Prototipo de sistema de pago basado en una

aplicacin movil y tecnologia NFC a travs de un

Smartphone como equipo POS
Jaime Felipe Vela Moscoso

Julio Omar Santisteban Pablo

Ingeniera de telecomunicaciones
Universidad Catlica San Pablo
Arequipa, Per
jaime.vela@ucsp.edu.pe

Ingeniera de telecomunicaciones
Universidad Catlica San Pablo
Arequipa, Peru
jsantisteban@ucsp.edu.pe

AbstractEn el siguiente trabajo se presentar un prototipo

solucin para poder realizar transacciones bancarias de manera
electrnica utilizando los Smartphone y la tecnologa Near Field
Communication (NFC). La solucin propuesta consiste en
desarrollar una aplicacin mvil de modo que el smartphone
emule un POS. Adems elaborar un prototipo de sistema que
reciba, procese y entregue la informacin al banco. Se
desarrollaran los protocolos necesarios para el funcionamiento de
las transacciones. Finalmente, se propone el uso de cdigos Token
para mitigar el problema de la clonacin de tarjetas.
Keywords NFC;
Smartphone; HTTPS.

I.

POS;

e-money;

dinero

electronic;

INTRODUCCIN

Segn estimaciones, el mayor competidor del dinero en

efectivo, provendr de los pagos mviles. [1] Actualmente las
transacciones en efectivo acumulan nicamente el 5% del valor
de toda la actividad econmica del planeta. [2] Esta cifra
tiende a ser cada vez menor.
NFC actualmente puede ser considerado un estndar en la
gran mayora de Smartphone y cada vez existe una mayor
tendencia a integrar esta tecnologa en terminales ms
econmicos. Debido a la creciente venta en el numero de
Smartphone a nivel mundial, 2013 es el primer ao que el
numero de ventas de Smartphone sobre pasa al nmero de
ventas de telfonos celulares, y se espera un crecimiento de
17.9% de este mercado para el ao 2016. [3] Estos hechos
traen a la realidad la visin de futuro de analistas e ingenieros,
que cuando hablaron sobre telfonos remplazando las
billeteras, ellos se enfocaron en una nica tecnologa: NFC [4].
A nivel mundial la adaptacin a las nuevas tecnologas en
los medios de pagos, tienen un problema cclico. Las tiendas no
quieren invertir en nuevas formas de medios de pago hasta que
la demanda sea suficiente. Sin embargo, la demanda no va a
crecer al ritmo que debera ya que no se cuenta con suficiente
lugares donde utilizar estos medios de pago[4]. En el Per, al
igual que en otros pases tercer mundistas, este efecto se hace
ms notorio debido a que en la actualidad muchas de las
Medianas y Pequeas empresas (MYPEs) y trabajadores

independientes no pueden acceder a equipos que permitan

realizar estas transacciones debido a los elevados costos que les
generara. Esto se puede traducir en una prdida de ventas y
una posible prdida de clientes. De esta manera se busc una
solucin para que un dispositivo de uso cotidiano, Smartphone,
pueda cumplir las funciones de un Point of Sale (POS, Punto
de venta). Logrando de esta manera que cualquier persona
pueda tener un POS sin la necesidad de gastar grandes
cantidades de dinero.
II.

MARCO TERICO

El termino NFC, proviene de Near Field Communications

o comunicacin por campo cercano. Este tipo de tecnologa
permite la comunicacin entre dos dispositivos que se
encuentren a una distancia relativamente corta, hasta 10 cm
(Valor terico). Para comunicarse, ambos dispositivos realizan
una modulacin de campos magnticos los que se generan
debido a la induccin de bobinas. Este tipo de comunicacin
se logra mediante solicitud y respuesta. Es decir, el iniciador
enva una solicitud de informacin al objetivo el cual enva
una respuesta con la informacin solicitada.
NFC trabaja en la banda de los 13.56 MHz, frecuencia
tambin utilizada por RFID lo cual permite su
interoperabilidad. Cuenta con tasas de transmisin que van
desde los 106 Kbps, hasta los 424 Kbps y se espera que el
estndar pronto llegue a los 1 Mbps Todas estas
caractersticas, impiden que sea una tecnologa que permita el
intercambio de grandes flujos de datos. sta ms bien
orientada para realizar pequeos flujos en breves perodos de
tiempo.
El estndar NFC est definido por dos mtodos de
comunicacin: Activo y Pasivo. La diferencia entre estos
mtodos radica en cmo interacta el dispositivo con el campo
electromagntico. El modo activo se da cuando dos
dispositivos se comunican y cada uno genera un campo
electromagntico, para que esto pueda darse ambos tienen que
ser elementos activos. En el modo pasivo nicamente uno de
los dispositivos cuenta con una fuente de energa. El iniciador
es un elemento activo que genera el campo magntico. El

