Archivo de la categoría: Telefonía móvil

Firma electrónica en el teléfono móvil celular con Movistar

11 respuestas

Algo después del verano de 2005 acabamos en Albalia Interactiva el sistema de firma electrónica en teléfonos móviles celulares que estuvimos desarrollando con Movistar.

Hago esta mención porque estos días se ha publicado que Vodafone ha logrado llevar a cabo la firma electrónica desde el móvil y parece que han sido los primeros en lograrlo.

No le quiero quitar mérito al asunto, porque ya he comprobado en mis carnes las dificultades de un proyecto de este tipo.

Pero creo que conviene poner en perspectiva el anuncio, respecto a la capacidad de innovación de cada operador, y a lo qué puede significar la innovación en un proceso que debería acabar con un producto en manos del público.

Hasta donde llegan mis noticias, el primer proyecto de firma electrónica desde el móvil se llevó a cabo en el año 2001, y lo acometió Safelayer en colaboración con Amena, entidad que participaba en su capital. En ese caso se trataba de firmar formularios a través de páginas WAP, en las que se disponía del protocolo WTLS y la posibilidad de tener certificados electrónicos (y sus claves privadas asociadas) en la tarjeta SIM del teléfono móvil. Uno de los retos del proyecto era la adaptación de una pasarela para que las firmas generadas en el lado WAP pudieran ser utilizadas en el lado HTML.

El proyecto de Albalia con Telefónica Móviles España (Movistar) pretendía firmar en un teléfono móvil mediante una tarjeta criptográfica que contuviera las claves y los certificados. La idea era que se pudiera utilizar con el DNI electrónico, aunque en aquel momento tuvimos que contentarnos con trabajar con prototipos del DNI-e.

El primer reto lo tuvimos cuando lo intentamos con teléfonos Java genéricos. En principio, todos los teléfonos celulares de última generación soportan java, sea cual sea el sistema operativo, pero las cosas no son tan fáciles. Para llevar a cabo la firma nos convenía que el teléfono implementara las funciones de MIDP 2 y eso limitaba mucho los teléfonos adecuados. A continuación necesitábamos teléfonos con la opción de incorporar un dispositivo lector de tarjeta chip (la famosa chipetera).

Un dato curioso es que los teléfonos móviles ya llevan un lector de tarjeta chip en su interior, puesto que lo necesitan para acceder a la SIM. Sin embargo, muy pocos incorporan un lector de tarjeta chip accesible desde el exterior. Los pocos modelos existentes, son unidades obsoletas de Motorola y Siemens que incorporaron lectores de tarjetas chip en proyectos desarrollados en torno al año 2000 cuando especificaciones como EMV y SET permitían vaticinar la adopción del teléfono móvil como sistema de pago asociado a una tarjeta bancaria.

La posibilidad de usar lectores externos de tarjeta chip redujo mucho el abanico de teléfonos móviles adecuados, y nos obligó a centrarnos en teléfonos móviles operados con sistemas operativos derivados de Windows CE. De hecho el ordenador de mano HP Jornada 720 (con la variante de sistema operativo Handhel PC2000) ya incluia lector de tarjeta chip, lo que parecía bastante prometedor.

La mala noticia es que, aunque según la información técnica de Microsoft existen lectores de tarjeta chip para Windows CE o Pocket PC, los modelos referenciados operan a través de RS-232 (lo que delata la antiguedad de la valoración), interfaz que la mayor parte de los modelos actuales no incorporan.

Camisa para TSM-500Necesitábamos un lector de tarjeta chip que se pudiera acoplar a un teléfono TSM-500 (equivalente al XDA II, al iMate Pocket PC o al Qtek 2020), o bien por la conexión del Craddle (la cuna de sincronización, existente en prácticamente todas las PDA y agendas con software Windows Pocket PC), o bien por la conexión SDIO (destinada originalmente para tarjetas de ampliación de memoria). Además el lector debería tener drivers PC/SC para Windows CE (en las versiones de base del sistema operativo 3.0, 4.2 o 5.0) o sus evoluciones como Windows Mobile (2002, 2003 y 2005), Windows Pocket PC o Windows Smartphone. Esto era imprescindible para poder utilizarlo dentro de las posibilidades que nos proporciona la Cripto API en Windows CE (que alcanzarían el máximo si pudiéramos contar con los drivers CSP, también para Windows CE de la tarjeta inteligente).

Después de mucho buscar, sólo encontramos un modelo que era fantásico desde el punto de vista de prestaciones y de factor de forma, porque encajaba perfectamente en la conexión de Craddle de la TSM-500, pero que en ese momento no tenía driver PC/SC. Contactamos con el Proveedor australiano, y mantenemos la puerta abierta para utilizarlo en futuros proyectos.

Sin embargo, esa linea de trabajo quedó en suspenso mientras aparecían los dichos drivers.

A través de C3PO encontramos un lector de tarjeta inteligente PCMCIA (el modelo 4040) con drivers PC/SC para Windows CE. La colaboración de C3PO con Albalia (o particularmente, la de Jorge Gómez, su Director General, conmigo) siempre ha sido muy buena y en este proyecto fue muy importante.

La buena noticia es que pudimos avanzar bastante en el desarrollo, aunque (la mala noticia) tuvimos que utilizar un entorno diferente al definitivo: la tarjeta PCMCIA 4040 se insertaba en un adaptador PCMCIA a CompactFlash (allí comprobamos que ambas conexiones son eléctricamente equivalentes aunque el factor de forma es distinto) y este en una PDA con conexión Compact Flash. Todavía no teníamos un lector SDIO pero ya podíamos empezar a entablar diálogo con la tarjeta chip del prototipo de DNI electrónico.

En esta fase del proyecto tuvimos que firmar un Acuerdo de Confidencialidad muy riguroso con la FNMT para acceder a la información de la tarjeta, y en particular sus comandos de bajo nivel APDU.

De esta forma podíamos pedirle a tarjeta que firmara un Hash con la clave privada y leer del directorio apropiado de la tarjeta el certificado asociado. Fue una proceso complejo buceando en una maraña de información y con el objetivo de generar un PKCS#7 en el entorno de la PDA.

Normalmente, generar un PKCS#7 no es un problema, porque es relativamente sencillo generarlo programando mediante la Cripto API. El problema es que no teníamos el CSP de la tarjeta criptográfica para Windows CE, y, por tanto las funciones de programación de Windows ignoraban la existencia de la tarjeta. Además las funciones de la Cripto API no permiten un uso «a trozos» de las operaciones atómicas de la firma. Así que, además, teníamos que acometer por nuestra cuenta el reto de generar un PKCS#7 bien formado. Otra vez vuelta a estudiar las especificaciones ASN.1 de la norma y a interpretar las Basic Encoding Rules (BER) para poder generar nuestro propio PKCS#7. Y esto tras intentar primero extraer la función correspondiente de librerías como OPENSSL y otras. Lo cierto es que en todas las librerías en las que están disponibles los fuentes, las generación del PKCS#7 está absolutamente enmarañada con otras cosas, y no era práctico ni extraer lo básico, ni moverlo todo a Windows CE. Demasiadas dependencias.

Smartcard SDIO ReaderAl final lo logramos. Generamos nuestra propia interficie con la tarjeta chip, con nuestra propias funciones y librerías, lo que nos permite implementar tanto un driver CSP como PKCS#11 para el DNI electrónico en Windows CE.

Ya solo nos faltaba el dispositivo lector.

Tras mucho investigar, encontramos un lector de tarjetas inteligentes con interfaz SDIO, desarrollado originalmente para el Departamento de Defensa norteamericano.

Disponía de drivers PC/SC, por lo que pudimos adaptar todos los desarrollos que habíamos hecho para la PCMCIA con cierta facilidad.

Cuando hicimos la entrega del proyecto, nos atrevimos con algo a lo que nos debería haber disuadido nuestro profundo conocimiento de las Leyes de Murphy. Instalamos nuestri entorno en un teléfono nuevo que Movistar lanzaba por esas fechas: el Qtek S100. No lo habíamos probado. Simplemente los especialistas en firma electrónica en móvil de Telefónica Móviles tenían un equipo por allí y nos animamos a intentarlo el mismo día de la entrega. ¡Funcionó!

Instalamos los drivers en el S100, insertamos el conector del lector de tarjeta chip en la ranura SDIO del móvil, instalamos nuestra aplicación en el móvil, insertamos la tarjeta con un certificado autogenerado y otra con un certificado generado por un PSC (todavía no teníamos DNIs electrónicos auténticos) elegimos un fichero existente en el móvil y Voilá. Nos pedía el PIN y generaba el PKCS#7 que podíamos leer después en un ordenador con Windows.

Fue un proyecto largo y duro, pero del que nos sentimos muy orgullosos.

Por cierto, hasta donde yo sé, somos los únicos que tenemos este know-how, por lo que aquellos interesados en desarrollar aplicaciones para el DNI electrónico en dispositivos móviles, teléfonos y PDAs basados en Windows CE, deberían contactar con nosotros.

Por lo menos para adquirir la chipetera SDIO ya que nos hemos hecho distribuidores de estos dispositivos.

Por concluir, hay que reconocer que Amena fue el primer operador móvil en disponer de firma en teléfonos móviles WAP, Movistar el siguiente, pero esta vez con capacidad de firmar con tarjetas externas, como es el caso del DNI electrónico, y Vodafone el último operador en disponer de esta tecnología (y además en la opción «fácil» de instalar el certificado en la SIM).

Chipeteras

Deja un comentario

Los lectores de tarjeta chip. a veces se llaman "chipeteras" por similitud con  las "disqueteras" que permiten leer los diskettes magnéticos.

Las tarjetas inteligentes (también llamadas tarjetas chip o smartcards) se utilizan cada vez más en diferentes ámbitos: 

  • Como tarjetas de identificación en telefonía móvil GSM (se denominan SIM Card a partir del término Subscriber Identification Module, es decir , módulo de identificación de abonado).

  • Como tarjetas de alta seguridad en Medios de Pago (VISA y MasterCard han definido conjuntamente el estándar EMV que define el tipo de tarjeta que todas las entidades financieras han comenzado a emitir y que deben poseer todos sus clientes antes de 2010, como parte de los compromisos impuestos por las autoridades en el marco de la SEPA: Single Euro Payment Area).

  • Como tarjetas sanitarias, en base a las que, por ejemplo, pueden llevarse a cabo proyectos de Receta Electrónica

  • Como tarjetas de identidad digital en Firma Electrónica, constituyendo lo que la normativa denomina "dispositivo seguro de creación de firma". Desde este punto de vista, Cámaras de Comercio, Colegios Profesionales, e instituciones públicas han desarrollado estructuras de certificación (PKI) y Prestadores de Servicios de Certificación (PSC) que permiten llevar a cabo con estas tarjetas la firma electrónica avanzada y las firmas electrónicas reconocidas o cualificadas.

Una de estas tarjetas, es la utilizada en el DNI electrónico que ha empezado a emitirse en marzo de 2006. Para poder utilizar el DNI electrónico es preciso disponer de un lector de tarjeta chip conectado al ordenador.

Además del lector de tarjeta chip, y el propio DNI hacen falta las piezas de software de cada dispositivo. El driver CSP del DNI electrónico se encuentra en http://www.dnielectronico.es/. El driver PC/SC del lector se obtiene en el web del fabricante, cuya dirección se entrega en la iformación suministrada con el lector.

Interceptación legal de las Telecomunicaciones

5 respuestas

Ya es legal interceptar las telecomunicaciones.

El Real Decreto 424/2005, de 15 de abril, por el que se aprueba el Reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios. (publicado en el BOE núm. 102, de 29-04-2005, pp. 14545-14588) establece en su sección terecera el régimen de interceptación de las telecomunicaciones.  

Sorprende el poco eco que ha tenido la publicación de esta norma (incluyo en forma de comentario toda la sección referida a la interceptación de las telecomunicaciones)

HalCash

1 respuesta

Hal Cash, el nuevo sistema de envío de dinero al móvil diseñado por Caixa Galicia y Bankinter, está ganando adeptos, al mismo tiempo que más entidades financieras se adhieren al sistema.  Además de las entidades mencionadas, ya están operativas en el sistema las siguientes entidades españolas: Bancaja, Banesto, Caja Laboral Popular, Cajamar y El Monte, y en Ecuador, Banco Guayaquil.

