martes, 19 de agosto de 2014

Smartphones: dos nuevas posibilidades

Con la proliferación cada vez mayor de los teléfonos inteligentes los cuales muestran ya una enorme ubicuidad (esto es, una presencia mayor encontrándosele ya en casi todas partes), cobra cada vez mayor auge la propuesta de convertirlos en una forma automática de pago que incluso podría reemplazar en un futuro no lejano a las tarjetas de crédito que en la actualidad son objeto de una enorme cantidad de delitos a manos de ciberdelincuentes que mediante información obtenida ilegalmente de las tarjetas de crédito (así como las tarjetas de débito) terminan saqueando o hasta vaciando muchas cuentas bancarias sobre todo mediante el robo directo de las tarjetas o la clonación de las mismas.

La forma más riesgosa y más segura de perder el dinero en una cuenta electrónica ocurre cuando el poseedor de una tarjeta hace una compra o efectúa el pago de algún servicio recurriendo para ello no al uso de dinero en efectivo (billetes y monedas, que hoy al igual que ayer sigue siendo la forma más segura de pago porque no requiere del intercambio de información electrónica alguna que pueda poner en jaque el resto del dinero almacenado en una cuenta electrónica) sino al uso de su tarjeta. Un caso típico es aquél en el cual el poseedor de la tarjeta acude ya sea solo o en compañía de alguien o de su familia a un restaurante. Para que el comensal pueda hacer el pago de lo que haya ingerido, le entrega su tarjeta al mesero que la lleva a la caja registradora. En el preciso momento de hacer entrega de su tarjeta a una persona que en realidad no conoce, el comensal está poniendo en riesgo su cuenta bancaria. Se puede sospechar desde luego que el negocio sea deshonesto o que la persona que está sentada en la caja registradora es deshonesta, en cuyo caso puede hacer varias cosas con las tarjetas de crédito o débito de los clientes que no debería de hacer tales como copiar toda la información almacenada en la cinta magnética de las tarjetas (en las tarjetas que usan cinta magnética esto siempre es posible y no representa mayores dificultades técnicas, pero en las tarjetas que usan un “chip” electrónico esto es más difícil aunque no imposible requiriendo las habilidades artísticas de un hacker bastante experimentado para poder llevar a cabo el delito). El cliente mismo proporciona su clave de acceso (PIN, Personal Informtion Number) al momento de dar la autorización para que se efectúe el cobro, y no puede estar seguro jamás sobre si al momento de proporcionar su clave de acceso el código secreto está siendo grabado también en la máquina del negocio. Pero aún suponiendo que el cajero del negocio sea completamente honesto y que el equipo usado en el negocio para la captura de datos sea un equipo confiable que no haga absolutamente nada más que lo que se debe hacer para llevar a cabo la transacción, ello de nada sirve si el mesero es deshonesto, porque en el curso de llevar la tarjeta del cliente a la caja puede clonar la tarjeta pasándola rápidamente a través de un dispositivo clonador que lleve debajo del mandil que usualmente usan los meseros. Estos equipos clonadores no son difíciles de obtener o de construír, cualquier técnico que sepa lo que está haciendo puede fabricarse uno de ellos o modificar un escaneador comercial de tarjetas cambiándole el programa de lectura para que lleve a cabo la copia de todos los datos contenidos en la tarjeta magnética, y una vez con esa información en su poder puede producir una tarjeta idéntica electrónicamente a la tarjeta original, o sea un clon de la tarjeta original, requiriendo únicamente del código de acceso. Desafortunadamente, muchos usuarios de tarjetas de crédito y débito son poseedores de tarjetas en las cuales el número PIN está limitado únicamente a cuatro caracteres, y con solo tratar de penetrar en la cuenta usando dos secuencias diferentes diarias y con un poco de suerte será capaz de entrar en la cuenta para poder vaciarla por completo.

