Prototipo de sistema de pago basado en una
aplicación movil y tecnologia NFC a través de un
Smartphone como equipo POS
Jaime Felipe Vela Moscoso
Ingeniería de telecomunicaciones
Universidad Católica San Pablo
Arequipa, Perú
jaime.vela@ucsp.edu.pe
Abstract—En el siguiente trabajo se presentará un prototipo
solución para poder realizar transacciones bancarias de manera
electrónica utilizando los Smartphone y la tecnología Near Field
Communication (NFC). La solución propuesta consiste en
desarrollar una aplicación móvil de modo que el smartphone
emule un POS. Además elaborar un prototipo de sistema que
reciba, procese y entregue la información al banco. Se
desarrollaran los protocolos necesarios para el funcionamiento de
las transacciones. Finalmente, se propone el uso de códigos Token
para mitigar el problema de la clonación de tarjetas.
Keywords— NFC; POS; e-money; dinero electronic;
Smartphone; HTTPS.
I. INTRODUCCIÓN
Según estimaciones, el mayor competidor del dinero en
efectivo, provendrá de los pagos móviles. [1] Actualmente las
transacciones en efectivo acumulan únicamente el 5% del valor
de toda la actividad económica del planeta. [2] Esta cifra
tiende a ser cada vez menor.
NFC actualmente puede ser considerado un estándar en la
gran mayoría de Smartphone y cada vez existe una mayor
tendencia a integrar esta tecnología en terminales más
económicos. Debido a la creciente venta en el numero de
Smartphone a nivel mundial, 2013 es el primer año que el
numero de ventas de Smartphone sobre pasa al número de
ventas de teléfonos celulares, y se espera un crecimiento de
17.9% de este mercado para el año 2016. [3] Estos hechos
traen a la realidad la visión de futuro de analistas e ingenieros,
que cuando hablaron sobre teléfonos remplazando las
billeteras, ellos se enfocaron en una única tecnología: NFC [4].
A nivel mundial la adaptación a las nuevas tecnologías en
los medios de pagos, tienen un problema cíclico. Las tiendas no
quieren invertir en nuevas formas de medios de pago hasta que
la demanda sea suficiente. Sin embargo, la demanda no va a
crecer al ritmo que debería ya que no se cuenta con suficiente
lugares donde utilizar estos medios de pago[4]. En el Perú, al
igual que en otros países tercer mundistas, este efecto se hace
más notorio debido a que en la actualidad muchas de las
Medianas y Pequeñas empresas (MYPEs) y trabajadores
Julio Omar Santisteban Pablo
Ingeniería de telecomunicaciones
Universidad Católica San Pablo
Arequipa, Peru
jsantisteban@ucsp.edu.pe
independientes no pueden acceder a equipos que permitan
realizar estas transacciones debido a los elevados costos que les
generaría. Esto se puede traducir en una pérdida de ventas y
una posible pérdida de clientes. De esta manera se buscó una
solución para que un dispositivo de uso cotidiano, Smartphone,
pueda cumplir las funciones de un Point of Sale (POS, Punto
de venta). Logrando de esta manera que cualquier persona
pueda tener un POS sin la necesidad de gastar grandes
cantidades de dinero.
II. MARCO TEÓRICO
El termino NFC, proviene de Near Field Communications
o comunicación por campo cercano. Este tipo de tecnología
permite la comunicación entre dos dispositivos que se
encuentren a una distancia relativamente corta, hasta 10 cm
(Valor teórico). Para comunicarse, ambos dispositivos realizan
una modulación de campos magnéticos los que se generan
debido a la inducción de bobinas. Este tipo de comunicación
se logra mediante solicitud y respuesta. Es decir, el iniciador
envía una solicitud de información al objetivo el cual envía
una respuesta con la información solicitada.
NFC trabaja en la banda de los 13.56 MHz, frecuencia
también utilizada por RFID lo cual permite su
interoperabilidad. Cuenta con tasas de transmisión que van
desde los 106 Kbps, hasta los 424 Kbps y se espera que el
estándar pronto llegue a los 1 Mbps Todas estas
características, impiden que sea una tecnología que permita el
intercambio de grandes flujos de datos. Ésta más bien
orientada para realizar pequeños flujos en breves períodos de
tiempo.
El estándar NFC está definido por dos métodos de
comunicación: Activo y Pasivo. La diferencia entre estos
métodos radica en cómo interactúa el dispositivo con el campo
electromagnético. El modo activo se da cuando dos
dispositivos se comunican y cada uno genera un campo
electromagnético, para que esto pueda darse ambos tienen que
ser elementos activos. En el modo pasivo únicamente uno de
los dispositivos cuenta con una fuente de energía. El iniciador
es un elemento activo que genera el campo magnético. El
elemento pasivo utiliza el campo magnético para dar energía a
su chip y de este modo procesar la información. La respuesta
es enviada mediante modulación de carga. En la FIGURA 1 se
puede apreciar un esquema de funcionamiento de la tecnología