elemento pasivo utiliza el campo magntico para dar energa a

su chip y de este modo procesar la informacin. La respuesta
es enviada mediante modulacin de carga. En la FIGURA 1 se
puede apreciar un esquema de funcionamiento de la tecnologa
NFC en ambos modos. [5]

un dispositivo activo. P2P es el modo de operacin en el

cual
dos
dispositivos
intercambian
informacin.
Generalmente est destinado nicamente a realizar la
configuracin del enlace y la comunicacin se realiza
utilizando otro mtodo. En el ltimo modo el dispositivo
activo NFC acta como una etiqueta. La comunicacin se da
entre dos elementos activos. [10]
B. Ecosistemas del M-Payment
Los pagos mviles se refieren a transacciones Peer to Peer
(P2P) y Costumer to bussiness (C2B, Comprador a negocio)
que fueron hechas a travs de un telfono mvil para adquirir
bienes o servicios.[7]
Un nmero de interesados estn involucrados en el negocio
de los pagos mviles por proximidad usando NFC. Por
ejemplo en una transaccin C2B, las siguientes partes estaran
involucradas: El comprador (pagador) , el punto de venta, el
operador de red (MNO), la institucin financiera, redes de
pagos, un administrador de la confiabilidad del servicio y los
proveedores de software y hardware.[7] [8]

FIGURA 1: Modos comunicacin [5]

Hypertext Transfer Protocol Secure (HTTPS) es un agregado
de seguridad al protocolo Hypertext Transfer Protocol (HTTP)
HTTPS utiliza certificados Secure Socket Layer (SSL) para
autenticar al usuario con el servidor.[6] Este protocolo
funciona mediante encriptacin con clave pblica y privada.
La llave privada, utilizada para cifrar un mensaje, solo la
tiene el servidor. La llave pblica, utilizada para descifrar el
mensaje, es publicada a todos los usuarios. Es casi imposible
descifrar un mensaje encriptado si no se conoce la llave
pblica. SSL tiene 4 funciones bsicas para establecer y
mantener la conexin segura, la primera establece un
HANDSHAKE PROTOCOL, el objetivo de este es iniciar la
conexin y autenticar al servidor y host a travs de un
Certificado Digital; La siguiente es CHANGE CIPHER SPEC
PROTOCOL (intercambio de cifrado), esta operacin
identifica las capacidades de cifrado de cada host, negocia y
selecciona un algoritmo de cifrado y sus respectivas claves; La
siguiente operacin es la de ALERT PROTOCOL (protocolo
de alerta) la cual provee notificaciones de posibles anomalas
en la comunicacin que podran ser potenciales ataques; Por
ltimo la operacin de intercambiar mensajes de HTTP de
forma segura, con esta se obtiene un canal seguro de
trasmisin de datos entre un servidor y un cliente, como un
celular. [9]
III.

ESTADO DEL ARTE

A. Modo de operacin NFC

NFC actualmente incorpora dentro del estndar tres
modos de operacin: Lectura/Escritura, Peer-to-Peer (P2P) y
Emulacin de tarjetas. En el modo Lectura/Escritura el
dispositivo con NFC permite realizar lectura de los datos
contenidos en una etiqueta y a su vez escribir informacin si
la misma lo permite. Para este tipo de operacin se requiere

