Durante estos días, RedSys está enviando a todos sus clientes avisos por correo electrónico y está mostrando en el módulo de administración un aviso que indica que los TPVs virtuales de su sistema tienen que ser migrado a un “nuevo sistema de firma” por motivos de seguridad. Te explicamos por qué este cambio, y qué es lo que deberías hacer.
El porqué de al migración de RedSys a SHA256
En un TPV, la firma es la manera de decir a nuestro banco o sistema de pagos que nuestra tienda es legítima, que nadie ha cambiado entre medias cosas como los importes de la compra o el número de pedido. Es decir, la forma de garantizar que nosotros somos quienes decimos ser y que los datos de pago que enviamos a procesar son verdaderos y nadie los ha manipulado. Esto impide que alguien manipule los datos de nuestra página web, y que pueda pagar 20 euros por algo que cuesta 100, por ejemplo. En la vida real mostramos nuestro DNI y firmamos un documento, en la vida virtual usamos una serie de algoritmos.
Esto se consigue por medio de unas funciones matemáticas que se llaman hash o resumen, y que lo que hacen es generar una cadena de caracteres muy diferentes por cada entrada. Por ejemplo, el hash SHA1 de la palabra ‘casa’ es siempre 81bce1f3bf343c464685d875c626820cdb58e309, y el de la palabra ‘caso’ es 9652dd35d2ddb6d6da622acc754fefcf4ff73a37, algo completamente diferente sólo cambiando un carácter. Esta función matemática es de sólo una vía: es posible obtener la salida a partir de la entrada, pero es imposible saber a qué entrada corresponde una salida.
¿Sería posible obtener la misma salida de caracteres para entradas diferentes?
¿Sería posible obtener la misma salida de caracteres para entradas diferentes? En eso consiste un ataque de colisión. Manipular el contenido de cierta forma que dos entradas tengan la misma salida. De ese modo, alguien malicioso podría por ejemplo cambiar el importe de un pedido para que le resultara gratis añadiendo o modificando datos a los parámetros que se envían al TPV de forma que su función hash fuese la misma que un pedido cuyo importe fuese cero. El TPV no tendría forma de verificar que la petición es fraudulenta, ya que se basa en la firma para calcular la integridad de los datos.
Varias investigaciones de criptoanalistas y matemáticos, han venido avisando desde el año 2005 de distintos escenarios de ataque al algoritmo SHA1 (el que se ha venido usando hasta la actualidad por RedSys). Estos ataques suelen requerir mucha potencia de proceso (muchos ordenadores) y es imposible realizarlos con ordenadores domésticos.
Pero ha sido en Octubre de este año, cuando este ataque ha sido refinado y ha sido posible en la práctica realizar ataques con mucho menos poder de computación. Aunque este ataque es todavía especializado y requiere de muchos recursos (64 microprocesadores trabajando en paralelo), muchas pasarelas de pago como RedSys han decidido curarse en salud y migrar todos los sistemas de firma a HMAC SHA256.
Cómo me afecta y qué debo de hacer
Si tenemos una tienda online o página donde se realicen pagos a través de TPVs de RedSys, deberemos contactar con nuestro proveedor tecnológico o desarrollador para preguntar cuál es la mejor manera de migrar los sistemas a este nuevo método.
Al haber un cambio en el modo de firmar las peticiones, RedSys está generando nuevas claves secretas, que podremos encontrar en el área de administración del TPV de nuestro comercio (generalmente en la pestaña Comercios > Consultas). Esta clave se la debemos facilitar a nuestro desarrollador, que la usará para sustituir a la anterior clave de cifrado.
Además de ello, la manera de generar la petición de pago al TPV ha cambiado por completo. Por ello el código de nuestra aplicación también ha de ser modificado. La mayoría de proveedores de módulos de pago para los sistemas e-commerce habituales (Magento, PrestaShop, WooCommerce) han actualizado el código para funcionar con esta nueva modificación.
Te ayudamos
Si tienes dudas sobre este cambio o necesitas implementarlo en alguno de tus proyectos, estamos aquí para ayudarte. Puedes contactar con nosotros por correo electrónico .Somos expertos en comercio electrónico y te asesoraremos en todo el proceso.
No hay comentarios