The IT Mag

CoDi, los riesgos de ciberseguridad y el caso de China con pagos QR

4 minutos de lectura
Por León A. Martínez - octubre 30, 2019   

Codi México

El Banco de México puso en marcha la plataforma Cobro Digital (CoDi) el 30 de septiembre, con el objetivo de reducir el uso de efectivo entre la población y aumentar la trazabilidad de las transacciones en el país.

En un mes de operaciones, el sistema de pagos QR registra 17,000 transacciones y la activación de 550,000 cuentas.

Banxico planea empujar el uso de la plataforma el próximo año, pero a decir de especialistas en ciberseguridad, una mayor penetración de la plataforma atraería la atención de los delincuentes informáticos, que comenzarían a explotar las debilidades inherentes a los pagos QR a fin de hacerse con ganancias ilícitas.

“Los ciberdelincuentes siempre dirigen sus esfuerzos a las soluciones que cuentan con una amplia base de usuarios”, señaló en entrevista con The eMag Raúl Valencia, RedTeam/Forensic Manager para Latinoamérica de S21sec.

Si bien aún no existen ataques reportados contra el sistema QR del CoDi, se puede dar cuenta de los tipos de ataques que usan los ciberdelincuentes en países donde operan sistemas similares.

“Un delincuente pueda generar un código QR y sobreponerlo al del establecimiento que recibe el pago, y dirigir el envío de dinero a su cuenta”, explicó el experto.

Otra forma de ataque contra los usuarios empleada por los atacantes es la de generar un QR malicioso, que al ser escaneado, se descargue una aplicación que robe información del dispositivo.

Valencia alertó también sobre un tipo de posible ataque que implicaría la ingeniería inversa de la aplicación del CoDi por parte de los delincuentes para saber cómo genera el QR, y así suplantar los códigos generados, de forma que cuando un usuario lo escaneara, el monto a pagar fuera conducido a una cuenta del ciberatacante.

Los pagos con código QR proporcionan una solución asequible, fácil y ampliamente adaptable al problema del mercado. Aceptar estos pagos es tan simple como generar un código de barras e imprimirlo en un letrero. Los clientes pueden escanear el código y pagar con sus dispositivos móviles en segundos.

Por su parte, los comerciantes obtienen los beneficios de aceptar pagos digitales, sin la inversión inicial de comprar un terminal de tarjeta y otros equipos costosos. Es rápido, seguro y abre la base de clientes de los comerciantes a un segmento más amplio de la población.

China tiene uno de los ecosistemas de pagos QR más desarrollados en el mundo. Aprovechando la alta penetración de los smartphones entre la población y la infraestructura de internet, el país ha adoptado progresivamente esta forma de pago, llegando incluso a preferirla por encima del uso de efectivo.

El caso de China es un modelo exitoso de implementación de un sistema de pagos cashless como es el que echa mano de los códigos QR, pero también es un caso ejemplar de los fraudes que le son inherentes.

Ante el aumento de los riesgos y fraudes, en 2014 el Banco Popular de China decidió suspender los pagos QR, mercado dominado por por Alipay, una filial de Alibaba Group, y Tenpay, propiedad de Tencent Holdings. La falta de claridad por parte del banco central en lo que implicaba la disposición, dejó que los pagos siguieran operando, pero a la espera de una regulación.

En 2017, el diputado chino Liu Qingfeng, presidente del proveedor de servicios en la nube de reconocimiento de voz iFlytek, expuso en el Congreso Nacional del Pueblo en Beijing datos sobre las vulnerabilidades presentes en el ecosistema de pagos QR chino. Entre otras cosas, aseguró que más del 23% de los troyanos y virus se transmitieron a través de códigos QR en China.

“El umbral [de dificultad] para crear códigos QR es tan bajo que los estafadores podrían implantar troyanos y virus en un código QR muy fácilmente ", dijo Liu. El legislador hizo un llamado a una mayor vigilancia por parte del regulador para enfrentar estos riesgos.

A finales de 2017, el Banco Popular de China dispuso una serie de condiciones a los proveedores de estos pagos, que entraron en vigor en 2018, que tienen el objetivo de aumentar las medidas de seguridad que impidan o dificulten las acciones de los delincuentes informáticos.

Algunas de las medidas son: para las transacciones realizadas a través de códigos estáticos, que son más vulnerables a los ataques, se impuso un límite diario de 500 yuanes (70 dólares) por cliente.

Para los códigos dinámicos, poco menos vulnerables que los estáticos, el límite comienza en 1,000 yuanes (141 dólares).

En el caso de que los proveedores de pagos QR dispongan de medidas de seguridad adicionales, el límite puede aumentar a 5,000 yuanes (708 dólares). Si cuentan con más y mejores medidas de seguridad, los bancos y los procesadores de pagos tienen discreción sobre el límite.

Los códigos QR fueron inventados en 1994 en Denso Wave, una unidad del mayor fabricante de piezas automotrices de Japón, para permitir un escaneo rápido al rastrear vehículos durante el proceso de ensamblaje.

El ingeniero Masahiro Hara, responsable del desarrollo de los códigos QR, dijo en una entrevista publicada en agosto que su creación necesita una actualización de seguridad debido a que su uso se extendió de los almacenes de piezas automotrices a los pagos electrónicos.

Una de las propuestas para lograr dotar de controles de seguridad al sistema QR es la de un grupo de investigadores del Massachusetts Institute of Technology (MIT), con miras a contener los ataques tipo QRLjacking, utilizando el cifrado para evitar que un tercero espíe y clone códigos QR utilizados para iniciar sesión en las personas.

Valencia apuntó que CoDi cuenta con medidas de seguridad base, y que conforme avance el sistema, este irá incorporando medidas de seguridad que respondan a los problemas que pudieran presentarse.

Por lo pronto, y en espera de que el ecosistema de CoDi se desarrolle, Banxico debe seguir una estrategia de concientización de los usuarios sobre los riesgos de los pagos QR, dijo Valencia. “Banxico puede hacer inversiones importantes en seguridad informática para robustecer el sistema del CoDi, pero si los usuarios no están conscientes de los riesgos que implica este servicio, de nada servirán”, puntualizó el experto.

¿Tienes un proyecto? ¡Visita nuestra sección