Los pagos sin contacto ya no son el futuro; son el presente. El Informe mundial sobre pagos 2021 predice que en 2024 el efectivo representará menos del 10% de los pagos en comercios en EE.UU. y el 13% de los pagos en todo el mundo, mientras que los monederos digitales representarán uno de cada tres pagos en comercios en todo el mundo (33%).

La Comunicación de Campo Cercano (NFC) permite la comunicación de corto alcance entre dispositivos compatibles, ofreciendo una comodidad sin precedentes, una usabilidad elegante y una conexión inmediata para el sector de los pagos. En 2000, Verimatrix (antes Inside Secure) fue pionera en esta tecnología con la patente R2R (de lector a lector). Desde entonces, esta tecnología ha dado lugar a una gran cantidad de nuevos e interesantes casos de uso de los pagos, como los monederos digitales, Tap-to-Phone y los pagos sin contacto. Sin embargo, ahora que los pagos están pasando del hardware al software, también hay nuevas y menos interesantes vulnerabilidades que deben abordarse. 

Estas son algunas de las mejores prácticas para mantener la seguridad de los pagos NFC:

1. Solucionar el error del usuario con comprobaciones medioambientales

Esta es la verdad: los hackers malintencionados no son la única causa de las brechas de seguridad. De hecho,
según un estudio de IBM, el error humano es la causa principal del 95% de las brechas de ciberseguridad.

Sin embargo, esto no significa que los desarrolladores y los equipos de seguridad no necesiten solucionar el error del usuario. Si un dispositivo es robado o si un comerciante decide deliberadamente socavar los controles de seguridad nativos de su dispositivo móvil "jailbreaking" o "rooting", esto aumenta el riesgo de infección por malware y pone la tecnología que usted ha construido en una posición vulnerable.

La creación de una red de comprobación automatizada garantizará que su software de pago se ejecute según lo previsto, aunque se esté ejecutando en un entorno inseguro. Un enfoque de seguridad sólido frente a las amenazas del entorno le permitirá ajustar la reacción de su aplicación en función de la amenaza detectada. En lugar de desactivar su aplicación por completo, las herramientas personalizables le permitirán gestionar el riesgo y definir su propio apetito. Esto significa que podrá bloquear determinadas funciones de su aplicación si está funcionando en un entorno vulnerable, en lugar de cerrar toda la aplicación a la vez. En definitiva, las herramientas personalizables le ayudan a proteger su tecnología y la experiencia del usuario final.

2. Mantener las claves de cifrado seguras y ocultas

La entrega y el almacenamiento de datos financieros requieren cifrado. Las claves criptográficas expuestas son una vulnerabilidad conocida en el código de las aplicaciones, especialmente para la tecnología de pago. Una protección adecuada de las claves y la ocultación de los algoritmos mantendrán a salvo las aplicaciones y los datos de pago críticos, incluso si un hacker tiene acceso completo al dispositivo en el que se ejecutan los algoritmos.

Por supuesto, asegurar las claves que desbloquean la criptografía va más allá de protegerlas dentro del código de la aplicación móvil. También hay que tener muy en cuenta la gestión de las claves: quién las tiene, cómo se generan y distribuyen, el proceso de rotación (es decir, crear nuevas claves y retirar las antiguas) y cómo se protegen cuando se almacenan. Sin una gestión adecuada de las claves durante su ciclo de vida, éstas podrían ser reveladas, modificadas o sustituidas por personal no autorizado, que podría interceptar datos sensibles de los titulares de tarjetas.

La complejidad necesaria para crear una implementación criptográfica de caja blanca sólida y eficiente implica que la mayoría de las personas que desarrollan tecnología de pago subcontratan la tarea a un proveedor externo experto. Esto puede añadir una complejidad innecesaria a la gestión de claves. Sin embargo, mantener el control de sus claves es la mejor práctica, incluso si elige un proveedor de seguridad externo para la gestión de claves. Tradicionalmente, los proveedores de seguridad proporcionan una biblioteca de software, lo que significa que el proveedor controla las claves que "abren" la caja blanca. Si las claves de esta biblioteca se comparten entre varios clientes, la aplicación insegura de otra persona puede poner en peligro la suya.

Sin embargo, la criptografía de caja blanca con Verimatrix le ofrece lo mejor de ambos mundos: puede mantener el control total de sus claves mientras depende de un socio de confianza para mantener la seguridad de sus operaciones.

3. Aplicación correcta de las herramientas de seguridad adecuadas

El de los pagos es un sector regulado; antes de que los productos puedan lanzarse al mercado, suelen tener que ser aprobados por las principales partes interesadas. Esto implica a menudo auditorías de seguridad independientes. Es fundamental aplicar correctamente las soluciones de seguridad para garantizar que salvaguardan los datos y los pagos en un grado razonable y adecuado. El listón mínimo para entrar en el mercado suele estar definido en las especificaciones del sector.

Ninguna solución de ciberseguridad es una caja mágica que resuelve todos sus problemas. Las herramientas adecuadas deben integrarse y configurarse correctamente para garantizar la protección eficaz de su sistema y su red. Esto puede resultar misterioso para muchas organizaciones porque la protección de aplicaciones es una tarea intrincada y de bajo nivel. Sin los conocimientos específicos para configurar las herramientas, el proceso de configuración suele llevar mucho tiempo.

Lo mejor es adquirir las herramientas de seguridad a un proveedor con experiencia demostrada en el ámbito de los pagos. Un proveedor que comprenda no sólo los aspectos de seguridad, sino también los procesos y auditorías que se le exigirán, podrá facilitarle el proceso. Asociarse con un proveedor de confianza (especialmente uno que pueda ofrecer una implantación de código cero) reduce significativamente la carga de trabajo de su equipo.