Apple ha presentado su sistema de pagos y todo el mundo ya está quitándole mérito a la compañía de Cupertino. 'Google Wallet ya permite pagos por NFC'. 'Eso ya existe, Apple no ha inventado nada nuevo'. 'Apple Pay no es más que un truco de marketing'. Pero la verdad está en dos palabras claves en la presentación de Tim Cook: elemento seguro. Preparaos por que es un artículo un poco denso, aunque lo he intentando descafeinar un poco.
Hace unos años tuve que investigar bastante sobre tecnología NFC. Esa tecnología cuyo consorcio que lo respalda lleva una década diciendo año tras año que el siguiente año será el de la revolución NFC. Cosa que nunca ha ocurrido por un problema de seguridad intrínseco de NFC y que es la auntenticación del usuario que irremediablemente debe pasar por Internet. Pero no era viable hasta que Apple ha presentado Apple Pay por una simple razón: se necesitan realizar pagos de forma totalmente segura.
El elemento seguro en NFC es una ubicación de un chip que tiene que almacenar un criptograma identificativo del usuario. De esta forma en cada conexión el dispositivo puede decir que es quien dice ser. Se puede almacenar por ejemplo en el procesador de banda base de un teléfono, en hardware embebido al estilo de una smartcard, en una tarjeta SMC o en un UICC (Universal Integrated Circuit Card). Esta última es la más segura. Algunos fabricantes han optado por usar un elemento seguro NFC en forma de hardware embebido, pero debido a la diversidad que existe en Android no hay un sistema estandarizado y que es el problema detrás de la aceptación de Google Wallet en los comercios. Otros usuarios han tenido que recurrir a usar una SIM que tenga un criptograma identificativo para NFC.
Cuando vamos a realizar un pago con el teléfono en otros sistemas como Google Wallet, y una vez que sabemos qué teléfono es mediante su criptograma indentificativo, necesitaríamos autenticar al usuario a través de Internet mediante un sistema de clave pública contra algún organismo de certificación, a la vez que el propio dispositivo del usuario necesitaría autenticar a la otra parte contra un organismo de certificación. Es el punto en el que ya estás dependiendo de la velocidad de Internet a la hora de realizar el pago y el motivo por el que se puede demorar todo el proceso durante varios segundos. Además que si no hay conexión a Internet en el dispositivo del usuario no se le puede autenticar y el proceso de pago no sirve. En Google Wallet, a esto hay que añadir el desbloqueo del móvil y la introducción de nuestro PIN, el envío de la tarjeta de crédito a validar, amén de que el criptograma y el saldo del dispositivo estaba hasta hace dos años accesible por cualquiera y ligado al propio móvil y otra serie de problemas de seguridad de los que perdí la cuenta. Si te deshacías del teléfono, perdías el crédito que tenías en Google Wallet ya que se almacenaba en el dispositivo, o más bien el siguiente usuario podría usarlo.
Apple optó también por el hardware embebido en el desarrollo de Touch ID que otorga a cada iPhone un identificador único almacenado en una zona cerrada a cal y canto del procesador, y cuya zona de memoria que necesita usar se encripta al arrancar el teléfono para que nadie pueda acceder a él, ni siquiera el propio iOS. Al añadir una nueva tarjeta de crédito a Passbook, se le asigna un identificador único y se almacena únicamente como criptograma en el elemento seguro de nuestro teléfono. Combinando ese criptograma y el criptograma de identificación de una de nuestras huellas dactilares (que pueden estar en el mismo elemento seguro ya que es capaz de almacenar varios criptogramas/huellas/identificadores de NFC/loquesea), se puede autenticar localmente al usuario que está intentando realizar el pago sin tener que realizar consulta alguna a un servidor en Internet. Y más importante aún: no se almacenan ni se transmiten los datos de la tarjeta en ninguna parte salvo en el teléfono, ni siquiera al comercio en el que estamos comprando.
Touch ID ya sabe que el dispositivo es de un usuario de iCloud determinado ya que está registrado su UDID (identificador del terminal) al hacer la primera configuración del teléfono, por lo que los servidores de Apple ya han dado su visto bueno (quizás de forma indirecta) a los criptogramas de huellas dactilares almacenadas y a los generados para cada tarjeta de crédito cada vez que se añade una. A la hora de pagar, se enviaría al TPV (terminal punto de venta) un token de identificación de la transacción generado en base al criptograma de identificación de la tarjeta y el del usuario, además de dónde haya comprado y el precio, así como otros parámetros, por lo que no se necesita enviar nada de la transacción a ninguna parte. Salvo, claro está, a nosotros que hemos pagado un café y a la tienda en la que lo hemos comprado.
La tradición de Apple no ha sido inventar nada nuevo, si no perfeccionar algo que ya existe para convertirlo en un nuevo estándar y referente de las demás compañías. Ni siquiera el iPad. En este caso es difícil que Android tenga un sistema de pago como el de Apple hasta dentro de unos años, o hasta que Samsung haga algo útil con su lector de huellas (que no es ni la mitad de seguro que el de Apple por la forma tan distinta que tiene de guardar la información de las huellas dactilares).
Por eso, el sistema de pago Apple Pay es tan rápido como lo que veis a continuación. A años luz de lo lento que es Google Wallet, e infinitamente más seguro.