El problema radica, desde luego, en la injustificada confianza de muchos clientes de soltarle a un tercero su tarjeta de crédito o débito para efectuar el pago. Para mayor seguridad y protección el cliente puede, si así lo desea, ir personalmente hasta la caja registradora para deslizar él mismo su tarjeta en la máquina lectora. De este modo, y con esta práctica, si su cuenta bancaria empieza a ser vaciada posteriormente sin su autorización, puede dar por hecho que alguna de las cajas registradoras en la que hizo alguna transacción no era segura, y más que una simple terminal punto de venta (POS, Point of Sale) para efectuar un pago la máquina lectora además era una máquina clonadora copiando hasta el código de acceso del usuario. Sin embargo, el tener que estarse levantando personalmente para efectuar el pago con la tarjeta nulifica por completo la comodidad de llevar a cabo la transacción sin tener que levantarse de la mesa para ir hasta la caja registradora para hacer el pago del consumo.

Entran en el panorama los teléfonos inteligentes o smartphones que en realidad puede ser cualquier teléfono celular contemporáneno que tenga integrada una cámera así como la capacidad para descargar e instalar aplicaciones apps.

Se parte del supuesto de que no cualquier persona es poseedora de una tarjeta de crédito, generalmente tal persona tiene que ser por lo menos una persona de clase media o de clase media alta. Siendo así, tal persona casi seguramente también es poseedora de un teléfono celular inteligente, del tipo de teléfonos en los que se pueden instalar aplicaciones app bajadas de la red. Además, y esto ya es casi universal, la vasta mayoría de los teléfonos inteligentes cuentan con una cámara que es capaz de tomar fotografías.

El nuevo sistema de pago, muchísimo más seguro que el sistema actual de pago basado en tarjetas de crédito y débito, trabajaría del siguiente modo: el dueño del teléfono inteligente bajará una aplicación app de un sitio seguro de alta confiabilidad (incluso certificado por algún organismo público o privado) en instalará esa aplicación en su teléfono celular.

Para hacer un pago, el punto del negocio en donde se efectuará el pago contará con un dispositivo mediante el cual a través de Internet se conectará con una empresa de cobranza electrónica (por ejemplo, Visa o MasterCard) indicando que hay una transacción en proceso. La empresa encargada de la transacción electrónica enviará al negocio que hace el cobro un código de barras como el siguiente:




o un código de barras bidimensional como el siguiente (conocido como código QR o Quick Response Code):




el cual permite una mayor densidad de información. Para cada transacción que se lleve a cabo, el código de barras o bien el código QR enviado al negocio por la empresa de cobranza electrónica será diferente, conteniendo la fecha en la cual se efectúa la transacción así como la clave única asignada al negocio por la empresa de cobranza electrónica. La imagen del código enviada al negocio será exhibida también al cliente en alguna pantalla pequeña para que el cliente la pueda “leer” con su teléfono celular.

El cliente, por su parte, abrirá la aplicación especializada app que tiene instalada, y apuntando con la cámara de su teléfono celular hacia la pantalla pequeña que tiene el negocio para tal efecto, la app reconocerá la imagen del código y se comunicará al instante con la empresa de cobranza electrónica notificándole a la empresa que se quiere cerrar dicha transacción.

Lo importante aquí es que, a diferencia de lo que ocurre con las tarjetas de crédito o débito, el consumidor jamás le hace entrega alguna de su teléfono celular al vendedor o cajero del negocio en el cual hizo una compra o efectuó algún consumo. El cliente está en posesión de su teléfono celular en todo momento, y no se lo suelta a nadie. Esto es precisamente lo que proporciona un grado extraordinario de seguridad.

Más aún, puesto que la información leída por la app del teléfono celular es capturada y leída visualmente del dispositivo del negocio sin intermediar conexión física alguna, una interceptación electrónica por parte de terceras personas de la imagen del código enviado al negocio es físicamente imposible.