NFC en ambos modos. [5]
FIGURA 1: Modos comunicación [5]
Hypertext Transfer Protocol Secure (HTTPS) es un agregado
de seguridad al protocolo Hypertext Transfer Protocol (HTTP)
HTTPS utiliza certificados Secure Socket Layer (SSL) para
autenticar al usuario con el servidor.[6] Este protocolo
funciona mediante encriptación con clave pública y privada.
La llave privada, utilizada para cifrar un mensaje, solo la
tiene el servidor. La llave pública, utilizada para descifrar el
mensaje, es publicada a todos los usuarios. Es casi imposible
descifrar un mensaje encriptado si no se conoce la llave
pública. SSL tiene 4 funciones básicas para establecer y
mantener la conexión segura, la primera establece un
HANDSHAKE PROTOCOL, el objetivo de este es iniciar la
conexión y autenticar al servidor y host a través de un
Certificado Digital; La siguiente es CHANGE CIPHER SPEC
PROTOCOL (intercambio de cifrado), esta operación
identifica las capacidades de cifrado de cada host, negocia y
selecciona un algoritmo de cifrado y sus respectivas claves; La
siguiente operación es la de ALERT PROTOCOL (protocolo
de alerta) la cual provee notificaciones de posibles anomalías
en la comunicación que podrían ser potenciales ataques; Por
último la operación de intercambiar mensajes de HTTP de
forma segura, con esta se obtiene un canal seguro de
trasmisión de datos entre un servidor y un cliente, como un
celular. [9]
III. ESTADO DEL ARTE
A. Modo de operación NFC
NFC actualmente incorpora dentro del estándar tres
modos de operación: Lectura/Escritura, Peer-to-Peer (P2P) y
Emulación de tarjetas. En el modo Lectura/Escritura el
dispositivo con NFC permite realizar lectura de los datos
contenidos en una etiqueta y a su vez escribir información si
la misma lo permite. Para este tipo de operación se requiere
un dispositivo activo. P2P es el modo de operación en el
cual dos dispositivos intercambian información.
Generalmente está destinado únicamente a realizar la
configuración del enlace y la comunicación se realiza
utilizando otro método. En el último modo el dispositivo
activo NFC actúa como una etiqueta. La comunicación se da
entre dos elementos activos. [10]
B. Ecosistemas del M-Payment
Los pagos móviles se refieren a transacciones Peer to Peer
(P2P) y Costumer to bussiness (C2B, Comprador a negocio)
que fueron hechas a través de un teléfono móvil para adquirir
bienes o servicios.[7]
Un número de interesados están involucrados en el negocio
de los pagos móviles por proximidad usando NFC. Por
ejemplo en una transacción C2B, las siguientes partes estarían
involucradas: El comprador (pagador) , el punto de venta, el
operador de red (MNO), la institución financiera, redes de
pagos, un administrador de la confiabilidad del servicio y los
proveedores de software y hardware.[7] [8]
La institución financiera es la encargada de proveer la
información acerca de las cuentas de los usuarios. Este es el
responsable de la entrega de las tarjetas de crédito y/o de
debito. Además, es responsable de entregar el aplicativo en los
Smartphone. Finalmente, es el responsable de la distribución
de los dispositivos. [11] También existe el administrador de la
confiabilidad del servicio (TSM). Este se encarga de realizar
la comunicación entre el elemento seguro y el banco. El TSM
no participa en el proceso de la transacción, para esto se
realizan modos tradicionales. Finalmente, el operador de red
cumple las funciones de proveer un canal de comunicaciones
seguro. Este no debe ser diferente al que ya tiene, debido a que
se utiliza la red de 3G o la GSM si la anterior no está
disponible. [9]
C. Seguridad
Existen seis características importantes que se deben
considerar para cualquier tema de seguridad [13].
Confidencialidad, indica que la información solo debe
ser vista por procesos o dispositivos autorizados.
Autenticación, asegura que las partes con acceso a la
transacción son de confianza. Integridad, asegura que la
información y los sistemas no han sido alterados por
intrusos. Autorización, verifica que el usuario está
autorizado a hacer la transacción solicitada.
Disponibilidad, la aplicación debe estar disponible para
usuarios autorizados en cualquier momento. No rechazo,
este punto asegura que el usuario no debe poder negar su
participación en la transacción.
Existen numerosas instituciones y estándares alrededor
del mundo que tienen como fin marcar las pautas a seguir
con la finalidad de mitigar estas características de
seguridad como: Payment Card Industry (PCI, Industria de
tarjetas de pago) [12], Smart Card Alliance [13], Federal
 Information Processing Standars (FIPS, Estándares
federales de procesamiento de información [14].
La publicación numero 200 de FIPS [14] da medidas para
garantizar que se cumplan las características de seguridad
Estas serán analizadas punto por punto en el análisis de la