La institucin financiera es la encargada de proveer la

informacin acerca de las cuentas de los usuarios. Este es el
responsable de la entrega de las tarjetas de crdito y/o de
debito. Adems, es responsable de entregar el aplicativo en los
Smartphone. Finalmente, es el responsable de la distribucin
de los dispositivos. [11] Tambin existe el administrador de la
confiabilidad del servicio (TSM). Este se encarga de realizar
la comunicacin entre el elemento seguro y el banco. El TSM
no participa en el proceso de la transaccin, para esto se
realizan modos tradicionales. Finalmente, el operador de red
cumple las funciones de proveer un canal de comunicaciones
seguro. Este no debe ser diferente al que ya tiene, debido a que
se utiliza la red de 3G o la GSM si la anterior no est
disponible. [9]
C. Seguridad
Existen seis caractersticas importantes que se deben
considerar para cualquier tema de seguridad [13].
Confidencialidad, indica que la informacin solo debe
ser vista por procesos o dispositivos autorizados.
Autenticacin, asegura que las partes con acceso a la
transaccin son de confianza. Integridad, asegura que la
informacin y los sistemas no han sido alterados por
intrusos. Autorizacin, verifica que el usuario est
autorizado
a
hacer
la
transaccin
solicitada.
Disponibilidad, la aplicacin debe estar disponible para
usuarios autorizados en cualquier momento. No rechazo,
este punto asegura que el usuario no debe poder negar su
participacin en la transaccin.
Existen numerosas instituciones y estndares alrededor
del mundo que tienen como fin marcar las pautas a seguir
con la finalidad de mitigar estas caractersticas de
seguridad como: Payment Card Industry (PCI, Industria de
tarjetas de pago) [12], Smart Card Alliance [13], Federal

Information Processing Standars (FIPS, Estndares

federales de procesamiento de informacin [14].
La publicacin numero 200 de FIPS [14] da medidas para
garantizar que se cumplan las caractersticas de seguridad
Estas sern analizadas punto por punto en el anlisis de la
solucin propuesta.
D. Aplicaciones comerciales similares
Actualmente existen un gran nmero de aplicaciones que
tratan de integrar el telfono mvil a los e-payment.
Google Wallet es una aplicacin lanzada en mayo de 2011
en el mercado estadounidense. Esta aplicacin tiene como
propsito eliminar el uso de las tarjetas fsicas. Almacena la
informacin de las tarjetas en el telfono. Finalmente
utilizando el chip NFC en modo de emulacin logra que el
telfono se comporte como si fuera una tarjeta. Para su
funcionamiento Google cuenta con socios estratgicos como
son MasterCard, Pay Pass, First Data y Citibank. Para poder
realizar un pago, se debe acercar el telfono a un Point of
Sale(POS) con capacidades de lectura NFC, luego elegir el
monto que se va a pagar y finalmente se recibe una
confirmacin de que la transaccin fue realizada con xito.
Charge AnyWhere for blackberry es una aplicacin lanzada
al mercado a principios de mayo de 2012. Esta aplicacin
permite realizar cobros utilizando un telfono celular
Blackberry con tecnologa NFC. Esta plataforma es
compatible con tarjetas de crdito que utilicen la tecnologa
Visa PayWave y Mastercard Paypass. El procedimiento se
realiza simplemente acercando una tarjeta al telfono y este
recibir una confirmacin en pocos segundos.
Finalmente, Square lanzo una aplicacin la cual requiere de
un componente de hardware adicional, el cual se conecta a la
entrada de audio. Este dispositivo es un lector de tarjetas de
banda magntica. Esta aplicacin es similar a la propuesta
debido a que busca convertir el telfono en un POS. Sin
embargo, la diferencia principal reside en que esta requiere de
un adaptador mientras que la presentada no requerira nada.

IV.

PROPUESTA

Se propone una aplicacin mvil que utilizando un

Smartphone con capacidades NFC logre emular un POS. Se
considera que debido a su creciente demanda puede ser
utilizado por distintas personas sin generar un costo adicional
al usuario. Adems, se propone un protocolo de comunicacin
mvil entre el telfono y el banco. Muchas veces al desarrollar
un mecanismo particular de seguridad o algoritmo, uno debe
considerar los potenciales ataques en las cuestiones de
seguridad. En muchos casos, ataques exitosos son diseados
mirando el problema en un modo totalmente diferente y
explotando debilidades inesperadas en el mecanismo [15].
Siguiendo esta premisa, se propone adems un protocolo del
uso de cdigos token que sern cambiados cada vez que se
realice una transaccin. De esta manera, emulando que cada
cliente tenga una nueva tarjeta tras finalizar la transaccin
mitigando la clonacin de tarjetas.
Para poder cumplir las polticas de seguridad de FIPS se
propone una arquitectura modular donde cada bloque se podr
ir implementando a medida que este sea necesario. Esta
arquitectura ser escalable ya que el aumento de cada bloque
superpondr mayores niveles de seguridad. Los elementos que
utiliza la aplicacin son los siguientes: Smartphone con
capacidades NFC, Sistema de transaccin, Tarjeta NFC.
El Smartphone tiene que ser un telfono Android que cuenta
con sistema operativo Android como mnimo versin 4.0 que
incluya un chip NFC. Este ser donde se ejecute la aplicacin
mvil y contara con las funciones de: Lectura y escritura de
datos en la tarjeta y envi de datos al sistema. La tarjeta NFC
debe contar con chip de memoria interna y tener capacidades
de re-escritura para que de este modo se pueda aplicar el
token. El sistema de transaccin se encontrara dentro de una
zona desmilitarizada (DMZ) donde esta nicamente tendr el
acceso del exterior mediante el protocolo HTTPS.
Internamente solo se podr comunicar mediante dispositivos
directamente conectados.
A.