La empresa de cobranza le enviará instantáneamente al teléfono celular del cliente una notificación confirmándole que el negocio X está solicitando el cierre de una transacción que se va a llevar a cabo en ese preciso momento, pidiéndole al consumidor su aceptación o rechazo de la transacción. El cliente envía a la empresa de cobranza electrónica su aceptación, incluso sin necesidad de tener que introducir código de acceso alguno (recuérdese que el cajero o empleado del negocio no tiene acceso en ningún momento al teléfono celular del cliente), tras lo cual la empresa de cobranza electrónica le notifica al negocio que el cliente ha estado de acuerdo con el monto de la transacción, dándose por efectuado el pago mediante una transferencia electrónica de fondos a la cuenta del negocio.

El procedimiento que se ha descrito es completamente seguro, porque no hay absolutamente nada que se pueda clonar, ya que el cliente no le suelta ni tiene necesidad de soltarle a nadie su teléfono celular. Más aún, la empresa de cobranza electrónica actúa como un intermediario remoto seguro entre el negocio y el consumidor, y es imposible que se pueda llevar a cabo la transacción sin el pleno consentimiento y acuerdo mutuo de ambas partes a través de la empresa de cobranza electrónica. La transacción no se puede llevar a cabo si antes el negocio no ha abierto el canal de comunicación al intermediario pidiéndole el procesamiento de la transacción, y si el consumidor no ha recibido la petición de aprobación que le es enviada por separado a su app por la empresa de cobranza.

¿Y qué si el teléfono celular conteniendo la app se le pierde al individuo? La situación no es muy diferente al caso en el cual unos delincuentes le roban al individuo su cartera conteniendo sus tarjetas de crédito. El problema para quienes quieran darle un mal uso a un teléfono celular con tal aplicación de transacciones instalada en el mismo es que, para poder “sacar” dinero de la cuenta, es preciso primero que alguien simulando ser un negocio establecido abra una solicitud de transacción a la empresa de cobranza electrónica, la cual ni siquiera aceptará tal solicitud si el punto de envío de la solicitud de transacción no corresponde a uno de los negocios certificados previamente por la empresa de cobranza electrónica. De inicio, esto pone un freno bastante difícil de superar, e inclusive riesgoso para el delincuente porque si trata de llevar a cabo una transacción simulando ser un negocio establecido entonces en vez de que la empresa de cobranza electrónica abra la intermediación requerida para que se efectúe la transacción lo más probable es que no solo NO aceptará la solicitud de transacción, sino que inclusive enviará la información del intento de robo electrónico a la policía proporcionando hasta los datos de localización GPS del teléfono celular (en caso de que el teléfono celular posea un chip que pueda estar recabando la información de la ubicación geográfica exacta del teléfono celular, algo cada vez más frecuente de encontrar en los teléfonos celulares que están saliendo al mercado, incluso los de precio mediano); y todo esto se puede llevar a cabo automáticamente sin necesidad de que el usuario reporte la pérdida o el robo de su teléfono celular. Esto, desde luego, es imposible de hacer con las tarjetas de crédito o débito, porque estas tarjetas de plástico no poseen tranmisor alguno que permita su ubicación geográfica exacta al instante excepto cuando se está tratando de llevar a cabo un asalto electrónico a alguna cuenta.

Esta alternativa, en caso de empezar a usarse y universalizarse, haría obsoletas las tarjetas de crédito y débito, y quienes hoy están acostumbrados a usar el “dinero plástico” podrían terminar siendo vistos por las nuevas generaciones como “viejitos anticuados” al igual que como hoy vemos a quienes todavía escuchan música con sus viejos discos LP (Long Play) de vinilo o las mujeres que usan faldas que llegan hasta los zapatos o quienes aún hacen todos sus pagos y depósitos en efectivo yendo directamente a los bancos para hacer sus transacciones en efectivo ante un cajero de carne y hueso.

De hecho, si empresas tales como Visa y MasterCard que han hecho del negocio de tarjetas de crédito la razón de su existencia no adoptan pronto esta alternativa como un medio para la realización de transacciones electrónicas, podrían verse superadas por una empresa que sí lo haga y las deje atrás, y podrían terminar desapareciendo al igual que como lo hicieron los dinosaurios hace 65 millones de años al no poder adaptarse en la lucha por la superviviencia.

