Perspectivas sobre pérdida y robo: ApplePay y Google Wallet

Los servicios de pago móvil y sus mecanismos de seguridad

ApplePay y Google Wallet son servicios de apgo móvil que pretenden hacer más cómoda la experiencia de compra de sus usuarios, al tiempo de proteger su información de pago con las más altas medidas de seguridad.

Especialistas en cursos de protección de datos personales mencionan que tanto ApplePay como Google Wallet prestan mucha atención a la seguridad. De hecho, podemos incluso hacer una declaración general de que casi todos los servicios de monedero móvil son al menos un poco más seguros que las tarjetas de banda magnética tradicionales, pero para ser honestos, esa no es una comparación correcta. Hoy se trata de irrumpir en la industria de pagos a través de la innovación y la tecnología. En el proceso, se debe realizar un esfuerzo por alcanzar niveles sin precedentes de seguridad y protección de datos, no sólo dar pequeños pasos hacia adelante.

ApplePay y Google Wallet están enfocados en lograr eso. Ambos se ocupan de la seguridad en todos los niveles dentro del ciclo de vida de pago sin comprometer la comodidad para los consumidores. Este artículo tratará de identificar algunas diferencias en su estrategia de seguridad en casos donde un dispositivo sea robado.

Antes, cuando perdíamos nuestra billetera física, la medida de seguridad inmediata era identificar todas las tarjetas de crédito, débito y cualquier cosa de valor que pudiera estar ahí guardada, llamar al servicio de atención al cliente de los respectivos bancos e informar a cada uno sobre la pérdida o robo. Entre la hora del robo de las tarjetas y el momento en que se reportan a los bancos emisores, sólo quedaba esperar que no hubieran sido utilizadas. Incluso después de que se haya denunciado el robo de la tarjeta, aún existe la posibilidad de un uso incorrecto basado en transacciones fuera de línea que es común en algunos lugares.

Ahora, piense en este escenario: usted perdió su teléfono Android equipado con Google Wallet o un iPhone equipado con ApplePay con múltiples cuentas de pago almacenadas en la memoria del dispositivo. A diferencia de la billetera física, Google Wallet está protegido por un PIN que sólo conoce el usuario. En ApplePay, la información está protegida mediante Touch ID, que sólo puede usar el propietario del dispositivo.

Un ladrón sin conocimientos sobre tecnología no podía superar siquiera este primer nivel de seguridad. Ninguna tarjeta almacenada en la billetera electrónica podrá ser usada.

Ahora, una vez que se dé cuenta de que ha perdido su teléfono, no tiene que entrar en pánico tratando de recordar todas las tarjetas que tenía dentro y tratando de encontrar sus números de servicio al cliente y demás. Puede ir fácilmente al sitio web de Google Wallet y marcar su billetera como extraviada o robada con solo un par de clics. Del mismo modo, puede ir al sitio web iCloud de Apple y poner su teléfono en “modo perdido”. En ambos casos, cuando su teléfono sea conectado a la red, se activará el modo perdido de los servicios de pago móvil.

Pensemos por un momento que el ladrón cuenta con conocimientos de seguridad informática y de alguna manera elude el primer nivel de seguridad (PIN o Touch ID). Al activar el modo perdido del teléfono, se habilita un segundo nivel de seguridad. En el caso de Google Wallet, el teléfono se negará a realizar ninguna transacción de pago, incluso si ha sido hackeado el PIN. En el caso de ApplePay, los tokens almacenados dentro del elemento seguro incorporado se borrarán, lo que imposibilitará realizar una transacción de pago, incluso si han hackeado el Touch ID. Expertos en cursos de protección de datos personales consideran que este segundo nivel de seguridad vuelve a estos servicios doblemente seguros.

Una vez que se hayan completado estas dos recomendaciones, su información estará más o menos segura en caso de robo o pérdida. Ni siquiera tiene que llamar a los bancos emisores de su tarjeta. De hecho, puede seguir utilizando sus tarjetas de pago como de costumbre sin esperar a recibir una reposición del plástico. Esto está muy bien pero, en caso de que quiera estar completamente seguro, puede llamar a los emisores de sus tarjetas para informar de la pérdida. Especialistas en cursos de protección de datos personales comentan que, para los usuarios de estos servicios no es necesario realizar el reporte, pero siempre está ahí si necesita hacerlo.

Hay una consideración importante sobre el “modo perdido” en caso de robo. El modo perdido se puede comunicar a su billetera móvil solo si su teléfono es conectado a una red. Si su teléfono no se conecta, ni Apple ni Google podrán activar el modo perdido en sus respectivas billeteras. ¿Qué pasa si el ladrón se asegura de que el teléfono no se conecte después de robarlo? Esto compromete el segundo nivel de seguridad. Si también pudieran hackear el primer nivel de seguridad (PIN o Touch ID), podrían parecer listos para robar los recursos de las tarjetas. Analicemos este escenario en el contexto de ApplePay y Google Wallet.

En el caso de ApplePay, la suposición es que el Touch ID es lo suficientemente fuerte y no se puede romper. Esa es la razón por la cual ApplePay no permite la autenticación basada en PIN de las transacciones de pago, pues la consideran menos segura. En los escenarios más raros donde el defraudador puede crackear con éxito el Touch ID y también se asegura con éxito de que el teléfono no se puede poner en modo perdido, existe un vacío que puede explotarse. En este caso, expertos en cursos de protección de datos personales recomiendan realizar el reporte y bloqueo de las tarjetas físicas.

Respecto a Google Wallet, el acceso por PIN no es tan seguro como el Touch ID. Además, también es posible configurar Google Wallet de modo que no solicite PIN durante un determinado tiempo. Esto deja un agujero de seguridad si su dispositivo se pierde durante ese período de tiempo.

Pero, Google tiene un truco más bajo la manga. A diferencia de ApplePay, donde una transacción nunca ingresa en los servidores de Apple, el servidor en la nube de Google Wallet sí se visualiza cuando se realiza una transacción de pago. Google tiene que autorizar una transacción en tránsito. Por lo tanto, incluso si el ladrón no permite que el teléfono entre en modo perdido y descifra el PIN, al final del día, la transacción debe pasar a través de los servidores en la nube de Google Wallet. Si ya se ha colocado la billetera en modo perdido en el servidor, cualquier transacción será rechazada por Google, por lo que los esfuerzos del ladrón no rendirán frutos.

En conclusión, en caso de robo o extravío de su dispositivo, tanto ApplePay como Google Wallet ofrecen varios niveles de seguridad. Algunos pueden considerar que el Touch ID de ApplePay es más segurpo, mientras que otros pensarán que la autenticación del lado del servidor de Google Wallet es una mejor estrategia. Especialistas en cursos de protección de datos personales del Instituto Internacional de Seguridad Cibernética consideran que ambas son medidas de seguridad sólidas y revolucionarias. Sólo queda esperar y ver cuál supera la prueba del tiempo en el mundo real.