solución propuesta.
D. Aplicaciones comerciales similares
Actualmente existen un gran número de aplicaciones que
tratan de integrar el teléfono móvil a los e-payment.
Google Wallet es una aplicación lanzada en mayo de 2011
en el mercado estadounidense. Esta aplicación tiene como
propósito eliminar el uso de las tarjetas físicas. Almacena la
información de las tarjetas en el teléfono. Finalmente
utilizando el chip NFC en modo de emulación logra que el
teléfono se comporte como si fuera una tarjeta. Para su
funcionamiento Google cuenta con socios estratégicos como
son MasterCard, Pay Pass, First Data y Citibank. Para poder
realizar un pago, se debe acercar el teléfono a un Point of
Sale(POS) con capacidades de lectura NFC, luego elegir el
monto que se va a pagar y finalmente se recibe una
confirmación de que la transacción fue realizada con éxito.
Charge AnyWhere for blackberry es una aplicación lanzada
al mercado a principios de mayo de 2012. Esta aplicación
permite realizar cobros utilizando un teléfono celular
Blackberry con tecnología NFC. Esta plataforma es
compatible con tarjetas de crédito que utilicen la tecnología
Visa PayWave y Mastercard Paypass. El procedimiento se
realiza simplemente acercando una tarjeta al teléfono y este
recibirá una confirmación en pocos segundos.
Finalmente, Square lanzo una aplicación la cual requiere de
un componente de hardware adicional, el cual se conecta a la
entrada de audio. Este dispositivo es un lector de tarjetas de
banda magnética. Esta aplicación es similar a la propuesta
debido a que busca convertir el teléfono en un POS. Sin
embargo, la diferencia principal reside en que esta requiere de
un adaptador mientras que la presentada no requeriría nada.
IV. PROPUESTA
Se propone una aplicación móvil que utilizando un
Smartphone con capacidades NFC logre emular un POS. Se
considera que debido a su creciente demanda puede ser
utilizado por distintas personas sin generar un costo adicional
al usuario. Además, se propone un protocolo de comunicación
móvil entre el teléfono y el banco. Muchas veces al desarrollar
un mecanismo particular de seguridad o algoritmo, uno debe
considerar los potenciales ataques en las cuestiones de
seguridad. En muchos casos, ataques exitosos son diseñados
mirando el problema en un modo totalmente diferente y
explotando debilidades inesperadas en el mecanismo [15].
Siguiendo esta premisa, se propone además un protocolo del
uso de códigos token que serán cambiados cada vez que se
realice una transacción. De esta manera, emulando que cada
cliente tenga una nueva tarjeta tras finalizar la transacción
mitigando la clonación de tarjetas.
Para poder cumplir las políticas de seguridad de FIPS se
propone una arquitectura modular donde cada bloque se podrá
ir implementando a medida que este sea necesario. Esta
arquitectura será escalable ya que el aumento de cada bloque
superpondrá mayores niveles de seguridad. Los elementos que
utiliza la aplicación son los siguientes: Smartphone con
capacidades NFC, Sistema de transacción, Tarjeta NFC.
El Smartphone tiene que ser un teléfono Android que cuenta
con sistema operativo Android como mínimo versión 4.0 que
incluya un chip NFC. Este será donde se ejecute la aplicación
móvil y contara con las funciones de: Lectura y escritura de
datos en la tarjeta y envió de datos al sistema. La tarjeta NFC
debe contar con chip de memoria interna y tener capacidades
de re-escritura para que de este modo se pueda aplicar el
token. El sistema de transacción se encontrara dentro de una
zona desmilitarizada (DMZ) donde esta únicamente tendrá el
acceso del exterior mediante el protocolo HTTPS.
Internamente solo se podrá comunicar mediante dispositivos
directamente conectados.
A. Aplicación móvil
La aplicación móvil se basa en dos actividades básicas:
Sesión de usuario y Transacción. Sesión de usuario es donde la
persona que va a realizar los cobros realiza el logín.
Transacción es donde se realiza la transacción propiamente
dicha entre el cliente y el usuario.
El inicio de sesión de usuario se da una vez cada día. En este
se envía un usuario y una clave al sistema. El sistema valida los
datos y autoriza la operación mediante una confirmación al
teléfono . Tras recibir la confirmación el teléfono se registra al
sistema y pasa a un estado de espera de transacción y envía el
código único del teléfono(Imei) , Código único de tarjeta Sim (
Imsi) y código de celda donde está registrado el teléfono. Este
protocolo se puede apreciar en la Figura 2. Si los datos son
fallidos solicita que envié nuevamente los datos. Tras tres
intentos fallidos el sistema de procesamiento bloquea el las
credenciales. El teléfono muestra un mensaje indicando que la
sesión fue bloqueada. Este protocolo se puede apreciar en la
Figura 3. NFC

