14 agosto 2013

Paytouch: pagos mediante las huellas dactilares

La semana pasada durante mis vacaciones en España estuve en una discoteca en la que han implementado el sistema de pago con huellas dactilares. Pero,  ¿cómo funciona este sistema de pagos que está ya funcionado en varias discotecas?.

Lo primero es vincular las huellas dactilares de la persona a su tarjeta de crédito, esto es lo que podríamos llamar como proceso de 'enrollment'. Luego, a la hora de pagar, solo tenemos que poner nuestros dedos en los terminales biométricos y el cargo irá a nuestra tarjeta de crédito.

Aunque desde una punto de negocio la idea es muy buena, ya que el cliente final se despreocupa de tener que pagar con la tarjeta o sacar efectivo, además de que cuando uno lleva 2 copas de más se vuelve más esplendido y este sistema es un catalizador para ello, ¿que hay de lo mío desde un punto de vista de seguridad?.

A mi particularmente, y quizás por paranoia profesional, no me gusta la idea de que un tercero tenga mis huellas dactilares junto con mis datos personales y datos de mi cuenta bancaria. En la web del fabricante dicen que los datos necesarios son: 
  • nombre y apellidos
  • DNI
  • email
  • correo postal
  • fecha de nacimiento
  • número de tarjeta de crédito
  • fecha de caducidad
  • CVC
  • huellas dactilares de dos dedos.
En en la web del fabricante comentan la bondades de la autenticación biométrica y que el sistema es PCI compliance, y "Nuestro sistema funciona con la garantía del Estándar PCI-DSS del organismo internacional PCI (PaymentCardIndustry). Igualmente, todas las transmisiones de datos son codificadas con SSL de 256 bits certificado por la empresa Thawte Inc., especializada en seguridad de las comunicaciones" (sic). (ejem ejem)

Si analizamos los posibles vectores de ataque al sistema se me ocurren 3 posibilidades:
  1. Durante el proceso de enrollment
  2. El sistema donde se almacena todos los datos de las tarjeta, huellas, etc
  3. Los terminales de pago biométrico
Nos vamos a centrar únicamente en el primer caso.

El proceso de enrollment, según vi en el caso de esta discoteca, se puede hacer de manera automática en uno de los terminales dispuestos para ello. Estos terminales, en algunos casos, están en medio de la discoteca y todo el mundo tiene acceso físico a ellos.


Además, estos terminales permiten vincular las huellas dactilar durante el proceso de enrollment a tu cuenta de Facebook de tal manera que puedes autenticarte a facebook mediante la huella y que tus amig@s vean lo guay que eres tomando copas en la discoteca :-) (esto es otro gran problema de privacidad y seguridad, pero eso lo dejaremos para otro momento). Lo importante de esto es que los terminales de enrollment tienen acceso a Facebook, o sea Internet, lo que podría usarse como un vector de ataque. Sin duda es muy mala idea que terminales que manejan datos sensibles y datos bancarios tengan acceso a Internet, sea como fuera (proxy, restricción de URL/IP, etc) ya que por su naturaleza deberían estar totalmente aislados.

Escribí hace unos años un artículo 'Security Weaknesses in Aiport Internet Kiosks' dónde explicaba y demostraba cómo de sencillo es tomar el control de uno de los terminales públicos de acceso a Internet en un aeropuerto. Estos terminales suelen usar sistemas operativos de uso genérico así que son susceptibles de las vulnerabilidades que haya en el sistema operativo, navegadores, software, etc. En aquel caso usaba como vector de ataque el puerto USB pero al final la idea es la misma: si no hay seguridad física de nada vale la seguridad lógica. Y en este caso, la seguridad física esta más que en tela de juicio, porque el acceso a la conexión de red están al alcance de cualquiera ,-)


Esta foto es de uno de los terminales en medio de la discoteca que está al aire libre, repito al aire libre.
---------------------------------------------------------
Artículo cortesía de Ángel Alonso-Parrizas @Angelill0

13 comments :

masticover dijo...

OMG! Como idea está muy bien, pero todos sabemos que esto hace aguas se mire por donde se mire, hoy por hoy.

No hay que ser paranoico para recelar de esto. Que te pidan tal cantidad de datos y quedar a merced de "a saber tú quien" y lo que puede hacer con ellos... lo más fácil es suplantarte la identidad a todos los efectos. Podían pedir también las escrituras de la casa (para quien las tenga hoy día).

