Optimizando la seguridad de las APP de pago en las máquinas de vending

Optimizando la seguridad de las APP de pago en las máquinas de vending

El 11% de los pagos en el vending se hacen de manera electrónica

HOSTELVENDING.com 13/02/2019.- Los robos en las máquinas expendedoras siempre han sido una preocupación para los operadores de vending. Desde los ingeniosos trucos para enganchar una moneda en una cuerda a un trozo de metal que la simula, la inventiva ha evolucionado bastante para engañar a los monederos y sacar un producto gratis. Y no solo se ha sofisticado, sino que se ha adaptado a las nuevas tecnologías.

Los pagos electrónicos se han presentado como una oportunidad para llevar un control más exhaustivo del negocio, pero también han abierto la puerta a los hackers que se dedican a detectar las debilidades de los sistemas y aprovecharse de ellos. No es que haya una fijación concreta con obtener dinero de las aplicaciones que las empresas desarrollan para comprar en máquinas expendedoras, pero si surgen los errores siempre habrá alguien que los encuentre.

Lo hemos visto recientemente y no en una empresa cualquiera. Un vídeo recorre Internet con la experiencia de un informático que, sin ánimo de lucro, sino más bien con la intención de alertar sobre la fragilidad de determinadas aplicaciones, logró modificar el código de la app de pago de Argenta, una de las principales empresas operadoras de Italia.

Hablamos de máquinas que aceptan pagos NFC a través de una aplicación propia. En ella, los usuarios pueden recargar sus monederos virtuales para evitar el efectivo cuando acuden a la máquina. El valor que determina la cantidad de dinero se almacena de manera local en una base de datos del teléfono inteligente y lo único que hay que hacer es modificarlo, tal y como explica Matteo Pisani, la persona que ha dado con la fórmula.

Así de sencillo, de rápido y de contradictorio, ya que aunque la base de datos posee una clave para su acceso, esta se puede encontrar en el propio smartphone. Desde luego, es una explicación que no está al alcance de cualquier persona, sin embargo, quien sepa algo de informática no lo tiene complicado.

 

Fiabilidad para los operadores

¿Qué ha fallado? ¿Cómo la compañía no se ha dado cuenta (días después de que saliera el vídeo todavía podía realizarse la maniobra)? ¿Puede suceder con cualquier aplicación de pago? Las dudas son muchas y más para las empresas operadoras que confían su suerte a un proveedor tecnológico, teniendo poco que hacer para detectarlo y subsanarlo.

Hemos hablado con las principales empresas de medios de pago que desarrollan aplicaciones cashless para conocer su opinión y la conclusión principal es que no hay un sistema que sea 100% seguro, aunque en el caso de la aplicación de Argenta las facilidades son excesivas.

“En Orain tratamos el tema de seguridad muy seriamente, pero somos conscientes de que es imposible mantener un sistema completamente libre de vulnerabilidades y que la inmunidad total a los ataques es algo inalcanzable para ninguna empresa. Google, CitiBank, Sony, Linkedin, JPMorgan, Yahoo, Uber, eBay... son solo algunos nombres de las empresas que han sido hackeadas en los últimos años, comprometiendo millones de datos de sus clientes. Hay que remarcar que no son PYMES, hablamos de las corporaciones más grandes del mundo, con una cantidad de recursos casi ilimitada destinada a la  protección contra ataques que, sin embargo, no lo han conseguido”, explica Tony Ocaña, Desarrollador Web y App en Orain.

Por su parte, Gianmarco Broggini de Paytec señala que “hay soluciones que están diseñadas para almacenar la información sobre el crédito en la app o en el teléfono. Esta estructura hace que la solución se exponga a ataques externos ya que el hacker tiene tiempo y posibilidad para estudiar la solución, replicarla e identificar posibles brechas”. 

La seguridad de productos informáticos y, en general, de productos electrónicos es un tema en constante evolución y cada vez más importante para cualquier empresa del sector, ya sea un fabricante de productos de consumo o productos destinados a la industria o los servicios: computadoras, correo electrónico, televisión de pago, cajeros automáticos, teléfonos inteligentes...