Solicita acercar tarjeta

Acerca tarjeta Lectura

UID y
Token Valida
Envio UID y Token UID y
Token
Solicita Usuario y Password
Fallido
Mensaje Tarjeta
Tarjeta Bloqueada
Bloqueada
Ingresa Usuario y Password

Envia Usuario y Password

Valida
User
Estado
espera
OK Password Figura 5 Transacción tarjeta fallida.
Envia Imei e Imsi El último resultado es cuando el código Pin es fallido. En la
Almacena
registro
Sesión
Figura 6 se muestra el protocolo de transacción esto ocurre.
El sistema solicita que envíe el código pin y el monto
Figura 2: Inicio de sesión correcto. nuevamente. Tras tres intentos fallidos la tarjeta se bloquea en
el sistema y el teléfono muestra un mensaje indicando que la
tarjeta ha sido bloqueada.

Solicita Usuario y Password

NFC
Ingresa Usuario y Password

Envia Usuario y Password Valida

User
Fallido Password
Solicita Usuario y Password Solicita acercar tarjeta
Ingresa Usuario y Password
Acerca tarjeta Lectura
Envia Usuario y Password
Valida UID y
User Token
Fallido Password Envio UID y Token
Valida
Solicita Usuario y Password UID y
OK
Token
Ingresa Usuario y Password
Solicita Monto y PIN
Envia Usuario y Password Valida
User Ejecuta Monto y PIN
Bloqueo Password
Estado Envio Monto y PIN Valida
Bloqueo
PIN y
Fallo Tarjeta

Solicita Monto y PIN

Figura 3: Inicio de sesión fallido Ejecuta Monto y PIN

Envio Monto y PIN Valida
PIN y
Fallo Tarjeta

El protocolo de la transacción puede tener tres resultados. El Solicita Monto y PIN

primero es cuando todos los datos son validados y son Ejecuta Monto y PIN
Envio Monto y PIN
Valida
PIN y
Tarjeta
correctos. El protocolo en este escenario se puede apreciar en
la Figura 4 . Mensaje
Bloqueo
Bloqueo Bloqueo
Tarjeta
Tarjeta

NFC

Figura 6 Transacción Pin fallido

Solicita acercar tarjeta

Acerca tarjeta Lectura

UID y
Token
Envio UID y Token
Valida
OK UID y

Solicita Monto y PIN

Token
B. Sistema de procesamiento
Ejecuta Monto y PIN

Envio Monto y PIN Valida

PIN y
OK Tarjeta
Todo el sistema está diseñado para que funcione dentro
Envio Token Genera
Token
de una DMZ. El sistema está basado en dos servidores:
Envio Imsi e Imei Servidor Web y Servidor base de datos. Estos, deben
Registra

Solicita acercar tarjeta

Escritura
Acerca tarjeta
FIGURA 4: TRANSACCIÓN CORRECTO
El segundo resultado es cuando el User Identifier(UID) es
fallido. En la Figura 5 se puede apreciar el protocolo de
transacción cuando el UID y el token no coinciden. Cuando
esto ocurre el sistema bloquea la tarjeta en el sistema y el
teléfono muestra un mensaje que indica que la tarjeta fue
bloqueada. La única forma de liberar la tarjeta sería acudir a la
entidad bancaría para solicitar su desbloqueo.
Transaccion
tener 3 interfaces físicas. El primero es un servidor Web
Token
el cual es el que se comunica con los Smartphone a través
de de la interfaz WAN. Esta interfaz, conectada a internet,
escucha el servicio HTTPS. La interfaz LAN tiene IP
privada y se comunica con cable directamente a la
interfaz WAN del servidor de base de datos. La tercera
interfaz es de administración y no se encuentra conectada
físicamente a nada. Cuando se requiera hacer alguna
configuración se deberá ir y conectarse directamente. El
segundo servidor es el que contiene las bases de datos y
solamente cuenta con IP privadas. En la interfaz LAN
solamente se puede comunicar con los sistemas del
banco. De igual manera que el servidor Web este cuenta
 con una interfaz de administración la cual funciona de la
misma manera.
Parte importante del sistema es la generación del código
Token. Este es brindado por una empresa tercera la cual
brinda una gran cantidad de códigos aleatorios que son
ubicados en una base de datos. Estos códigos deben ser de
siete dígitos para que no se repitan luego de una gran
cantidad de transacciones. El sistema, cada vez que ocurre
una transacción exitosa asigna un nuevo código a la
tarjeta. Esto simula que con cada transacción realizada el
cliente tiene una nueva tarjeta.
V. ANALISIS DE LA PROPUESTA
A. Análisis por tramos
Los medios de pago por contacto y sobre todo los
realizados mediante NFC aun no cuentan con un estándar
claro de cómo se debe manejar la seguridad debido a que
son conceptos nuevos. Lo óptimo para este tipo de casos
consiste en considerar y tomar políticas de seguridad para
poder cumplir con los requerimientos de las características
de seguridad en cada tramo de la aplicación: Transmisión
Tarjeta-Celular, Procesamiento en celular, Transmisión
Celular-Banco, Procesamiento en Banco.
La comunicación que se realiza entre la tarjeta de
contacto y el teléfono solamente puede ser vulnerable por
dos ataques: espionaje y modificación de datos. [16]. Si se
modificaran los datos la aplicación no funcionaria por las
propias características de la misma, por lo tanto no es
necesario realizar consideraciones para este tipo de ataque
por lo que solo se enfocara en la solución de los ataques de
espionaje. Debido a la frecuencia en la que funcionan las
comunicaciones NFC es tan baja y la distancia de
funcionamiento es únicamente unos centímetros. Una
antena externa tendría que ser de un tamaño muy grande
para lograr las características necesarias para poder recibir
los datos. Por lo que el dueño de la tarjeta se daría cuenta
de este elemento externo.
Todos los Smartphone Android que cuentan con la
tecnología NFC cuentan con un chip de elemento seguro
embebido en el teléfono. Este chip hace que la aplicación y
la información utilizada por el celular se encuentre en todo
momento encriptado para que posteriormente no pueda ser
analizada. Esto cumple con el estándar del PCI que
recomienda que no se debe almacenar ninguna
información sobre el usuario en el dispositivo de cobro
pasada la transacción [12].
Para el canal de transmisión de datos por internet se
puede utiliza una red móvil 3G/GSM o un acceso
inalámbrico de una red cableada FTTH/ADSL. En el caso
