella. si no, simplemente me robo su tarjeta y saco la huella que está pintada en la tarjeta. seguramente ellos mismso habrán pensado en aspectos como esos, pero como muchas cosas en seguridad, no las implementan porque ellos mismos piensan ‘eso no va a pasar’, y no toman medidas serias hasta que no pasa o se vuelve un problema masivo. o puede que yo esté equivocado
Comparto con usted buena parte de las preocupaciones, y el tema de la biometría es más bien cuestionable como mecanismo de autenticación (en versión resumida: si le roban la contraseña, la cambia. Si le roban la huella -que, además, va dejando por todas partes-, las opciones no son muchas). Pero es un avance. Y lo es porque las tarjetas se quedaron en el siglo pasado. Sólo hasta este mes EEUU empezó a pensar en tarjetas con chip (lo que más reduce la seguridad de una tarjeta con chip es que todavía tiene banda magnética). Y las tarjetas de crédito son vergonzosas: la autenticación depende de un número inmodificable de 3 dígitos que cualquier cajero podría recordar si mira la parte trasera (por ejemplo, “para ver si tiene firma”). Viéndolo así, son pasos en la dirección correcta.
Sobre NFC, tenga presente que es la misma tecnología que usan, por ejemplo, la nueva tarjeta de Transmilenio o la de Cineco. No es que estén inventando la rueda con esa parte del proceso. Lo que hace difícil atacar este sistema (además de que el campo de acción difícilmente sale del bolsillo) es lo que se conocen como protocolos de cero conocimiento. Ahorita, de hecho, el mismo escenario existe: Redeban proporciona los datáfonos, MasterCard, Visa y demás las tarjetas, un tercero las imprime y los bancos autorizan. Y en el caso de las tarjetas de crédito, el plástico basta para hacer la transacción.
(Como nota final: acá están pensando en implementar pagos del sistema de transporte con ese mecanismo -que es una aplicación de NFC que ha sonado hace varios años, pero nunca he visto implementada-. La idea es que estas tarjetas las proporcionan los bancos y las leen los datáfonos. Pero son muchas entidades distintas con intereses distintos. Es un escenario complejo.)
la prueba en bancolombia, que es muy parecido al ejemplo de Sergio, funciona de manera muy simple y esta pensada para Colombia:
NO se pueden hacer compras de mas de 40.000.
El pago debe ser el total de la compra, no puedo pagar 100.000 con tres pagos por NFC.
Solo se permiten 3 pagos en el día.
inmediatamente pagas te notifica vía correo y SMS
Todo esto esta pensado para que no sea útil el robo. empezando por que es experimental y solo una de cada 20 (por decir una cifra) tarjetas DEBITO de bancolombia tienen esta tecnología, un ladrón tendría que andar con este aparato todo el día para encontrar una o dos victimas, lo máximo que podría robar serían 100 por cliente, en caso de que no lo detecten antes.
Los datáfonos que tienen esta tecnología, envían un dato con el ID del equipo que solicita el cobro y el valor a pagar, sin estos datos no se podría aprobar la venta; en caso de que sea una clonación, hay un sistema de redeban que no deja hacer dos pagos muy cercanos en el tiempo de la misma tarjeta al mismo datáfono.
Si hay robo lo puede haber pero estas pruebas dan tiempo para aprender a prevenirlos.
No sé si esta conversación sigue viva, pero si les llega alguna notificación, esta noticia puede interesarles: http://thehackernews.com/2014/11/hackers-can-steal-99999999-from-visa.html
hmm.. cosas que se me ocurren.. si se roban la tarjeta le pueden poner la memoria que tiene la información de la huella a otra tarjeta.. un riesgo de seguridad.. o si la validación la hace la misma tarjeta y la tarjeta le envía el mensaje a la máquina de sí valida o no valida, lo único que hay qué hacer es copiar el mensaje de sí valida o no valida, que viaja por nfc.. o simplemente se roban la tarjeta con la huella pintada en grasita dactilar.. hmm.. tal vez eso funcione en noruega donde no hay tanto ladrón..
editado: aunque tiene su mérito que hayan puesto un lector de huellas en un atarjeta. me regunto de dónde sale la corriente, si la máquina de pagos se la pasa por inducción en el momento del pago, o eso tiene una pila (y cómo se cambia) o cómo funciona..
Curiosamente, estoy en una posición única para responder esa pregunta. Estoy en un país donde hay implementado algo parecido y tuve una clase sobre esa tecnología en particular la semana pasada. Lo que tienen implementado acá es débito (convencional, sacado de una cuenta bancaria) vía NFC con límites muy bajos (25 EUR) sin ningún tipo de autenticación adicional, por lo que la implementación de un control biométrico (huella dactilar, en este caso) puede ser una adición interesante (el objetivo fundamental es que sea rápido: acá la usan, por ejemplo, para pagar un almuerzo en un restaurante y no demorar las filas).
En cuanto a la tecnología, la energía se transmite por inducción, pero es la forma en que funciona la comunicación mediante NFC. No quiero alargar mucho el comentario, pero en versión resumida: todas las tarjetas inteligentes tienen un “computador” integrado (memoria, procesador, etc.), pero necesitan de una fuente de energía. De esta forma, es posible autenticar mutuamente a la tarjeta y al equipo (un datáfono, por ejemplo) sin revelar información que pudiera ser usada para una suplantación.
me parece que hay diferencias. por ejemplo, lo que ud describe suena como lo de las pulseras de disney, que según leí fue una de las inspiraciones para los pagos de apple. en esa situación lo que ud dce es algo medio experimental, donde quienes cobran el pago son los mismos qu ehacen la tarjeta, y son los que tenen los puntos de pago. si yo hago tanto las tarjetas como la máquina en el punto de pago y no es un estándard, no van a haber personas caminando en la calle con máquinas de pago. las máquinas de pasgo están en sitios fijos, y si yo hago todo, yo decido cómo es la comunicación entre esas tarjetas y las máquinas.