Aplicacin mvil

La aplicacin mvil se basa en dos actividades bsicas:

Sesin de usuario y Transaccin. Sesin de usuario es donde la
persona que va a realizar los cobros realiza el logn.
Transaccin es donde se realiza la transaccin propiamente
dicha entre el cliente y el usuario.
El inicio de sesin de usuario se da una vez cada da. En este
se enva un usuario y una clave al sistema. El sistema valida los
datos y autoriza la operacin mediante una confirmacin al
telfono . Tras recibir la confirmacin el telfono se registra al
sistema y pasa a un estado de espera de transaccin y enva el
cdigo nico del telfono(Imei) , Cdigo nico de tarjeta Sim (
Imsi) y cdigo de celda donde est registrado el telfono. Este
protocolo se puede apreciar en la Figura 2. Si los datos son
fallidos solicita que envi nuevamente los datos. Tras tres
intentos fallidos el sistema de procesamiento bloquea el las
credenciales. El telfono muestra un mensaje indicando que la

sesin fue bloqueada. Este protocolo se puede apreciar en la

Figura 3.

NFC

Solicita acercar tarjeta

Acerca tarjeta

Lectura
UID y
Token

Valida
UID y
Token

Envio UID y Token

Solicita Usuario y Password

Fallido
Mensaje
Tarjeta
Bloqueada

Ingresa Usuario y Password

Envia Usuario y Password
Estado
espera

OK

Valida
User
Password

Envia Imei e Imsi

Almacena
registro
Sesin

Figura 2: Inicio de sesin correcto.

Tarjeta
Bloqueada

Figura 5 Transaccin tarjeta fallida.

El ltimo resultado es cuando el cdigo Pin es fallido. En la
Figura 6 se muestra el protocolo de transaccin esto ocurre.
El sistema solicita que enve el cdigo pin y el monto
nuevamente. Tras tres intentos fallidos la tarjeta se bloquea en
el sistema y el telfono muestra un mensaje indicando que la
tarjeta ha sido bloqueada.

Solicita Usuario y Password

NFC

Ingresa Usuario y Password

Envia Usuario y Password

Valida
User
Password

Fallido
Solicita Usuario y Password

Solicita acercar tarjeta

Ingresa Usuario y Password

Acerca tarjeta

Envia Usuario y Password

Valida
User
Password

Fallido

Lectura
UID y
Token

Envio UID y Token

Solicita Usuario y Password

OK

Ingresa Usuario y Password

Valida
UID y
Token

Solicita Monto y PIN

Envia Usuario y Password
Bloqueo

Valida
User
Password

Ejecuta Monto y PIN

Estado
Bloqueo

Envio Monto y PIN

Fallo

Valida
PIN y
Tarjeta

Solicita Monto y PIN

Figura 3: Inicio de sesin fallido

Ejecuta Monto y PIN

Envio Monto y PIN
Fallo

El protocolo de la transaccin puede tener tres resultados. El

primero es cuando todos los datos son validados y son
correctos. El protocolo en este escenario se puede apreciar en
la Figura 4 .

Valida
PIN y
Tarjeta

Solicita Monto y PIN

Ejecuta Monto y PIN
Envio Monto y PIN

Mensaje
Bloqueo
Tarjeta

Bloqueo

Valida
PIN y
Tarjeta

Bloqueo
Tarjeta

NFC

Figura 6 Transaccin Pin fallido

Solicita acercar tarjeta
Acerca tarjeta

Lectura
UID y
Token

Envio UID y Token

OK

Valida
UID y
Token

Solicita Monto y PIN

B.