Haciendo a un lado la posibilidad de usar los teléfonos celulares para poder llevar a cabo transacciones electrónicas en forma completamente segura que no puede ser “hackeada”, está la desagradable situación que ocurre con la pérdida o el robo de un teléfono celular que termina siendo usado no para hacer llamadas a otras personas o recibir llamadas de otras personas sino simplemente como cámara fotográfica de alta resolución, o en el peor de los casos como fuente de información no solo de la persona que fue poseedora del teléfono celular perdido o robado sino también de los conocidos, amigos y familiares que están en la lista de contactos, además de ser usado para otras cosas tales como un dispositivo para guardar memorándums o jugar con algunas de las aplicaciones que traiga instaladas el teléfono celular en su memoria.

El advenimiento de los teléfonos inteligentes, de los cuales hay unos cuyo precio es superior incluso al de una computador laptop de alta calidad, trajo consigo el problema de que se convirtieron en un enorme atractivo para los delincuentes por las razones que se han detallado. Y para que los teléfonos inteligentes dejen de ser atractivos para los pillos, hay varias iniciativas conocidas todas ellas como killswitch. La idea no es nueva, lo que es nuevo son las propuestas de ley para hacer tal medida obligatoria en todos los teléfonos inteligentes, empezando por California que es el estado cuyo mercado es de tal tamaño que si se hace obligatoria la medida sobre todos los teléfonos inteligentes que se venden en California entonces lo más probable es que los fabricantes aplicaran el dispositivo killswitch para todos los teléfonos vendidos en el resto de la Unión Americana, ya que no tiene sentido fabricar dos tipos diferentes de teléfonos para dos mercados igualmente grandes, es mil veces preferible fabricar un solo tipo de teléfono que tenga la misma función en todos los demás estados de Norteamérica Las iniciativas proponen que todos los teléfonos inteligente tengan incluído como parte integral de las mismas un circuito electrónico que permita que, cuando estos teléfonos celulares sean robados o perdidos, se les pueda “asesinar” desde lejos inutilizándolos por completo. Para ello, bastaría tan solo una señal enviada por el usuario a dicho teléfono, y en el preciso momento en que el teléfono perdido o robado sea encendido, sin necesidad de que tenga establecida una comunicación con alguien o que se trate de establecer una comunicación con alguien el teléfono sería “asesinado” no sirviendo absolutamente para nada, su pantalla quedaría en blanco permanentemente. Si bien puede ser tentador para un pillo el asaltar a alguien con la finalidad de quitarle un teléfono celular que tuvo un costo de 500 ó 800 dólares, si a las pocas horas el teléfono queda inutilizado por órdenes de la víctima entonces el aparato tendría un valor igual a cero porque no serviría para nada excepto para decorar las paredes de interiores de departamentos, si es que se le puede llamar a algo así decoración. Y a ningún ratero le gusta exponerse a cambio de nada, los delincuentes se arriesgan siempre y cuando van a obtener alguna ganancia ya sea a corto o mediano plazo como resultado de sus fechorías, y si lo único que van a obtener a cambio es algo que no vale absolutamente nada entonces buscarán otra cosa para robar. Algo como esto podría significar el fin de los robos de los teléfonos inteligentes, convirtiendo dicho delito una cosa del pasado.

Las dos posibilidades que se han discutido aquí aún no son una realidad. Pero tienen el potencial de llevar a cabo una revolución social en nuestras formas de efectuar pagos mediante medios electrónicos, así como en la seguridad de que los teléfonos inteligentes en los cuales hicimos una gran inversión (tal vez superior al costo de un televisor de pantalla plana de alta resolución HD) dejarán de ser atractivos para los rateros. No es necesario desarrollar ninguna tecnología nueva para hacer realidad estas dos posibilidades, la tecnología ya existe, solo es cuestión de que alguien con visión tenga el suficiente empuje para llevarlas a cabo convenciendo al resto del mundo sobre sus bondades. ¿Algún Steve Jobs, quizá?

No hay comentarios.: