La tarjeta Coin en una foto promocional. Crédito: Coin, Inc.
(Crédito de la imagen: la tarjeta Coin en una foto promocional. Crédito: Coin, Inc.)

La semana pasada, gracias a una exitosa campaña de prensa, la startup Coin, con sede en San Francisco, recaudó $ 50,000 en 40 minutos de extraños dispuestos a esperar casi un año por una billetera digital.

los Tarjeta de monedas, un rectángulo de plástico negro del tamaño de una tarjeta de crédito con una pantalla LCD que se venderá por $ 100, llegará al mercado en el verano de 2014. Contendrá una banda magnética programable que se puede deslizar a través de cualquier lector de tarjetas estándar en una tienda minorista, gasolinera, cajero automático, etc.

Hasta ocho tarjetas de crédito, débito, cajero automático o de lealtad- cualquier tarjeta con una banda magnética - se puede "guardar" en la tarjeta Coin, dando a los usuarios siete tarjetas menos para llevar en billeteras o carteras.

Suena muy conveniente. También suena como una pesadilla de seguridad.

"Peor. Idea. Nunca ", dijo el asesor de seguridad de Sophos, Chester Wisniewski, a Tom's Guide por correo electrónico. "¿Conveniente? Por supuesto. ¿Seguro? Probablemente no."

MÁS: Guía de seguridad móvil: todo lo que necesita saber

Los usuarios configurarán sus tarjetas Coin deslizando todas sus tarjetas regulares en un lector de tarjetas gratuito proporcionado por Coin conectado a un teléfono inteligente Android o iOS compatible, tomando una foto de cada tarjeta para su verificación y luego "cargando" las tarjetas en la moneda tarjeta a través de un Bluetooth de baja energía (BLE) conexión inalámbrica.

(Una billetera digital similar con una tarjeta programable, la iCache Geode, no pudo despegar el año pasado a pesar de una campaña de financiamiento colectivo muy exitosa. La empresa iCache tiene aparentemente salió del negocio.)

Cada tarjeta Coin se puede emparejar con el dispositivo iOS o Android, con el resultado de que la tarjeta Coin dejará de funcionar si el teléfono inteligente se sale del rango de Bluetooth Low Energy, que es de unos 150 pies. (La tarjeta Coin también se puede configurar como un dispositivo independiente para que funcione sin un teléfono inteligente cercano, pero como resultado, con menos seguridad).

los El sitio web de Coin tiene muchas preguntas frecuentes, pero su sección de seguridad dedicada es vaga en los detalles. Las preguntas frecuentes establecen que "nuestros servidores, aplicaciones móviles y la propia moneda utilizan cifrado de 128 o 256 bits", pero no especifican cuáles son los algoritmos de cifrado ni cómo se pueden aplicar. (Las solicitudes de comentarios de Coin no fueron devueltas).

Aquí hay 10 razones por las que es posible que desee posponer la obtención de esa tarjeta Coin.

Es posible que los emisores de tarjetas no se muestren amables con los clientes que escanean los datos de sus propias tarjetas en dispositivos de terceros.

El lector de tarjetas Coin y su sistema de duplicación de tarjetas son esencialmente tarjetas de crédito de "clonación" y pueden violar los estándares de la industria y posiblemente las leyes contra la falsificación. La única advertencia es que el usuario está duplicando sus propias tarjetas en lugar de las de otra persona.

La tarjeta Coin está "casi garantizada como una violación del acuerdo del titular de la tarjeta con el emisor de la tarjeta", dijo Wisniewski.

Nos hemos comunicado con American Express, MasterCard, Visa y X9, el organismo de estándares técnicos para la industria financiera, para saber si la tarjeta Coin cumplirá con sus estándares. American Express no quiso comentar sobre el producto de otra empresa; los demás no han respondido.

Es posible que las tiendas y otros puntos de venta no acepten la tarjeta Coin y habrá una desventaja si lo hacen.

La tarjeta Coin de color negro azabache, sin rasgos distintivos, que no tiene holograma, logotipo, firma u otra verificación visible, "entrena a la gente a ignorar tarjetas que "no se ven bien", lo que hace que sea mucho más sencillo para otros ladrones hacer pasar las tarjetas del hotel Marriott como tarjetas de crédito válidas ", dijo Wisniewski dijo.

Es posible que los usuarios de tarjetas de monedas solo puedan utilizar los dispositivos durante un período breve.

Las tarjetas de monedas, prometidas para mediados de 2014, probablemente no serán compatibles con las nuevas tarjetas de crédito, débito y cajero automático EMV "chip-and-PIN" que pronto utilizarán los clientes de EE. UU.

Las tarjetas EMV (Eurocard, Mastercard y Visa), que ya son comunes en Europa, contienen una seguridad microchip que los usuarios insertan en un lector especial antes de ingresar sus números de identificación personal (Patas).

"Debido a EMV", dijo Wisniewski, la tarjeta Coin "solo funcionará, en el mejor de los casos, hasta octubre de 2015, cuando Mastercard, Visa, American Express y Discover implementan un cambio de responsabilidad hacia los comerciantes que no usan chip y PIN tecnología."

Para obligar a los consumidores y minoristas a usar y aceptar tarjetas EMV, los principales procesadores de pagos están transfiriendo ciertos tipos de responsabilidad por fraude de los emisores de tarjetas a los minoristas el 1 de octubre. 1, 2015. Los emisores de tarjetas ya no aceptarán devoluciones de cargo de minoristas defraudados con estilo antiguo falso o robado tarjetas de banda magnética, lo que brinda a los minoristas un gran incentivo para instalar terminales EMV antes de eso fecha.

El sitio web de Coin afirma que "las generaciones futuras del dispositivo incluirán EMV", pero ese objetivo puede ser difícil de lograr.

"Eso no es posible", dijo Robert Graham, director ejecutivo de Errata Security en Atlanta. "Por definición, los chips [EMV] no se pueden clonar. Ésa es la razón principal de los chips en lugar de las bandas magnéticas ".

A los ladrones de tarjetas les encantaría robar datos de la tarjeta Coin.

Las tarjetas de crédito pueden ser "robadas" por trabajadores de restaurantes, camareros, cajeros o empleados de hotel corruptos, incluso empleados de restaurantes de comida rápida - que venden los datos robados de la banda magnética a clonadores de tarjetas. Si le entregas tu tarjeta Coin a uno de estos delincuentes, podrán robar los datos de TODAS tus tarjetas, no solo de una. (Las preguntas frecuentes sobre Coin dicen que no puede bloquear su tarjeta Coin, "pero no es necesario").

Por el contrario, el lector de tarjetas de la aplicación Coin podría permitir que cualquiera se convierta en un ladrón de tarjetas.

"Es un comercial desnatadora", Dijo Wisniewski. "Instale la aplicación, pase la tarjeta de otra persona por su teléfono, tal vez desde la mesa de al lado en el bar, y voilà!"

(Las preguntas frecuentes sobre monedas dicen que las personas no pueden importar datos de tarjetas que no son de su propiedad, pero las preguntas frecuentes no explican por qué no).

Si lo empareja con su teléfono inteligente, será inútil si pierde su teléfono o si la batería de su teléfono se agota.

Imagina que sales a tomar algo después del trabajo. Un bar lleva a otro, y antes de que te des cuenta, son las 3 a.m., te quedas sin efectivo y estás buscando un taxi a casa.

Intentas golpear un cajero automático, pero tu teléfono inteligente no funciona y, sin una conexión de proximidad Bluetooth constante, la tarjeta Coin se ha apagado sola. Sin acceso al sistema financiero electrónico mundial, estás caminando a casa.

Si rompe la tarjeta Coin, la pierde o la deja atrás, se quedará atrapado con el dinero en efectivo que tiene a mano.

"Es un punto central de falla en su billetera", dijo Steve Santorelli, director de alcance global de la firma de seguridad Team Cymru en Lake Mary, Florida. "Al menos con el lote convencional de tarjetas de crédito que todos parecemos arrastrar, si una raya sale mal, puede ingresar manualmente de forma predeterminada o usar otra".

"No me gusta la idea de tener todos mis huevos en una canasta", dijo Sean Sullivan de la empresa de seguridad finlandesa F-Secure. "Con frecuencia salgo con solo un tarjeta de débito (con fondos limitados en su cuenta) y mi identificación. En mi opinión, tener todas mis tarjetas bancarias en una no es algo que se desee desde el punto de vista de 'opsec' [seguridad operativa] ".

La seguridad de Bluetooth Low Energy (BLE) no está probada.

El estándar BLE apenas ha comenzado a ingresar al mercado, y es posible que pueda ser susceptible a ataques de "olfateo" o "intermediario" al estilo antiguo que funcionaban contra personas mayores Protocolos Bluetooth.

"Si bien la especificación BLE sí incluye cifrado, pocos dispositivos, si es que hay alguno, lo han implementado todavía", dijo Mike Davis de la firma de seguridad IOActive de Seattle. dijo al blog de tecnología The Register. "Además, BLE tiene problemas conocidos cuando se trata de emparejamiento seguro".

Los piratas informáticos podrían acceder a los datos de la tarjeta de crédito pirateando su teléfono inteligente.

"Considera el cantidad de malware manifiesto que existe para Androidy las aplicaciones ocasionales que no son lo que parecen en iOS ", dijo Santorelli. "Básicamente, está colocando todos los datos de su tarjeta de crédito en un solo lugar en un dispositivo que podría no ser seguro en sí mismo. El potencial del malware para rastrear y enviar los archivos relevantes fuera de su dispositivo es significativo ".

Los piratas informáticos podrían robar la información de su tarjeta de crédito ingresando a los servidores de Coin.

Las preguntas frecuentes de Coin dicen que cada tarjeta Coin estará "asociada con su cuenta y no con ese teléfono / dispositivo específico", y que la empresa está "en proceso" de obtener la certificación de los "estándares PCI DSS para almacenar y transmitir tarjetas datos."

Esa es una pista bastante fuerte de que los datos de la tarjeta de crédito se almacenarán en los servidores de la compañía Coin. Pero las preguntas frecuentes de Coin no dicen cómo se almacenarán esos datos.

"¡No te preocupes!" Wisniewski dijo sarcásticamente. "Todos los datos de su tarjeta se almacenan en los servidores de Coin".

No es una buena idea permitir que CUALQUIER empresa en línea, desde Amazon.com hasta la reparación de alta fidelidad de Pa Kettle, almacene los datos de su tarjeta de crédito. Las consecuencias de un Filtración de datos, demasiado comunes en estos días, son demasiado altos.

Siga a Paul Wagenseil en @snd_wagenseil. Siga la guía de Tom en @tomsguide, en Facebook y en Google+.

  • ¿Realmente necesita una aplicación de seguridad de Android de terceros?
  • 7 características tecnológicas que nadie quería
  • 9 mejores productos de software de seguridad móvil