El pago móvil sigue teniendo fantasmas por vencer. A quiénes temen usarlo al pensar qué pasaría si pierden su teléfono móvil, se suman las dudas sobre los sistemas de autenticación basados en biometría que utilizan: ¿está garantizada la seguridad del pago móvil al identificarnos con las huellas dactilares?
A pesar de que los fabricantes de dispositivos han centrado sus esfuerzos en hacer cada vez más seguros sus dispositivos, sobre todo ahora que pueden ser usados para hacer pagos, los casos de vulnerabilidades en los sistemas siguen ocurriendo. Hace poco la vulnerabilidad Stagefright puso a Android bajo los reflectores debido a que se descubrió que su lector de huellas podía ser fácilmente hackeado.
Stagefright demostró que un hacker pueden tener el control de un dispositivo con tan solo enviar un MMS infectado. Y lo peor es que ni siquiera es necesario abrirlo: si el usuario tiene activada la opción de “autorrecuperar MMS” en la aplicación por donde llega, ya el equipo estaría infectado. La vulnerabilidad fue expuesta en la Conferencia de Seguridad Black Hat de este año, donde se reúnen los hackers y expertos de seguridad del mundo para discutir sobre sus investigaciones recientes.
El framework usado por los sensores de huellas digitales de Android (encontrados en los dispositivos de HTC, Huawei, Samsung y otros) es susceptible a diversos ataques: Uno de ellos es la capacidad de desviar los sistemas de pago móvil, algo que probablemente Google o Samsung no quiere que se haga público considerando que Android Pay y Samsung Pay están próximos a salir.
Lo peor de todo es que los hackers serían capaces de extraer la huella de un usuario de un sensor Android, lo que podría acarrear todo tipo de peligros, entre los que se incluye el robo de identidad. Los expertos en la conferencia señalaron que tanto el Samsung Galaxy S5 como el HTC One Max presentaron vulnerabilidades, aunque pueden haber más dispositivos que las tengan.
Probablemente Apple está bastante feliz ya que con esta noticia se ha develado que el TouchID es quiźa el mejor escáner del mercado, ya que este sistema no proporciona información de la huella dactilar sin una “llave cifrada”, lo que quiere decir que no puede ser desbloqueada aún si es el dispositivo es hackeado. Se presume que para Android sería fácil aplicar un protocolo parecido al de Apple y ahora que los fabricantes están conscientes de la vulnerabilidad, ya se encuentran actualizando sus dispositivos para solventar el problema.