A través del sistema de banca electrónica de la entidad, o por diferentes canales, incluida las propias oficinas (depende de la entidad, y la forma que ésta haya elegido para desplegar el servicio) el ordenante indica el número de teléfono móvil al que quiere enviar el dinero. La entidad le devuelve un código de autenticación y envía al destinatario un SMS con un código de activación.

El ordenante comunica mediante una llamada telefónica el código de autenticación al beneficiario (en la que se cerciora de su identidad).

El beneficiario, con ambos códigos, acude a cualquier cajero automático de cualquiera de las entidades participantes, y obtiene el dinero. Dispone de 10 días, a partir de la fecha de envío, para retirar el dinero: si el dinero no es retirado por cualquier motivo, se devolverá el importe enviado a la cuenta corriente del ordenante.

Con este sistema se puede enviar el dinero incluso a quienes no tienen cuenta bancaria (de forma semejante a como funciona Western Union, o el clásico sistema bancario, hoy en desuso, de envío de dinero a una sucursal con indicación de «a disposición» que permitía entregar la cuantía tras identificar a la persona que se presentaba solicitándolo).

Dado que el sistema está diseñado para poder obtener dinero en los cajeros automáticos, es conveniente elegir una cuantía que sea múltiplo de las denominaciones habituales disponibles en los cajeros en el país de destino.

Otro de los aspectos destacables es el coste económico del envío, que ronda los 2 euros y que se reparte, según indican las entidades financieras participantes, del siguiente modo: 1 euro para el banco o caja que aporta el cajero, 0,5 euros para el banco o caja que inicia el envío y 0, 5 euros para HalCash por el servicio de intermediación.

El sistema incluye interesantes mecanismos de control para evitar su uso como mecanismo de blanqueo de dinero.

El pago por móvil es un sistema seguro y accesible a todo el mundo

1 respuesta

Logo Mobipay Entrevista con José Luís Martínez Dalmau Consejero Delegado de Mobipay España, S.A.

Visto en Guia de Prensa

Mobipay nace en julio de 2001 como resultado de la unión de dos plataformas de pago por móvil, Movilpago y Pagomóvil, desarrolladas a instancias de BBVA y Telefónica Móviles y SCH, Vodafone y Amena, respectivamente.

En la actualidad, el accionariado de Mobipay lo forman noventa y dos entidades financieras, los tres operadores de telefonía móvil y las tres redes de medios de pago. Hablamos con José Luís Martínez Dalmau, Consejero Delegado de Mobipay España, S.A.

¿Qué aceptación tiene el pago por móvil entre el público?

Pago en taxi con MobipayEl pago por móvil es un nuevo concepto, un nuevo servicio, y como tal requiere que los consumidores vayamos adoptando el hábito de utilizarlo. Nuestra filosofía es ir incorporando paulatinamente sectores en los que poder pagar con el móvil. Empezamos con las recargas de teléfonos móviles, las compras en Internet, el pago de taxis, donativos, facturas, recibos, la posibilidad de poder aceptar el borrador de la Declaración de la Renta.

Recientes estudios realizados por la consultora Arthur D. Little indican que España, hoy, es el tercer país de Europa y quinto del mundo en nivel de desarrollo de pagos a través de móvil. Nos queda mucho camino por delante, un camino ilusionante, sin olvidar el reto de seguir manteniendo el liderazgo de España en esta actividad.

¿Qué ventajas ofrece este sistema de pago?

Pago en Comercio Electrónico con MobipayLas ventajas son múltiples, aunque sólo me voy a centrar en las tres que considero más relevantes. En España hay 39 millones de teléfonos móviles, lo que quiere decir que una buena parte de la población tiene un terminal. Y, generalmente, el teléfono móvil lo llevamos todos encima. Sin duda, de aquí parte la primera ventaja: siempre tenemos el móvil a mano.

