El pasado mes de septiembre Apple presentó su sistema de pagos sin contacto Apple Pay. Una auténtica revolución de cara a los bancos y compañías de tarjetas de crédito porque proporciona un nivel de seguridad en las compras superior frente a los sistemas de pagos que había hasta el momento como Google Wallet.

Ahora llega Android Pay, y muchos están diciendo "pero si ya existe Google Wallet, no hay nada nuevo". Sí, pero no. Siguiendo el ejemplo de Apple Pay, Google ha optado ahora por establecer una infraestructura para el pago sin contacto basado en NFC mucho más segura, y centrada en los estándares actuales de tokenización.

Sobre los tókenes

Un token o identificador es una cadena de caracteres que se utiliza para identificar algo de manera única. En el caso de Android Pay, una transacción o sus usuarios. Hasta ahora Google Wallet almacenaba en una cuenta una cantidad de dinero (un monedero electrónico), y al pagar se tenía que intercambiar con el TPV (terminal punto de venta) del establecimiento toda la información: cuenta, tarjeta de crédito a usar, quién es el usuario que la realiza, y un largo etcétera. El objetivo es autenticar al usuario que intenta pagar, el método de pago y al establecimiento en el que se va a pagar.

El sistema de intercambio de tókenes de Android Pay se basa en el estándar usado también por Apple Pay (y que usará Samsung Pay). Establecerá de manera previa la indentificación del usuario, mediante la creación virtual de un elemento seguro en el que se almacenará un token de identificación de nuestro teléfono para realizar transacciones. Se va a hacer mediante Host Card Emulation (HCE), una pieza de software que elimina el problema que existía en el pago por NFC y que es disponer de un elemento seguro hardware en el que almacenar la información sensible.

mobile-payments-safe11-940x638

Proceso de pago

Una vez que añadamos una tarjeta de crédito a nuestra cuenta para pagar con Android Pay, se verificará en ese momento contra los servidores de las redes de tarjetas de crédito. Con la tarjeta validada, se guardará un token de dicha tarjeta en HCE, y es un token que indica quiénes somos, cuál es la tarjeta, y otros parámetros

Cuando se proceda a acercar el teléfono a un TPV para realizar un pago por NFC, se pedirá el PIN para poder autenticar al usuario. En ese momento, con necesidad de tener conexión a internet en el teléfono, se creará un token de la transacción, y el TPV solicitará la confirmación a los servidores de su entidad bancaria, momento en el que se validará y confirmará el pago. Todo sin tener que intercambiar con la tienda nuestra información personal. Ni siquiera el número de tarjeta usada.

Por tanto es igual pero muy diferente a Google Wallet. Con este sistema, además de que carece de un elemento seguro (en un chip específico del teléfono, en una SIM especial de nuestra operadora) disponible en todos los teléfonos en el que guardar la información, se intercambia la información completa de quién realiza el pago y las cantidades. Nada en realidad que le importe al dependiente o al dueño del local.

0ee23d7106595389c2a8172a66383a36_apple-pay-in-action

El pago por tókenes es el futuro

En el proceso, Android Pay no contará con la característica de monedero que tenía Google Wallet. A cambio se gana en seguridad y, de cara a bancos y empresas de tarjetas, menos denuncias por uso no autorizado de las tarjetas de crédito. En realidad el problema futuro y principal diferencia entre Android Pay y Apple Pay es que Apple sitúa el elemento seguro en una zona inaccesible del procesador de los iPhone.

Puesto que Android Pay utiliza HCE, una solución por software, ésto hace más fácil jaquear el sistema de pagos y que puedan producirse una mayor cantidad de transacciones fraudulentas. Pero tampoco de forma generalizada, claro, ya que se requiere acceso directo al dispositivo para extraer la información, y después desencriptarla. Pero no hay sistema 100% seguro, y menos si es un sistema software.

Android Pay será compatible con Android 4.4 o superior, y se podrá combinar con el nuevo desbloqueo por huella dactilar de los terminales con Android M. Algo que ya incluye el pago por Apple Pay, y que permite el pago en tiendas sin disponer de conexión a internet. Pero eso ya es otra historia.

El lanzamiento de Android Pay se espera para el otoño, y aunque en principio estará disponible en 700 000 comercios (es compatible con los actuales TPV con NFC), los bancos tienen que adaptar sus sistemas para aceptar el sistema de pago de Google. Pero afortunadamente es posible que incluso lo veamos en Europa en el momento de su llegada y no sólo en EE. UU.