de la red 3G/GSM por características propias de la red, se
cuenta con mecanismos de autenticación [17]. Ademas,
para cada autenticación genera una clave nueva de cifrado
[18]. Así mismo, en capas superiores toda comunicación
estaría dada por el protocolo HTTPS el cual es considerado
como un estandar seguro en las comunicaciónes cliente-
servidor.
La DMZ agrega una capa adicional de seguridad de red
entre internet y la red interna de una organización, de
modo que las partes solo tengan acceso directo a ciertos
servicios que se encuentran en la DMZ y no a toda la red
interna. De esta manera los usuarios de la aplicación no
ingreserían a zonas bancarias a las que no deberian poder
ingresar. Ademas, los clientes nunca tienen comunicación
directa con las bases de datos ya que siempre pasa a traves
de un servidor intermedio.
C. Cumplimiento de FIPS
Tomamos como estándar de seguridad el FIPS y a
continuación se explicara punto a punto como cumpliría el
sistema y la aplicación
1
Control de acceso: Cada teléfono realiza un login al
sistema. Por lo que podemos considerar que se cumple.
2
Conciencia y entrenamiento: Se debe elaborar un
manual de usuario para el cliente y una cartilla de
riesgos para los administradores del sistema. Por lo
que podemos considerar que cumple.
3
Auditoria y responsabilidad: Cada transacción queda
registrada en el sistema con fecha y hora y desde que
teléfono se realizó. Se puede considerar que cumple.
4
Certificación acreditación y evaluaciones de
seguridad: Preparar un cronograma de controles y
revisiones. Basándose en estos reportes se puede
mejorar las deficiencias encontradas. Podemos
considerar que cumple.
5
Administración de configuración: Se debe documentar
todos los cambios que se van aplicando en cada
versión. Podemos considerar que cumple.
6
Planificación de contingencia: El sistema debe contar
con sistemas con protocolos de High Availability, de
modo que el sistema tenga redundancia. Además, el
NOC debe contar con equipos de backup para ser
remplazados en caso sea necesario. Podemos
considerar que cumple.
7
Identificación y autenticación: Cada transacción queda
registrada en una tabla. En esta tabla se puede registrar
todo la información respectiva del cliente. Las
acciones de configuraciones pueden ser revisadas en
los logs de los servidores. Podemos considerar que
cumple esta característica.
8
Respuesta al incidente: El equipo de trabajo del NOC
debe contar con gente capacitada para poder
reaccionar rápidamente. Además debe existir un
manual de procedimientos en cada caso. Podemos
considerar que cumple estas características.
9
Mantenimiento: Se debe realizar un mantenimiento
preventivo del hardware de los equipos siguiendo un
check list y una purga de software de manera regular.
Podemos considerar que cumple esta característica.
10
Protección de media: La administración de los
sistemas debe ser hecha solo por usuarios autorizados
y conectándose directamente. Podemos considerar que
cumple esta característica.
11
Protección física y ambiental: Podemos considerar que
se cumple esta característica por las mismas razones
que el punto anterior.
12
Planificación: Los reportes levantados en los análisis
cronogramados entregaran información necesaria para
poder realizar mejoras y actualizaciones de software.
Podemos considerar que cumple la característica.
13
Seguridad personal: El personal del NOC contara con
clausulas de seguridad en su contrato donde
comprometen a no revelar información. Además, cada
usuario tendrá sus credenciales para acceso a los
equipos, de modo que mediante los logs del sistema se
pueda realizar un seguimiento de los comandos
ejecutados Podemos considerar que cumple.
14
Evaluación de riesgos: Junto a la cartilla de riesgos y
el cronograma de análisis elaborar un reporte
periódico de los riesgos de la aplicación y como
mitigar los problemas. Podemos considerar que
cumple.
15
Sistemas y adquisición de servicios: El cronograma de
análisis permitirá elaborar ciclos de vida de la
aplicación. Esto generara nuevas versiones que
impedirá el uso a versiones anteriores. Podemos
considerar que cumple.
16