La segunda ventaja sería la seguridad: los pagos que realizamos tienen que ser siempre autorizados en nuestro teléfono móvil con nuestra clave secreta personal. No hay posibilidad de que pueda usarse sin nuestro conocimiento ni consentimiento. La tercera, la posibilidad de pagar sin tener que llevar dinero en efectivo encima en nuevos sectores.

Valga como ejemplo el mundo del taxi, donde hasta ahora sólo era posible pagar en efectivo, salvo en contados casos en los que también admitían tarjeta. Ahora se puede pagar en los taxis de las emisoras Radio Teléfono Taxi, Radio Taxi Mercedes y Taxi Flot Madrid y Radio Taxi 033 de Barcelona.

¿Existe un perfil del usuario de Mobipay?

Por su sencillez de uso, Mobipay puede ser utilizado por cualquiera que posea un teléfono móvil, pero por centrar más la respuesta destacaría que el usuario típico tiene una edad comprendida entre los 18 y los 35 años y reside fundamentalmente en una ciudad de tamaño medio-grande o grande.

¿Se trata de un servicio seguro?

Sin duda. El servicio ofrece un máximo índice de seguridad, ya que la información se transmite encriptada por la red GSM y el usuario dispone de un código personal (NIP) que sólo él conoce y que debe teclear para autorizar todas las operaciones con su móvil. Todas las operaciones, además, se realizan en tiempo real y, lo que también es muy importante, sin dejar almacenada información en el teléfono móvil.

¿Podemos decir que el pago por móvil crecerá y se extenderá a corto plazo?

El concepto encierra una enorme propuesta de valor y todo apunta a que el pago por móvil crecerá. Estamos ante un mercado de 39 millones de usuarios de telefonía móvil en España de los que, según un estudio realizado el año pasado por IBM Business Consulting, un 75% está dispuesto a utilizar el móvil como mecanismo de pago.

Catálogo de Soluciones sobre tarjetas chip

1 respuesta

Las tarjetas inteligentes (llamadas también tarjetas chip y en inglés Smart Cards) suponen una tecnogía esencial en Telecomunicaciones, entorno en el que los operadores móviles GSM las emplean como Módulo de Identificación del Subscriptor (SIM: Subscriber Identification Module), en Banca, en donde son la base de tarjetas securizadas para pagos en crédito (EMV: Europay, Visa, Mastercard) y monedero para pequeños importes (CEPS: Common Electronic Purse Specification), y en Certificación Digital donde constituyen Dispositivos Seguros de Creación de Firma (SSCD Secure Signature-Creation Device).

Incluyo a continuación una serie de enlaces a páginas relacionadas con diferentes aspectos de stas tecnologías.

Fabricantes de Circuitos Integrados (IC Manufacturers)

Fabricantes de Tarjetas inteligentes (Smart Cards Manufacturers)

Fabricantes de Terminales (Terminals Manufacturers)

Integradores de Tarjetas inteligentes (Smart Cards Integrators)

Software de Tarjeta Inteligente (Smart Card Software)

Organismos de Normalización (Standards Organisations)

Normas (Standards)

Información sobre Tarjetas Inteligentes (Smart Cards Info)

Mobipay desembarca en América Latina

Deja un comentario

Visto en El Pais.

Telefónica y BBVA extienden su servicio de pago por móvil a México, Perú y Chile

Mobipay ha llegado a América Latina. BBVA y Telefónica Móviles presentarán, en una semanas, su servicio de pago por móvil en México, y después lo harán en Chile y Perú. Este sistema acaba de cumplir cuatro años en España, donde cuenta con 250.000 usuarios y 7.600 comercios adheridos, además de servicios públicos como los autobuses de Málaga. La idea ahora es animar su despegue mediante una campaña comercial que se lanzará en otoño.

Un joven compra un billete de autobús con Mobipay

La sala de juntas de las oficinas de Mobipay es enorme. Y lo es porque se necesita mucho espacio para acoger a los más de 90 accionistas que tiene la compañía. Es una característica muy particular de esta empresa, y que no se da en ningún otro país: el sistema español que facilita el pago de productos y servicios por el teléfono móvil está participado y financiado por las tres operadoras y la mayoría de entidades financieras y medios de pago.