Sistema de procesamiento

Ejecuta Monto y PIN

Envio Monto y PIN
OK

Envio Token

Valida
PIN y
Tarjeta

Genera
Token

Envio Imsi e Imei

Registra
Transaccion

Solicita acercar tarjeta

Acerca tarjeta

Escritura
Token

FIGURA 4: TRANSACCIN CORRECTO

El segundo resultado es cuando el User Identifier(UID) es
fallido. En la Figura 5 se puede apreciar el protocolo de
transaccin cuando el UID y el token no coinciden. Cuando
esto ocurre el sistema bloquea la tarjeta en el sistema y el
telfono muestra un mensaje que indica que la tarjeta fue
bloqueada. La nica forma de liberar la tarjeta sera acudir a la
entidad bancara para solicitar su desbloqueo.

Todo el sistema est diseado para que funcione dentro

de una DMZ. El sistema est basado en dos servidores:
Servidor Web y Servidor base de datos. Estos, deben
tener 3 interfaces fsicas. El primero es un servidor Web
el cual es el que se comunica con los Smartphone a travs
de de la interfaz WAN. Esta interfaz, conectada a internet,
escucha el servicio HTTPS. La interfaz LAN tiene IP
privada y se comunica con cable directamente a la
interfaz WAN del servidor de base de datos. La tercera
interfaz es de administracin y no se encuentra conectada
fsicamente a nada. Cuando se requiera hacer alguna
configuracin se deber ir y conectarse directamente. El
segundo servidor es el que contiene las bases de datos y
solamente cuenta con IP privadas. En la interfaz LAN
solamente se puede comunicar con los sistemas del
banco. De igual manera que el servidor Web este cuenta

con una interfaz de administracin la cual funciona de la

misma manera.
Parte importante del sistema es la generacin del cdigo
Token. Este es brindado por una empresa tercera la cual
brinda una gran cantidad de cdigos aleatorios que son
ubicados en una base de datos. Estos cdigos deben ser de
siete dgitos para que no se repitan luego de una gran
cantidad de transacciones. El sistema, cada vez que ocurre
una transaccin exitosa asigna un nuevo cdigo a la
tarjeta. Esto simula que con cada transaccin realizada el
cliente tiene una nueva tarjeta.
V.

ANALISIS DE LA PROPUESTA

A. Anlisis por tramos

La DMZ agrega una capa adicional de seguridad de red

entre internet y la red interna de una organizacin, de
modo que las partes solo tengan acceso directo a ciertos
servicios que se encuentran en la DMZ y no a toda la red
interna. De esta manera los usuarios de la aplicacin no
ingreseran a zonas bancarias a las que no deberian poder
ingresar. Ademas, los clientes nunca tienen comunicacin
directa con las bases de datos ya que siempre pasa a traves
de un servidor intermedio.
C. Cumplimiento de FIPS
Tomamos como estndar de seguridad el FIPS y a
continuacin se explicara punto a punto como cumplira el
sistema y la aplicacin
1

Los medios de pago por contacto y sobre todo los

realizados mediante NFC aun no cuentan con un estndar
claro de cmo se debe manejar la seguridad debido a que
son conceptos nuevos. Lo ptimo para este tipo de casos
consiste en considerar y tomar polticas de seguridad para
poder cumplir con los requerimientos de las caractersticas
de seguridad en cada tramo de la aplicacin: Transmisin
Tarjeta-Celular, Procesamiento en celular, Transmisin
Celular-Banco, Procesamiento en Banco.