Muy buen artículo. Me paso a leer el de 'Security Weaknesses in Aiport Internet Kiosks' , ¡¡suena genial!! XD



Saludos.

txalin dijo...

Ya lo estoy viendo, vectores para la nueva vulnerabilidad mitmovdp, aka "Man in the middle of very drunk people": ¡¡¡Te pago un chupito si chocas los 5!!!

María García dijo...

A mí lo que más me gusta es lo de "Proyecto cofinanciado por el Ministerio de Industria, Energía y Turismo, dentro del Plan Nacional de Investigación Científica, desarrollo e Innovación Tecnológica 2008-2011". O sea, con dinero de todos. Ya que se ponen a investigar con subvenciones, más vale que saquen un producto que sea bueno.


No sé, a lo mejor la idea no es mala. Aunque lo del iris, que ya está funcionando en algunos sitios, como los aeropuertos, es más preciso. Otra cosa es que la implementación sea chapucilla.


A lo mejor, en otro artículo, podrías abarcar la seguridad de los otros dos puntos (por lo menos el tercero).


Bueno, yo como no lo voy a usar... De momento me preocupa más el NFC de las Contactless, que me resisto también a utilizar hasta que no me quede más remedio (que si no piden pin para menos de 20€, que si ya hay apps que les explotan vulnerabilidades...). Lo digo por si alguien por aquí se anima a escribir un artículo al respecto. Ya que estamos... :)

claromeco dijo...

Siempre vale la pena recordar:

MythBusters Fingerprints Busted
http://www.youtube.com/watch?v=3Hji3kp_i9k



Saludos!

Domingo dijo...

Usar las huellas como "contraseña" no debiera parecerle seguro a nadie. Es como tener una única contraseña y encima ir dejando postits con ella en cada cosa que tocas :-).

Ichi Wwolf dijo...

Es muy interesante eh aprendido bastante con solo leer esto creo que desde hoy mismo empezare a realizar pruebas muy interesante este programa gracias por la informacion

Jesús Caudeli dijo...

Para mí el principal problema es dar los datos mi tarjeta a terceros. Creo que es una información que sólo deberían tener los bancos, y que los pagos se realizaron a través de sus plataformas. Tardé mucho en confiar en PayPal, pero es que luego viene Amazon, Wallet, las tiendas de electrónica, etc. Todos quieren almacenar la tarjeta para facilitar la compra compulsiva con un solo clic, y no me parece seguro ni bueno para mi bolsillo.

txalin dijo...

A este respecto es mas que interesante un capitulo de , y perdon por el spam, cazadores de mitos donde tratan de reventar un lector de huellas dactilares para colarse en una ficticia oficina. Dicho lector se suponia que era lo último del mercado y con una triste fotocopia de la huella se colaron.

María García dijo...

Y Tom Cruise ("Minority Report") lleva los ojos en una bolsa para poder colarse en los sitios. Ja, ja, ja.

Pues sí: ellos aseguran que, como los terminales son capacitivos, no te pueden suplantar con un dedo de goma porque no tiene pulso. Pero ¿qué tendrá que ver una cosa con la otra? me pregunto yo, desde mi ignorancia. Si las pantallas capacitivas se pueden usar con guantes y con punteros.

No sé, a mí me da que éstos venden mucho humo. Y para remate, la frase de facebook: "The technology is one of the most important trends in business travellers. Are you agree?". Como todo sea igual de bueno que su inglés...

Me parece muy raro también que no venga el CIF por ningún lado. Y habría que ver también si, al completar el registro, te informa de quién es el dueño del fichero donde están tus datos, etc. No sé qué me parece más peligroso: si que tengan el número de la tarjeta o que tengan las huellas.

Clakstein Tau Ceti dijo...

Jajaja No me jodas,vais a picar en esto también? Bancos? Que es eso...

Javier dijo...

Hola María,

Los datos de la empresa están en su página web y en el proceso de registro también aparecen.

https://www.pay-touch.com/terms-and-conditions



Saludos

María García dijo...

Parece que Kaspersky no se fía de lo de poner el dedito:

http://blog.kaspersky.com/biometric-authentication/

MJ dijo...

Por la información vertida; diría que odio mucho más a microsoft y las practicas de las empresas de todo el mundo, creo que ya no doy un cobre más por la informática; deje microsoft windows por lo del drm y dejaré linux si se contamina de ese cancer.