Los piratas informáticos, por usar un término genérico para referirnos a las personas con capacidad para intervenir nuestras conexiones y obtener datos personales, buscan constantemente nuevos objetivos y herramientas sofisticadas para penetrar las defensas de esas víctimas que eligen a veces de manera aleatoria y otras con conocimiento de causa. Es uno de los aspectos negativos de un mundo cada vez más interconectado y que posibilita el acceso o el contacto desde cualquier parte del mundo.

 

Objetivo

“Seguramente, donde hay un movimiento de dinero, como en el vending, las apuestas se vuelven aún más sabrosas incluso si son en general cifras bastante bajas. El problema también es que aquellos que explotan software u otras herramientas para violar la seguridad de un dispositivo electrónico o una aplicación para ahorrar unos pocos euros, a veces ni siquiera se dan cuenta del hecho de cometer un fraude y los riesgos legales que esto puede implicar. En este contexto, para las compañías que intentan proteger una computadora o un producto electrónico es como tratar de proteger un edificio: el desafío es tratar de excluir las amenazas reales sin impedir que el tráfico normal entre y salga y sin que sea imposible vivir para los usuarios”, indica Luis del Amo de Coges.

Desde Orain señalan como clave en este caso específico registrado en Italia, el hecho de usar el IMEI del teléfono como contraseña de cifrado para la base de datos. “¿Se pueden evitar situaciones parecidas? No, se puede minimizar el riesgo (por ejemplo, en caso de Orain, no guardamos el saldo en la base de datos interna del teléfono, por lo cual, al descompilar la aplicación no se puede agregar más saldo), pero las vulnerabilidades son imposibles de prevenir en su totalidad, y si no fuera esta, el hacker podría haber encontrado otras debilidades”.

“Las empresas necesitan presupuesto y experiencia para mejorar la seguridad, y su falta es una de las principales razones de la alta tasa de ataques. Esto se traduce a la falta de especialistas en seguridad de TI (Tecnologías de la Información), baja capacitación de los empleados, falta de monitoreo de o mantenimiento de programas desactualizados que se ve en muchas empresas hoy en día”, comenta Tony.

Número 145
Descarga el último número
de nuestra revista

Modelo de negocios

Cinco razones para confiar en Hostelvending

1. Porque somos especialistas en el sector

En Hostelvending somos espcialistas en el sector del vending en España. Conocemos el canal y tenemos contacto con todas las empresas relacionadas con él desde fabricantes de máquinas a distribuidores y fabricantes de alimentos y bebidas. Contamos con una extensa experiencia de años trabajando codo a codo con las empresas y para las empresas.

2. Porque somos el principal medio del sector

Hostelvending cuenta con una reconocida trayectoria como el principal medio de comunicación del sector del vending en España con miles de visitas al mes en su versión online e impresa. Cubrimos los principales eventos del vending en España, realizamos reportajes en profundidad sobre las últimas novedades y tecnologías y analizamos la situación del sector con los datos más exhaustivos.

3. Porque nuestra publicidad es la más efectiva

Contar con una audiencia especializada hace que confiar en Hostelvending sea la mejor opción para dar a conocer su negocio en el mundo del vending. Sea cuál sea su nicho de mercado en el canal, nuestros productos y servicios están orientados a satisfacerlo. Y con las tarifas más competitivas para sacar el máximo partido y el mayor número de impactos. Nuestro newsletter lo reciben cientos de personas con poder de decisión cada semana.

4. Porque nuestro directorio es el más completo

En Hostelvending contamos con el mejor listado de empresas del sector del vending en España. Cubrimos todos los canales y ofrecemos la información más detallada y especializada para encontrar rápidamente lo que nuestros usuarios buscan. Nuestro cómodo buscador permite encontrar toda la información comercial de cualquier empresa a un solo clic.

5. Porque asesoramos sobre las mejores oportunidades de negocio

En Hostelvending ofrecemos un completo servicio de asesoría para empresas. Desde los aspectos legales y de normativa a las mejores estrategias comerciales, pasando por las oportunidades de negocio más apropiadas para cada tipo de empresa, sin importar su tamaño o sus objetivos. Creamos sinergias entre las empresas para generar nuevas oportunidades de negocio.

Utilizamos cookies propias de carácter técnico para mejorar nuestros servicios y permitir la operatividad de la tienda. Si continua navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información aquí.