La comunicacin que se realiza entre la tarjeta de

contacto y el telfono solamente puede ser vulnerable por
dos ataques: espionaje y modificacin de datos. [16]. Si se
modificaran los datos la aplicacin no funcionaria por las
propias caractersticas de la misma, por lo tanto no es
necesario realizar consideraciones para este tipo de ataque
por lo que solo se enfocara en la solucin de los ataques de
espionaje. Debido a la frecuencia en la que funcionan las
comunicaciones NFC es tan baja y la distancia de
funcionamiento es nicamente unos centmetros. Una
antena externa tendra que ser de un tamao muy grande
para lograr las caractersticas necesarias para poder recibir
los datos. Por lo que el dueo de la tarjeta se dara cuenta
de este elemento externo.
Todos los Smartphone Android que cuentan con la
tecnologa NFC cuentan con un chip de elemento seguro
embebido en el telfono. Este chip hace que la aplicacin y
la informacin utilizada por el celular se encuentre en todo
momento encriptado para que posteriormente no pueda ser
analizada. Esto cumple con el estndar del PCI que
recomienda que no se debe almacenar ninguna
informacin sobre el usuario en el dispositivo de cobro
pasada la transaccin [12].
Para el canal de transmisin de datos por internet se
puede utiliza una red mvil 3G/GSM o un acceso
inalmbrico de una red cableada FTTH/ADSL. En el caso
de la red 3G/GSM por caractersticas propias de la red, se
cuenta con mecanismos de autenticacin [17]. Ademas,
para cada autenticacin genera una clave nueva de cifrado
[18]. As mismo, en capas superiores toda comunicacin
estara dada por el protocolo HTTPS el cual es considerado
como un estandar seguro en las comunicacines clienteservidor.

10

Control de acceso: Cada telfono realiza un login al

sistema. Por lo que podemos considerar que se cumple.
Conciencia y entrenamiento: Se debe elaborar un
manual de usuario para el cliente y una cartilla de
riesgos para los administradores del sistema. Por lo
que podemos considerar que cumple.
Auditoria y responsabilidad: Cada transaccin queda
registrada en el sistema con fecha y hora y desde que
telfono se realiz. Se puede considerar que cumple.
Certificacin acreditacin y evaluaciones de
seguridad: Preparar un cronograma de controles y
revisiones. Basndose en estos reportes se puede
mejorar las deficiencias encontradas. Podemos
considerar que cumple.
Administracin de configuracin: Se debe documentar
todos los cambios que se van aplicando en cada
versin. Podemos considerar que cumple.
Planificacin de contingencia: El sistema debe contar
con sistemas con protocolos de High Availability, de
modo que el sistema tenga redundancia. Adems, el
NOC debe contar con equipos de backup para ser
remplazados en caso sea necesario. Podemos
considerar que cumple.
Identificacin y autenticacin: Cada transaccin queda
registrada en una tabla. En esta tabla se puede registrar
todo la informacin respectiva del cliente. Las
acciones de configuraciones pueden ser revisadas en
los logs de los servidores. Podemos considerar que
cumple esta caracterstica.
Respuesta al incidente: El equipo de trabajo del NOC
debe contar con gente capacitada para poder
reaccionar rpidamente. Adems debe existir un
manual de procedimientos en cada caso. Podemos
considerar que cumple estas caractersticas.
Mantenimiento: Se debe realizar un mantenimiento
preventivo del hardware de los equipos siguiendo un
check list y una purga de software de manera regular.
Podemos considerar que cumple esta caracterstica.
Proteccin de media: La administracin de los
sistemas debe ser hecha solo por usuarios autorizados
y conectndose directamente. Podemos considerar que
cumple esta caracterstica.

11

12

13

14

15

16

17

Proteccin fsica y ambiental: Podemos considerar que

se cumple esta caracterstica por las mismas razones
que el punto anterior.
Planificacin: Los reportes levantados en los anlisis
cronogramados entregaran informacin necesaria para
poder realizar mejoras y actualizaciones de software.
Podemos considerar que cumple la caracterstica.
Seguridad personal: El personal del NOC contara con
clausulas de seguridad en su contrato donde
comprometen a no revelar informacin. Adems, cada
usuario tendr sus credenciales para acceso a los
equipos, de modo que mediante los logs del sistema se
pueda realizar un seguimiento de los comandos
ejecutados Podemos considerar que cumple.
Evaluacin de riesgos: Junto a la cartilla de riesgos y
el cronograma de anlisis elaborar un reporte
peridico de los riesgos de la aplicacin y como
mitigar los problemas. Podemos considerar que
cumple.
Sistemas y adquisicin de servicios: El cronograma de
anlisis permitir elaborar ciclos de vida de la
aplicacin. Esto generara nuevas versiones que
impedir el uso a versiones anteriores. Podemos
considerar que cumple.
Proteccin de sistemas y comunicaciones: El NOC
debe monitorear el sistema y las conexiones entrantes
para confirmar que no existen transacciones extraas.
Podemos considerar que cumple.
Sistemas de informacin e integridad: El NOC fuera
del los anlisis planificados debe identificar, corregir y
reportar errores. Podemos considerar que cumple.

