Tendencias del Mobile World Congress 2016 que dan miedo

Resumiendo, las tendencias de seguridad que dan miedo del Mobile World Congress 2016, en Barcelona.

El Mobile World Congress va siempre sobre smartphones. Pero si dejas de buscarlos y tomas otra perspectiva, encontrarás muchas otras cosas. Fuimos con un objetivo en mente, verlo todo desde otro ángulo. Desafortunadamente lo que vimos en la conferencia fue para asustarse. Sigue leyendo y descubre por qué.

Pagos móviles: obsesión con la comodidad

Parece que un montón de compañías se han obsesionado con los pagos móviles, y hubo muchos comunicados durante el MWC dedicados a este tema. El tema recurrente era que estaban buscando que los pagos móviles se volvieran más prácticos. Lo que no enfatizaron en este bucle sin salida fue la necesidad de hacerlos más seguro.

Por ejemplo, Samsung reveló que Samsung Pay llegará a nuevos países, incluyendo Brasil, Reino Unido, Canadá, China y España. No tenemos por qué creer que Samsung Pay no es seguro (mientras pensamos que Apple Pay sí lo es). No es significativo que un grupo de hackers haya irrumpido el sistema de LoopPay recientemente. Esto es importante ya que se trata del sistema detrás de Samsung Pay, adquirido hace un año por la compañía coreana.

Samsung reclama que esos hackers pretendían robar la tecnología con la intención de crear un sistema similar al suyo, pero no hay garantía de que no posean suficientes datos para comprometer las cuentas de los usuarios de Samsung Pay.

samsung_quote

Unos días antes del MWC, Qualcomm y Tencent anunciaron que un teléfono basado en Qualcomm, ahora soporta autenticación de huella para pagos en WeChat, el servicio de mensajería chino más grande. Mientras que Qualcomm recalca que estos pagos son superseguros por el marco de referencia de Qualcomm Heaven, todos sabemos que hay ciertos problemas con la seguridad de escaneo de huellas. Solo podemos esperar a que Qualcomm y Tencent creen un sistema de pago que realmente merezca la pena, pero es posible que los hackers encuentren una forma de comprometerlo, como suelen hacerlo con los nuevos sistemas de pago.

VISA está dando pasos cautelosos hacia la misma dirección. Mientras una de las dos compañías de tarjetas de crédito más grande le tiene mucho cariño a los pagos contactless (por ejemplo, Visa PayWave), sus ingenieros intentan revisarlo todo el triple de veces para asegurarse de que su tecnología sea absolutamente segura, y esto realmente nos tranquiliza. Sin embargo, el concepto de autenticación de iris ya está aprobado dentro de la compañía, y en el MWC exhibieron el sistema de autenticación de huella dactilar. Afortunadamente para todos, aún está en su etapa de prueba, e incluso los ingenieros están pensando en hacer un sistema de autenticación de dos factores utilizando ambos, el dedo y el iris.

Al hombre trabajando en el stand de VISA le preguntamos su opinión sobre el sistema de reconocimiento de iris y huellas dactilares. No, ni siquiera sabía que esto era posible. Lo que sí nos aseguró es que, si esto llegara a ser posible, está seguro de que los investigadores pensarían en algo más seguro, por ejemplo, monitorizar el flujo de sangre en las venas, que también tiene un patrón único en cada humano.

Mastercard, el rival principal de Visa, le robó protagonismo introduciendo los selfie-pagos. Sí, lo que has leído: selfie-pagos. Significa utilizar selfies en vez de contraseñas, y Mastercard sostiene que esto aumentaría la seguridad porque la gente tiende a tratar a sus contraseñas de forma incorrecta: escribiéndolas, perdiéndolas o reusándolas.

El vídeo anterior muestra que el sistema requiere no solo que esté solo frente a la cámara, sino que parpadees para que el sistema no pueda ser engañado con una foto impresa. Pero estamos seguros de que los hackers de todo el mundo han aceptado esto como un nuevo reto. Probablemente un vídeo podría ser suficiente para engañar al sistema.

Sensores de huellas dactilares: estancamiento

Las biométricas se están volviendo muy comunes, los lectores de huellas dactilares ya pueden ser encontrados no solo en los teléfonos más exclusivos, sino también en aquellos con precios rebajados. Incluso Huawei ha integrado un lector de huellas dactilares en su nuevo ordenador/tablet MateBook 2-en-1 con sistema Windows.

En el MWC, hemos hablado con los representantes de dos fabricantes de lectores de huellas dactilares. El nuevo escáner de Synaptics ha anunciado que es lo más seguro posible: los datos se cifran, y Synaptics recomienda que los fabricantes de móviles utilicen la seguridad de ARM Trustzone para procesar sus datos.

Por otro lado, el fabricante de lectores de huellas, NEXT, tiene dos tipos de sensores, y uno de ellos no cifra los datos. Y NEXT no ve la necesidad de utilizar entornos de pruebas seguras para los datos biométricos, pero resulta muy agresivo en cuanto a la fijación de bajos precios a sus productos. Ya que no muchos fabricantes consideran la seguridad como prioridad, entendemos que estos escáneres de huellas económicos e inseguros puedan terminar en muchos dispositivos, y eso haría que los pagos contactless con smartphones sean aún más inseguros que ahora.

Coches conectados

Los coches conectados y posteriormente los coches sin conductor serán parte de nuestro futuro. Pero por ahora, los fabricantes de coches están prestando más atención al funcionamiento en carretera, que a la ciberseguridad de estos coches. Y los investigadores ya han demostrado que la ciberseguridad es una necesidad para cada coche expuesto a Internet.

Samsung y Sony han introducido su propio kit de “crea-tu-propio-coche-conectado”, que es compatible incluso con coches antiguos. El que ha anunciado Sony está conectado a través de USB y Bluetooth, y parece ser como un controlador para la aplicación de navegación de tu teléfono. En caso de verse comprometida, el hacker probablemente solo podrá saber a dónde te diriges, qué música estás escuchando y de qué manera cambiar estas cosas. Nada que temer.

Pero Samsung ha introducido un dispositivo más complejo. Una de sus funciones es analizar las señales vitales del coche, mientras que el otro sirve como punto de conexión WiFi integrado. Esto significa que este dispositivo está conectado a un puerto OBD II en el coche y a la red LTE al mismo tiempo. Ya sabemos que un coche puede ser hackeado de forma remota utilizando OBD II, y Samsung lo está facilitando conectándolo directamente a Internet.

Un coche puede ser superseguro y tener las mejores puntuaciones en las pruebas de choque, pero si existe la posibilidad de que alguien tome el control y acelere el motor, en algunas circunstancias toda esa seguridad puede llegar a ser contraproducente.

No todo lo visto en el MWC 2016 fue para asustare, hubo dispositivos realmente interesantes y buenas noticias. Pero en general, el Mobile World Congress de este año fue definitivamente sobre cómo conectarlo todo, y mientras haya más cosas expuestas a Internet, más maneras habrá de hackearlas y comprometerlas. Esperamos que el próximo MWC ponga más énfasis en la seguridad de estas conexiones. Está claro que el siguiente Black Hat, definitivamente será sobre el hackeo de todo lo conectado.

Consejos
Suscríbete para recibir nuevas publicaciones en tu buzón
  • Para el resto de países