Como comentaba mi compañero Guillermo, hace unos días se sacaban a la luz dos vulnerabilidades relacionadas con el pago a través de Google Wallet en Android (que también hace uso de la tecnología NFC). La primera relacionada con los terminales Android rooteados y la segunda respecto a la inseguridad de la aplicación si nos roban el móvil.
Y ante esas noticias Google ha respondido en un comunicado con sentido común: si decides rootear tu terminal, acata las consecuencias; y si por desgracia te roban tu móvil, será tu problema si no tenías código PIN de bloqueo. Realizar un enfoque distinto del problema me parece genial; un enfoque donde nos recuerdan que también tenemos que proteger nuestro móvil como si de nuestra cartera se tratara es correcto, pero no es suficiente.
De un sistema de seguridad bien pensado el eslabón más débil siempre suele ser el usuario. No sabría recordar cuántos pines de tarjetas de crédito he visto ya, cuántos códigos de seguridad o fechas de caducidad. Ese tipo de errores están a la altura (o incluso son peores) de los que se comentaban acerca de Google Wallet, pero la diferencia es que son inebitables.
Como tantas otras cosas cuando se valora un problema hay que ver el compromiso que se establece entre las molestias al usuario y la seguridad del proceso. Posiblmente sería más seguro comprobar el código PIN a través de internet mediante una conexión segura, donde Google podría ver si intentan averiguar el código por la fuerza bruta. Pero eso nos impediría utilizar este método de pago en sitios sin cobertura 3G. Pero ¿cuál es el verdadero problema? perder el móvil.
Cada mes que pasa, perder el móvil es más importante que perder la cartera. Si perdemos nuestra cartera sólo tenemos que coger un teléfono y cancelar las tarjetas, y de paso tendremos que hacer unos cuantos viajes para firmar unas nuevas y tener nueva documentación. Un fastidio, pero ningún problema (excepto el dinero en efectivo y algún recuerdo o anotación que guardaras).
En cambio si pierdes el móvil la cosa se complica. Muchos podremos y sabremos bloquearlo, localizarlo o borrarlo; pero está claro que no todas las personas saben hacerlo. Datos personales, acceso a servicios privados, suplantación de identidad y por último acceso a nuestro dinero a través de Google Wallet. Pero, ¿realmente está la pelota en el tejado de la gente de Wallet?
Seguramente el problema, además de en el usuario, se encuentre en los propios sistemas operativos de los terminales móviles. Permitir un borrado del terminal tras un robo debería ser obligatorio en un smartphone. E incrementar la educación a los usuarios acerca de qué pasa si le roban el móvil así como sobre las acciones que pueden tomar debería ser un paso obligatorio. Mientras tanto, está bien exigir a las compañías más seguridad.
Comunicado de Google | Google Commerce
En Genbeta | Descubiertos dos fallos de seguridad en Google Wallet para Android
Ver 15 comentarios
15 comentarios
Usuario desactivado
La primera respuesta es un tanto de coña, si pierdo el móvil y no tengo PIN que me den ¿no?, vale que es una cagada por mi parte pero debería poder borrase y punto. No me parece serio responder así, esto es como si pierdo la cartera llevando el PIN escrito y no pudiera anular las tarjetas, no es serio
Escapology
En ese mismo comunicado Google dice que desde el viernes por la noche desactivaron la posibilidad de añadir la tarjeta prepago de Google y que lo habilitarán cuando corrijan el fallo ese de borrar los datos de Google Wallet y poder añadir la tarjeta prepago de Google sin pedir contraseña de tu cuenta de Google al estar ya identificados en otros servicios de Google, como Gmail o el Android Market.
Luego comentan algo sobre el root que no lo llego a entender del todo y es la siguiente frase: "That's why in most cases, rooting your phone will cause your Google Wallet data to be automatically wiped from the device."
Si no o he entendido mal dicen que al rootear el móvil, en la mayoría de los casos, hará que se borren automáticamente todos los datos de Google Wallet.
Oyagum
La respuesta del root, pues vale, si, si tu decides trastear el móvil pues si, problema tuyo, pero lo de que si no tienes un pin code que te jodan... eso me parece muy feo y digno de Apple, porque vamos si lo piensan así pues que obliguen a poner el pin code y listos, aunque yo lo que haría que sería algo muy simple y fácil de implementar es que a la hora de acabar pagando tengas que poner un pincode o contraseña o como quieras llamarlo, igual que paypal vamos, no creo que eso sea demasiado complejo y yo creo que la gente preferirá poner un pincode o contraseña antes que tener que poner de nuevo los datos de la tarjeta.
ralph.marabana
Posiblmente, es inebitable...
Fred.cpp
"inebitables" ?? Por otro lado, los beneficios de servicios como este también traen sus contratiempos; en este caso el poder para usar tu dinero de forma mas accesible, se vuelve contra ti si no puedes cuidar adecuadamente de tu dispositivo. Aún así creo que efectivamente es necesario implementar, digamos, alguna medida para bloquear por completo el teléfono en caso de robo.
dggonzalez1971
INE VI TA BLE
Neo Mozart
Yo veo en esto más desventajas que ventajas, es como alguien ya dijo: " Es como llevar tu tarjeta con el PIN escrito" y para colmo, no puedes simplemente llamar al banco para que anulen futuras transacciones.
Prefiero una tarjeta: es más liviano y sólo yo tengo la clave, si la pierdo es dificil que puedan usarla. Además el sistema de google tiene los mismos defectos tecnologicos en cuanto a seguridad. Este mundo está como de locos o adictos en extremo a la tecnologia, eso ya se invento y se llama tarjeta de crédito, auque también se puede usar una de débito.
erwin1209
No veo google wallet facilite las transacciones, al contrario me parece que se vuelven un poco mas complicadas e inseguras. Y si debo tener con mi teléfono las mismas precauciones que con mi billetera (o más) entonces no entiendo cuál es la ventaja, en seguridad, seguro que no.
Y por cierto se escribe inevitable.