REFERENCES
[1]
[2]
[3]
[4]
[5]
[6]
[7]

VI.

CONCLUSIONES

La propuesta brinda una posible solucin para poder

hacer llegar las transacciones electrnicas a mas
lugares. Mediante el uso de un Smartphone asociado
a una plataforma bancaria prcticamente podra tener
su POS. Lo que permitira a trabajadores
independientes, Mypes, etc. Adaptarse a la tendencia
actual del uso de dinero sin la necesidad de que sus
utilidades se vean afectadas.
Se diseo un prototipo de sistema de pago.
Desarrollando un protocolo para las comunicaciones
entre el dispositivo y la institucin bancaria. Adems,
se desarrollo una aplicacin que permite la lectura de
informacin de la tarjeta y escritura en la misma, para
emular que est es una nueva tarjeta.
Se cre un sistema de asignacin de tokens. Estos
tokens sern nicos en 10 millones de transacciones.
Luego de cada transaccin exitosa se asigna un nuevo
token a la tarjeta, lo que emula que cada usuario tiene

una nueva tarjeta. Mitigando de esta manera la

clonacin de tarjetas.
Se realizaron pruebas de hardware para poder
seleccionar la tarjeta NFC adecuada. Adems, estas
pruebas permitieron ver los rangos reales en los que
funcionara la transaccin. Para realizar las pruebas
de seguridad se cumpli con los parmetros de la
FIPS.
La penetracin de los m-payments solamente va a
poder ser efectiva cuando los usuarios pueden
realizar todas sus actividades sin tener dinero fsico.
Para esto los POS tienen que estar disponibles para
pagar cualquier tipo de servicio.
La DMZ se implementa como poltica de seguridad
para el banco. Es por este motivo que el
telfono(POS) se comunica nicamente con un
servidor y este es el que se comunica con las bases de
datos. De esta manera el banco no tener ningn tipo
de contacto con clientes externos.

[8]
[9]
[10]
[11]
[12]
[13]
[14]

[15]
[16]
[17]

[18]

G. Zorpette, The beginning of the end of cash, IEEE Spectrum, vol.

49, n 6, p. 25, 2012.
D. Wolman, Cashing Out, IEEE Spectrum, vol. 49, n 6, p. 38, 2012
Canalys, Mobile device market to reach 2.6 billion units by 2016,
2013
J. J. Romero, No more waiting on Near Field Communication, IEEE
spectrum, vol. 49, n 6, p. 62, 2013
R. Gomez, Introduction to NFC (Near Field Communication), de 16
IST Mobile & Wireless Communications Summit, Budapest, 2007
A. Maritz, PaymentPortal a Cost-Efficient Mobile Cashless payments
Platform using Visual Identification, University of Cape Town , 2011
ITU-T, The Mobile Money Revolution Part 1: NFC Mobile
payments, ITU-T Technology watch report, Geneva, 2013.
Mobey Forum, White paper Business models for NFC payments, 2011.
A. Maritz, PaymentPortal a Cost-Efficient Mobile Cashless payments
Platform using Visual Identification, University of Cape Town , 2011.
Forum Nokia, Introduction to NFC, Nokia, 2011
Smart Card Alliance Payments Council, The Mobile Payments and NFC
Landscape: A, 2011..
Payment Card Industry (PCI), Data Security Standar: Requirements and
Security Assessment Procedures, 2010
Smart Card Alliance, Security of Proximity Mobile Payments, 2009.
Computer Security Division, Information Technology Laboratory,
National Institute of Standards and Technology, Minimum Security
Requirements for Federal Information and Information Systems,
U.S.DEPARTMENT OFCOMMERCE, Gaithersburg, 2005.
W. Stalling y L. Brown, Computer Security Principles and practices,
New Jersey: Prentice Hall, 2008, p. 14.
E. Haselsteiner, K. Breitfuss y P. Semiconductors, Security in Near
Field Communication (NFC)
G. H. a. K. M. W.D. Chen, Y. Lien y J.-H. Chiu, Using 3G Network
Components to Enable NFC Mobile Transactions and Authentication,
de International Conference on Progress in Informatics and Computing
(PIC), 2010
M. Suominen, GSM Security, Helsinki University of Technology, 2003.