Mobipay nació en julio de 2001, de la fusión de dos iniciativas paralelas para pagar con el teléfono móvil, y que entonces desarrollaban BBVA y Movistar (Móvilpago), y Santander, Vodafone y Amena (Pagomóvil). El problema es que eran incompatibles; es decir, los usuarios de Pagomóvil no podrían pagar en los comercios adheridos a Móvilpago, y viceversa. La idea fue, entonces, fusionar ambas, e implicar en su desarrollo a otros bancos y cajas de ahorro, y a las redes de pago.

Se crearon entonces dos compañías. La primera es Mobipay España, que está participada en un 48% por casi 90 entidades financieras (BBVA, Santander, Bankinter, Banco Popular, Banetos, Barclays, Caja Madrid, el grupo de cajas rurales…), un 40% es de las tres operadoras de telefonía móvil (Telefónica Móviles, Amena y Vodafone), mientras que las sociedades de medios de pago Sermepa (Grupo Servired), Sistema 4B y Euro6000 poseen el 12% restante.

La otra compañía es Mobipay Internacional, pero su origen directo es el proyecto Móvilpago, así que sus accionistas son únicamente BBVA y Telefónica Móviles. Estas dos empresas son las encargadas de llevar el servicio fuera de España, y van a comenzar a hacerlo en el mercado natural del banco y la operadora: Latinoamérica.

El lanzamiento de Mobipay en México es inminente. Se presentará dentro de unas semanas en una ciudad del norte del país, siguiendo el modelo español (se presentó en Valladolid). En Perú se ha realizado una prueba de pago entre empresas, y está previsto el lanzamiento de transacciones para particulares en el último trimestre del año, lo mismo que en Chile.

La compañía no quiere aventurar datos sobre la aceptación que tendrá el sistema en estos países, aunque es optimista. La implantación de TPV [terminales de pago virtuales, para pagar con tarjeta en los comercios] es muy inferior a la de España, lo que abre la puerta a un tipo de negocio que está prácticamente cerrado aquí: el pago de productos vía móvil en los comercios tradicionales.

En España, Mobipay tiene 250.000 clientes y 7.500 comercios adheridos. Según datos de la consultora Arthur D. Little, España es el quinto mercado del mundo en pago por móvil, después de Corea, Singapur, Noruega y Austria. «España es una potencia en medios de pago», explica Javier Díaz, director de desarrollo de negocio de Mobipay. «Y parte de ese conocimiento se está trasladando a este modelo».

Mobipay no es, en realidad, un medio de pago, sino una manera más de utilizar esos medios de pago. El objetivo es, según explica Díez, «estar en los lugares donde no llega el flujo financiero tradicional, o donde puede ofrecer valor». Ahora, por ejemplo, se puede pagar con el móvil en máquinas expendedoras, autobuses (en Málaga), comercios en Internet…

Cuando un usuario se da de alta en el servicio (a través de su entidad comercial o su operadora de móvil), puede seleccionar una lista de nueve medios con los que pagar (tarjetas de crédito, débito…). Cada vez que realice un pago, el sistema le dará a elegir cuál de ellos quiere utilizar. Las compras de pequeña cuantía, como las realizadas en máquinas expendendoras o la recarga del teléfono si es de prepago, se cargan a la cuenta del propio móvil. Los que se hacen en comercios, en las tarjetas. Cada transacción cuesta al usuario 80 céntimos.

Mobipay no ofrece datos de facturación, pero sí explica que se realizan unas 80.000 transacciones al mes. Teniendo en cuenta este dato, y el hecho de que el número de clientes que tiene el servicio es minúsculo comparado con los 38 millones de móviles que hay en España, la compañía prefiere ver el vaso medio lleno. «El recorrido de este negocio es enorme», dice Díez. Mobipay está preparando nuevos servicios, como el pago de los parquímetros o en los surtidores de las gasolineras.

«El problema», explica Díez, «es que hay que equilibrar el número de usuarios del servicio con los comercios que lo ofrecen, para no defraudar a ninguno de ellos». La compañía pretende animar el desarrollo del servicio mediante una campaña comercial a través de las entidades adheridas, que se lanzará en otoño.