En un entorno ideal, todos nuestros datos sensibles deberían estar adecuadamente encriptados al ser almacenados o al transitar por la red, lamentablemente seguimos teniendo ejemplos en los que muchos de estos datos no se protegen adecuadamente udiendo ser obtenidos y utilizado con más sencillez de la que sería deseable, en este caso podemos situar a Google Wallet.

Primero de todo situémonos para comprender mejor el problema, Google Wallet es un sistema de pago a través de dispositivos móviles que utiliza la tecnología NFC y que por el momento solo está disponible en Estados Unidos. Pues bien una vez presentados (para los pocos que no lo conocierais), la polémica que ha surgido recientemente es provocada por el hecho de que Google Wallet almacena diversa información de nuestras tarjetas de crédito de manera no encriptada (nombre del propietario de la tarjeta, fecha de las transacciones, últimos 4 números de nuestra tarjeta de crédito, balances y direcciones de email.)

Esto no quiere decir que sea un completo fail, ni muchísimo menos, sin duda alguna Google Wallet (o otros sistemas similares) revolucionarán nuestra manera de realizar pequeñas compras. Google se defiende comentando que la aplicación si que almacena el número completo,el CVV y el pin de manera encriptada en el chip NXP que usan los dispositivos Android y que estos dispositivos cuentan con múltiples capas de seguridad para evitar un root del dispositivo. Con lo que la obtención de estos datos no es algo banal, pero si posible como han demostrado los investigadores de viaforensics.

De todas maneras y aunque la tecnología NFC se encuentra en sus primeras fases, deja un poco parado el hecho de la cantidad de información que no se encripta en este sistema, la cual (en el caso de ser obtenida) podría ser directamente usada en un ataque de ingeniería social por poner un ejemplo...

FUENTE