si por el contrario es un estándard, y cualquiera pñpuede hacer cobros con ese tipo de pago, entonces imagine que du lleva su tarjeta nfc en el bolsillo, y cualquiera puede andar con un datáfono (o el equivalene a un datáfono) por la calle, en el bus o donde sea, y cualquiera que acerque un bicho de esos al bolsillo de su pamtalón puede descargarle la tarjeta, y ud ni se dio cuenta, porque no necesitaba de su intervención para nada, sólo con acercar la tarjeta al punto de pago con eso ya se hizo el pago, sin que ud hiciera es avalidación.
como acá no se trata de pagos de almuerzos o de comprar un recuerdo en disney, donde si alguien va a hacer un cobro no tiene forma de redimirlo si ud no apartó un cupo y hacen el descuento a nombre de disney en un repositiorio central, para eso es la validación. si alguien acerca un datáfono (por ponerle un nombre) a su bolsillo, eso no es suficiente para hacer el pago si ud no pone el dedo en ese momento en el lector de huellas. la cuestión es que tanto el sistema de validación, como la misma tarjeta que en cierta forma es equivalente a la plata, van integradas. de pronto no le roban la plata simplemente acercando un aparato al bolsillo (y por eso ahora hay tanto billeteras como otras cosas para que al acercar algo a su bolsillo no le saquen información de sus tarjetas o el pasaporte), pero así como lo pintan, se abren nuevas posibilidades
si yo le pongo una memoria con mi huella a su tarjeta (no sé cómo sea la tarjeta por dentro, hasta ahora me entero con este artículo), yo puedo usar mi huella para hacer pagos con su plata. si la información de la huella no pasa de la tarjeta al datáfono, sino que la tarjeta pasa un mensaje de sí aceptado el pago o no aceptado el pago, yo únicamente tendría qué copiar ese mensaje y después repetirlo, saltándome lo de la huella. si no, simplemente me robo su tarjeta y saco la huella que está pintada en la tarjeta. seguramente ellos mismso habrán pensado en aspectos como esos, pero como muchas cosas en seguridad, no las implementan porque ellos mismos piensan ‘eso no va a pasar’, y no toman medidas serias hasta que no pasa o se vuelve un problema masivo. o puede que yo esté equivocado
Comparto con usted buena parte de las preocupaciones, y el tema de la biometría es más bien cuestionable como mecanismo de autenticación (en versión resumida: si le roban la contraseña, la cambia. Si le roban la huella -que, además, va dejando por todas partes-, las opciones no son muchas). Pero es un avance. Y lo es porque las tarjetas se quedaron en el siglo pasado. Sólo hasta este mes EEUU empezó a pensar en tarjetas con chip (lo que más reduce la seguridad de una tarjeta con chip es que todavía tiene banda magnética). Y las tarjetas de crédito son vergonzosas: la autenticación depende de un número inmodificable de 3 dígitos que cualquier cajero podría recordar si mira la parte trasera (por ejemplo, “para ver si tiene firma”). Viéndolo así, son pasos en la dirección correcta.
Sobre NFC, tenga presente que es la misma tecnología que usan, por ejemplo, la nueva tarjeta de Transmilenio o la de Cineco. No es que estén inventando la rueda con esa parte del proceso. Lo que hace difícil atacar este sistema (además de que el campo de acción difícilmente sale del bolsillo) es lo que se conocen como protocolos de cero conocimiento. Ahorita, de hecho, el mismo escenario existe: Redeban proporciona los datáfonos, MasterCard, Visa y demás las tarjetas, un tercero las imprime y los bancos autorizan. Y en el caso de las tarjetas de crédito, el plástico basta para hacer la transacción.
(Como nota final: acá están pensando en implementar pagos del sistema de transporte con ese mecanismo -que es una aplicación de NFC que ha sonado hace varios años, pero nunca he visto implementada-. La idea es que estas tarjetas las proporcionan los bancos y las leen los datáfonos. Pero son muchas entidades distintas con intereses distintos. Es un escenario complejo.)
la prueba en bancolombia, que es muy parecido al ejemplo de Sergio, funciona de manera muy simple y esta pensada para Colombia:
NO se pueden hacer compras de mas de 40.000.
El pago debe ser el total de la compra, no puedo pagar 100.000 con tres pagos por NFC.
Solo se permiten 3 pagos en el día.
inmediatamente pagas te notifica vía correo y SMS
Todo esto esta pensado para que no sea útil el robo. empezando por que es experimental y solo una de cada 20 (por decir una cifra) tarjetas DEBITO de bancolombia tienen esta tecnología, un ladrón tendría que andar con este aparato todo el día para encontrar una o dos victimas, lo máximo que podría robar serían 100 por cliente, en caso de que no lo detecten antes.
Los datáfonos que tienen esta tecnología, envían un dato con el ID del equipo que solicita el cobro y el valor a pagar, sin estos datos no se podría aprobar la venta; en caso de que sea una clonación, hay un sistema de redeban que no deja hacer dos pagos muy cercanos en el tiempo de la misma tarjeta al mismo datáfono.
Si hay robo lo puede haber pero estas pruebas dan tiempo para aprender a prevenirlos.
No sé si esta conversación sigue viva, pero si les llega alguna notificación, esta noticia puede interesarles: http://thehackernews.com/2014/11/hackers-can-steal-99999999-from-visa.html
Y como garantizan la seguridad en caso que le corten el pulgar al titular de la tarjeta?
Y como garantizan la seguridad en caso que le corten el pulgar al titular de la tarjeta?