Como comentaba mi compañero Guillermo, hace unos días se sacaban a la luz dos vulnerabilidades relacionadas con el pago a través de Google Wallet en Android (que también hace uso de la tecnología NFC). La primera relacionada con los terminales Android rooteados y la segunda respecto a la inseguridad de la aplicación si nos roban el móvil.
Y ante esas noticias Google ha respondido en un comunicado con sentido común: si decides rootear tu terminal, acata las consecuencias; y si por desgracia te roban tu móvil, será tu problema si no tenías código PIN de bloqueo. Realizar un enfoque distinto del problema me parece genial; un enfoque donde nos recuerdan que también tenemos que proteger nuestro móvil como si de nuestra cartera se tratara es correcto, pero no es suficiente.
De un sistema de seguridad bien pensado el eslabón más débil siempre suele ser el usuario. No sabría recordar cuántos pines de tarjetas de crédito he visto ya, cuántos códigos de seguridad o fechas de caducidad. Ese tipo de errores están a la altura (o incluso son peores) de los que se comentaban acerca de Google Wallet, pero la diferencia es que son inebitables.
Como tantas otras cosas cuando se valora un problema hay que ver el compromiso que se establece entre las molestias al usuario y la seguridad del proceso. Posiblmente sería más seguro comprobar el código PIN a través de internet mediante una conexión segura, donde Google podría ver si intentan averiguar el código por la fuerza bruta. Pero eso nos impediría utilizar este método de pago en sitios sin cobertura 3G. Pero ¿cuál es el verdadero problema? perder el móvil.
Cada mes que pasa, perder el móvil es más importante que perder la cartera. Si perdemos nuestra cartera sólo tenemos que coger un teléfono y cancelar las tarjetas, y de paso tendremos que hacer unos cuantos viajes para firmar unas nuevas y tener nueva documentación. Un fastidio, pero ningún problema (excepto el dinero en efectivo y algún recuerdo o anotación que guardaras).
En cambio si pierdes el móvil la cosa se complica. Muchos podremos y sabremos bloquearlo, localizarlo o borrarlo; pero está claro que no todas las personas saben hacerlo. Datos personales, acceso a servicios privados, suplantación de identidad y por último acceso a nuestro dinero a través de Google Wallet. Pero, ¿realmente está la pelota en el tejado de la gente de Wallet?
Seguramente el problema, además de en el usuario, se encuentre en los propios sistemas operativos de los terminales móviles. Permitir un borrado del terminal tras un robo debería ser obligatorio en un smartphone. E incrementar la educación a los usuarios acerca de qué pasa si le roban el móvil así como sobre las acciones que pueden tomar debería ser un paso obligatorio. Mientras tanto, está bien exigir a las compañías más seguridad.
Comunicado de Google | Google Commerce
En Genbeta | Descubiertos dos fallos de seguridad en Google Wallet para Android
