El blog de los empleados
de Telefónica I+D

Autor: Carlos Plaza

La seguridad de un sistema viene marcada por el eslabón más débil, y éste suele ser el usuario -alguno de los hackers más famosos usaba la ingeniería social como arma principal para acceder a sistemas empresariales-.

Y en ese eslabón más débil, nos encontramos a un grupo aún más vulnerable: los niños.

Durante el mes de septiembre, un fabricante de seguridad, BitDefender, ha realizado una campaña informativa -evidentemente, con un interés comercial por difundir sus productos-, sobre este punto: los niños de hoy en día están creciendo y educándose con Internet, pero como niños, tienen aún menos consciencia que los adultos a la hora de aplicar medidas que eviten la infección de los equipos que usan.

Y ello hace que los sitios que visitan se hayan convertido en el objetivo de los atacantes para la propagación de malware, ya sea infestando el sitio o con mensajes tipo “spam” a los niños -con la esperanza normalmente de que los padres usen el mismo equipo para sus operaciones bancarias (-: -

Algunos ejemplos que se han usado para difundir softwara malicioso:

- Los niños buscan dibujos de sus series/personajes favoritos para pintarlos online o imprimirlos y pintarlos en papel; los atacantes difunden malware con este cebo.

- Juegos interactivos de buscar diferencias

- Mascotas virtuales, se pide al niño que se descargue una aplicación para poder pintar la mascota, alimentarla, etc

¿La solución? Pues si es complicado educar a los mayores, a los niños… técnicamente, se recomienda usar un buen antimalware o crear cuentas separadas con privilegios mínimos para los niños, con el fin de que la potencial infección cause el mínimo daño.

Autor: David Barroso

La eterna discusión entre full-disclosure vs responsible disclosure tiene un nuevo área relativamente reciente: la protección de infraestructuras críticas (CIP). Es bastante común, que cada cierto tiempo se vuelva a discutir la mejor forma de reportar una vulnerabilidad a un fabricante, puesto que a día de hoy, todavía no se ha institucionalizado un procedimiento que pueda satisfacer a ambas partes (la persona que encuentra la vulnerabilidad, y el fabricante).

Existe todo tipo de alternativas, sin ser ninguna más exitosa que otra: agradecer al investigador su ayuda (como por ejemplo Microsoft), pagarle una determinada cantidad de dinero (Google), o simplemente, utilizar alguna compañía que funciona como broker para pagar las vulnerabilidades (iDefense VCP o Tippingpoint ZDI por ejemplo). Pero la realidad es que el sistema no funciona, y ejemplos como el del año pasado de la vulnerabilidad descubierta por Tavis Ormandy en Windows, es el ejemplo perfecto que demuestra que es necesario tener algún procedimiento que contente a todas las partes.

A día de hoy lamentablemente algunos fabricantes no consideran que la seguridad es un elemento crítico para no poner en riesgo a sus usuarios (la lista de ZDI sobre las vulnerabilidades aún no parcheadas es bastante ilustrativa), y por el otro lado, algunos investigadores también piensan que los fabricantes deben cumplir con sus exigencias de forma inmediata, llegando incluso a extorsionar al fabricante. Si bien han existido siempre intentos de procedimentar el reporte de vulnerabilidades (desde el famoso procedimiento de RFP, pasando por un intento del IETF, Responsible Vulnerability Disclosure Process, que acabo siendo la base de un procedimiento de la Organization for Internet Safety, hasta la iniciativa de No More Free Bugs promovida por varios investigadores).

Si nos movemos en el campo de la protección de las infraestructuras críticas, recientemente estamos viendo lo mismo que ocurrió hace ya varios años: después de intentar hacer las cosas bien, al ver que a menudo no se obtiene ningún resultado, nos encontramos con posiciones como la de Digital Bond, donde su política de reporte de vulnerabilidades es tan simple como: haremos lo que nos de la gana; cansados de ver cómo los grandes fabricantes industriales, después de todos los ríos de tinta que han provocado incidentes como Stuxnet o las vulnerabilidades encontradas por Dillon Beresford, parece que no reaccionan, ni siquiera cuando se involucra al ICS-CERT (puede que incluso el fabricante desee denunciarte).

Al final del día, lo que importa es cómo cada fabricante se preocupa de manejar y coordinar estas incidencias (la comunicación con los investigadores y empresas), puesto que, si por fin nos hemos dado cuenta que ninguna de las políticas de reporte de vulnerabilidades globales funciona, es trabajo de cada fabricante organizar su propia política que sea de gusto de ambas partes. Por poner un ejemplo, Mozilla, Barracuda, Google, FaceBook o Twitter ya lo han hecho, y no todas ellas pagan por vulnerabilidad encontrada, sino que algunas simplemente reconocen la ayuda.

En definitiva, más vale prevenir que curar, y es necesario que todas las grandes empresas tengan en marcha una política clara y publicada sobre las vulnerabilidades que terceras personas encuentren sobre sus productos, servicios, o simplemente, sobre sus portales web, y que se reconozca también la labor de las personas anónimas o no, que, positivamente, colaboran en la mejora de la seguridad en la red.

Autor: Carlos Plaza

En Internet muchos de los dispositivos diseñados para hacer el “bien” se utilizan para hacer el “mal” cuando hablamos de seguridad y privacidad.