Protección de sistemas y comunicaciones: El NOC
debe monitorear el sistema y las conexiones entrantes
para confirmar que no existen transacciones extrañas.
Podemos considerar que cumple.
17
Sistemas de información e integridad: El NOC fuera
del los análisis planificados debe identificar, corregir y
reportar errores. Podemos considerar que cumple.
VI. CONCLUSIONES
 La propuesta brinda una posible solución para poder
hacer llegar las transacciones electrónicas a mas
lugares. Mediante el uso de un Smartphone asociado
a una plataforma bancaria prácticamente podría tener
su POS. Lo que permitiría a trabajadores
independientes, Mypes, etc. Adaptarse a la tendencia
actual del uso de dinero sin la necesidad de que sus
utilidades se vean afectadas.
 Se diseño un prototipo de sistema de pago.
Desarrollando un protocolo para las comunicaciones
entre el dispositivo y la institución bancaria. Además,
se desarrollo una aplicación que permite la lectura de
información de la tarjeta y escritura en la misma, para
emular que está es una nueva tarjeta.
 Se creó un sistema de asignación de tokens. Estos
tokens serán únicos en 10 millones de transacciones.
Luego de cada transacción exitosa se asigna un nuevo
token a la tarjeta, lo que emula que cada usuario tiene
una nueva tarjeta. Mitigando de esta manera la
clonación de tarjetas.
 Se realizaron pruebas de hardware para poder
seleccionar la tarjeta NFC adecuada. Además, estas
pruebas permitieron ver los rangos reales en los que
funcionaría la transacción. Para realizar las pruebas
de seguridad se cumplió con los parámetros de la
FIPS.
 La penetración de los m-payments solamente va a
poder ser efectiva cuando los usuarios pueden
realizar todas sus actividades sin tener dinero físico.
Para esto los POS tienen que estar disponibles para
pagar cualquier tipo de servicio.
 La DMZ se implementa como política de seguridad
para el banco. Es por este motivo que el
teléfono(POS) se comunica únicamente con un
servidor y este es el que se comunica con las bases de
datos. De esta manera el banco no tener ningún tipo
de contacto con clientes externos.
REFERENCES
[1] G. Zorpette, «The beginning of the end of cash,» IEEE Spectrum, vol.
49, nº 6, p. 25, 2012.
[2] D. Wolman, «Cashing Out,» IEEE Spectrum, vol. 49, nº 6, p. 38, 2012
[3] Canalys, «Mobile device market to reach 2.6 billion units by 2016,»
2013
[4] J. J. Romero, «No more waiting on Near Field Communication,» IEEE
spectrum, vol. 49, nº 6, p. 62, 2013
[5] R. Gomez, «Introduction to NFC (Near Field Communication),» de 16
IST Mobile & Wireless Communications Summit, Budapest, 2007
[6] A. Maritz, PaymentPortal a Cost-Efficient Mobile Cashless payments
Platform using Visual Identification, University of Cape Town , 2011
[7] ITU-T, «The Mobile Money Revolution Part 1: NFC Mobile
payments,» ITU-T Technology watch report, Geneva, 2013.
[8] Mobey Forum, White paper Business models for NFC payments, 2011.
[9] A. Maritz, PaymentPortal a Cost-Efficient Mobile Cashless payments
Platform using Visual Identification, University of Cape Town , 2011.
[10] Forum Nokia, Introduction to NFC, Nokia, 2011
[11] Smart Card Alliance Payments Council, The Mobile Payments and NFC
Landscape: A, 2011..
[12] Payment Card Industry (PCI), “Data Security Standar: Requirements and
Security Assessment Procedures,” 2010
[13] Smart Card Alliance, “Security of Proximity Mobile Payments,” 2009.
[14] Computer Security Division, Information Technology Laboratory,
National Institute of Standards and Technology, «Minimum Security
Requirements for Federal Information and Information Systems,»
U.S.DEPARTMENT OFCOMMERCE, Gaithersburg, 2005.
[15] W. Stalling y L. Brown, Computer Security Principles and practices,
New Jersey: Prentice Hall, 2008, p. 14.
[16] E. Haselsteiner, K. Breitfuss y P. Semiconductors, « Security in Near
Field Communication (NFC)»
[17] G. H. a. K. M. W.D. Chen, Y. Lien y J.-H. Chiu, «Using 3G Network
Components to Enable NFC Mobile Transactions and Authentication,»
de International Conference on Progress in Informatics and Computing
(PIC), 2010
[18] M. Suominen, GSM Security, Helsinki University of Technology, 2003.