Publicidad
Noticias de Vending Innova | Caso en Italia

Fallos de seguridad en las app móviles ponen en alerta al vending

Fallos de seguridad en las app móviles ponen en alerta al vending

App monedero o contactles en el vending

HOSTELVENDING.com 14/01/2019.- Desde hace unos meses corre por la Red un vídeo en el que se muestra como un informático hackea la app desarrollada para Argenta, empresa operadora de las más importantes en Italia, para recargar su monedero electrónico sin gastar un euro.

Matteo Pisani, que así se llama la persona que lo ha puesto de manifiesto, lo publicó en Internet alertando sobre la fragilidad de este sistema de pago, aunque sin llegar a expresarlo explícitamente.

Las tecnologías están facilitando la transición del vending, una evolución que no está exenta de problemas como se pone de manifiesto en este caso. Si antes los robos también eran la principal preocupación de los operadores que tenían que andar pendientes del uso de monedas falsas o de trucos para sacar una Coca Cola gratis, la situación no ha cambiado, al menos en teoría.

La curiosidad de este individuo, que publica parte del recorrido en su blog (pero no completo) , lo llevó a plantearse cómo de seguros pueden ser los monederos virtuales de las máquinas expendedoras que había en su universidad.

Con su dispositivo móvil y descargándose la app de Argenta y tras navegar un poco por su código fue capaz de dar con un problema de seguridad en una contingencia en la que ni la máquina ni su móvil estaban conectados. Esta situación permitió al hacker incrementar su propio crédito de manera artificial y efectuar transacciones sin insertar contado en el sistema master.

Sitael, la compañía que desarrolló el sistema, ya había considrado esta posible situación de vulnerabilidad: "Los datos contables de crédito almacenados en los aparatos sin conectividad se pueden utilizar solo por un número limitado de compras y es el operador el que establece este número; en el caso de Argenta, el número consentía un máximo de dos transacciones. Al tercer intento de compra, el distribuidor detiene la adquisición y la aplicación expulsa al usuario en cuanto el móvil esté en línea. Eso es lo que ocurrió con el hacker pero que no terminó de incluir en el video".

Además, según detallan desde Sitael, no se ha intentado ningún ataque a la plataforma de computación en nube central, que es el núcleo del sistema y de los datos de los usuarios, donde a su vez se controla y verifican las transacciones y se garantiza la seguridad del sistema al completo: "La plataforma está protegida con criptografía y respeta los estándares de seguridad más estrictos. Además, existe un equipo interno dedicado a monitorear esto constantemente".

Como decimos no lo hacía con una intención delictiva, sino para mostrar cómo de frágiles pueden ser determinadas apps. Y es que el valor que determina cuánto dinero hay en la cartera del usuario está almacenado en una base de datos del teléfono. Es verdad que está protegida por contraseña y encriptada, pero resulta que la clave de es solo el número IMEI del smartphone.

Evidentemente no está al alcance de todos, pero cualquiera que tenga conocimientos de informática elevados podría haber llegado a esta conclusión y así lo avisa Pisani en su blog, teniendo en cuenta que se trata de un acto delictivo y tiene sus consecuencias penales.

Hemos hablado ampliamente con las empresas del sector y el resultado lo podréis ver en el próximo número de nuestra revista pero aquí os adelantamos que las principales conclusiones pasan porque nada puede ser 100% seguro.

"Seguramente, donde hay un movimiento de dinero, como en el vending, las apuestas se vuelven aún más sabrosas incluso si son en general cifras bastante bajas. El problema también es que aquellos que explotan software u otras herramientas para violar la seguridad de un dispositivo electrónico o una aplicación para ahorrar unos pocos euros, a veces ni siquiera se dan cuenta del hecho de cometer un fraude y los riesgos legales que esto puede implicar En este contexto, para las compañías que intentan proteger una computadora o un producto electrónico es como tratar de proteger un edificio: el desafío es tratar de excluir las amenazas reales sin impedir que el tráfico normal entre y salga y sin que sea imposible vivir para los usuarios, indica Luis del Amo de Coges.

Desde Orain señalan como clave en este caso el hecho de usar el IMEI del teléfono como clave de cifrado para la base de datos. "¿Se pueden evitar situaciones parecidas? No, se puede minimizar el riesgo (por ejemplo, en caso de Orain, no guardamos el saldo en la base de datos interna del teléfono, por lo cual, al descompilar la aplicación no se puede agregar más saldo), pero las vulnerabilidades son imposibles de prevenir en su totalidad, y si no fuera esta, el hacker podría haber encontrado otras debilidades".

Evidentemente hay que tener estas posibles situaciones en cuenta, pero esto no quiere decir que el cashless sea menos seguro que el efectivo. Es más, diríamos que incluso todo lo contrario ya que todo deja rastro y se podría realizar un seguimiento del "ladrón" hasta atraparlo.

Los pros son muchos más que los contra, ya que hablamos de sistemas que dan más opciones a los usuarios, que están muy demandados en la cultura de las compras actuales y que además son bastante seguros, aunque no lo demuestre este caso.

Número 120
Descarga el último número
de nuestra revista
Modelo de negocios
Cinco razones para confiar en Hostelvending

1. Porque somos especialistas en el sector

En Hostelvending somos espcialistas en el sector del vending en España. Conocemos el canal y tenemos contacto con todas las empresas relacionadas con él desde fabricantes de máquinas a distribuidores y fabricantes de alimentos y bebidas. Contamos con una extensa experiencia de años trabajando codo a codo con las empresas y para las empresas.

2. Porque somos el principal medio del sector

Hostelvending cuenta con una reconocida trayectoria como el principal medio de comunicación del sector del vending en España con miles de visitas al mes en su versión online e impresa. Cubrimos los principales eventos del vending en España, realizamos reportajes en profundidad sobre las últimas novedades y tecnologías y analizamos la situación del sector con los datos más exhaustivos.

3. Porque nuestra publicidad es la más efectiva

Contar con una audiencia especializada hace que confiar en Hostelvending sea la mejor opción para dar a conocer su negocio en el mundo del vending. Sea cuál sea su nicho de mercado en el canal, nuestros productos y servicios están orientados a satisfacerlo. Y con las tarifas más competitivas para sacar el máximo partido y el mayor número de impactos. Nuestro newsletter lo reciben cientos de personas con poder de decisión cada semana.

4. Porque nuestro directorio es el más completo

En Hostelvending contamos con el mejor listado de empresas del sector del vending en España. Cubrimos todos los canales y ofrecemos la información más detallada y especializada para encontrar rápidamente lo que nuestros usuarios buscan. Nuestro cómodo buscador permite encontrar toda la información comercial de cualquier empresa a un solo clic.

5. Porque asesoramos sobre las mejores oportunidades de negocio

En Hostelvending ofrecemos un completo servicio de asesoría para empresas. Desde los aspectos legales y de normativa a las mejores estrategias comerciales, pasando por las oportunidades de negocio más apropiadas para cada tipo de empresa, sin importar su tamaño o sus objetivos. Creamos sinergias entre las empresas para generar nuevas oportunidades de negocio.