Por ejemplo, el hecho de que la petición http incluya información sobre el tamaño de pantalla,  versión e idioma del navegador o las fuentes disponibles, etc., se realizaba para que los sitios web pudieran personalizar la distribución y localización del contenido ofrecido.

Sin embargo, esta información también se utiliza para obtener la huella digital de dispositivos con el fin de rastrear a los usuarios.

De la misma manera, la característica que se suele utilizar, mostrando mediante distintos colores un enlace visitado y no visitado ha sido empleado para “robar historiales”, por ejemplo una página web sospechosa contiene una lista de enlaces, y con JavaScript se revisa el color de los enlaces para saber si has visitado una de esas webs.

De esta manera, esa web puede aprender “cosas interesantes” como bancos (de datos)  visitados para identificar ataques “phising”

 Existen incluso empresas que venden productos o servicios que son utilizados por programadores de la Web para “robar historiales” o empresas que quieren saber si un usuario que visita su web ha visitado antes otras webs con información acerca de la empresa (Tealium).

Este dispositivo se ha extendido por comprometer la privacidad del usuario de una forma sofisticada, según han publicado   investigadores de la Universidad de Stanford  recientemente: un profundo estudio de una empresa rastreadora online la cual comprueba si el usuario ha visitado alguna página web de una lista de más de 15000 enlaces, divididos cuidadosamente en categorías como compras de grupo, aplicaciones para casa ,coches, o incluso información delicada como la salud o asuntos financieros…

¿Cuál es la protección de usuario disponible?

Navegadores como Firefox incorporan en sus últimas versiones un seguro para protegerse del “robo de historiales”, aunque nunca se garantiza al 100%  que los asaltantes no sean capaces de burlar la seguridad( por ejemplo, en vez de utilizar JavaScript utilizan máscaras de pantalla para los enlaces visitados)… De hecho, en la comunidad Mozilla han tardado unos años en elegir un mecanismo, ya que no había una opción clara para eliminar el ataque sin afectar a otras funcionalidades.

Así que no es una mala idea utilizar algunos complementos gratis- como Ghostery  u otras herramientas que previenen el rastreamiento y evitan la ejecución de comandos por parte de rastreadores bloqueados- o NoScript para bloquear /permitir comandos de forma selectiva. Y por supuesto, configurar tu navegador para eliminar el historial una vez terminado.

Autor: Diego González

Los días 8 y 9 de Junio se celebró una reunión de OneAPI, un estándar de referencia en la apertura de capacidades del operador a terceros, en la sede de Telefónica I+D en Madrid. En ella se trataron interesantes temas sobre la exposición de capacidades del operador a terceros mediante APIs de red, un aspecto en auge y que está siendo estudiado bajo diferentes perspectivas en diversos grupos industriales y de estandarización.

En primer lugar, OMA (Open Mobile Alliance). Este organismo de estandarización por excelencia de la capa de aplicación es el encargado de definir APIs REST genéricos (OMA Parlay REST), que son reutilizados por la GSMA (GSM Association). Esta última se encarga de definir perfiles mínimos de interoperabilidad (GSMA OneAPI). Por otra parte, WAC es la iniciativa empresarial a través de la cual los operadores van a ofrecer a los desarrolladores un punto de acceso único a los APIs de red y tiendas de aplicaciones de los operadores.

La definición de APIs estándar para el entorno telco se ha constituido en una actividad clave en el panorama de estandarización actual, como forma de atraer al área de influencia del operador al cada vez más relevante ecosistema de desarrolladores y también como forma de agilizar el ciclo de creación de aplicaciones y servicios.

Estas APIs son expuestas por BlueVia, iniciativa pionera en la apertura de capacidades del operador a terceros. En BlueVia, cualquier desarrollador puede darse de alta y fácilmente, usando las herramientas que se facilitan, crear aplicaciones que utilicen capacidades del operador como Mensajería (SMS y MMS), Localización u obtención de información de contexto de usuario. Y lo más importante de todo, el desarrollador recibe una parte de los ingresos generados por el tráfico de red (revenue share).

¿Cuál fue el objetivo de la reunión?

En la reunión celebrada en Madrid, se realizó una comparativa entre las APIs de BlueVia y las APIs de OneAPI, buscando similitudes y diferencias, para poder así concluir cuales son las mejores prácticas a la hora de exponer capacidades telco a desarrolladores mediante APIs abiertas..

También se aprovechó la reunión para que los diversos operadores y vendors que asistieron a la misma pudieran debatir sobre el futuro de la exposición de capacidades de red, sobre los siguientes pasos a dar. Se debatió acerca de cuestiones cómo: ¿Qué capacidades tiene el operador?, ¿cuales son más interesantes para los desarrolladores y, por tanto, se deben exponer?, ¿qué tecnologías y protocolos deben usarse? ¿qué herramientas y facilidades deben darse a los desarrolladores?

Para resolver todas estas preguntas, lo más importante es el feedback de los propios desarrolladores.

Respecto a los formatos y protocolos la industria lo tiene claro, puesto que así lo hacen ver los desarrolladores, la exposición de capacidades debe basarse en interfaces REST y, sin descartar otros formatos, lo que más demandan los desarrolladores es JSON como formato de intercambio de datos. Tanto las APIs de OneAPI como las APIs expuestas en BlueVia cumplen estos puntos.

En resumen, con iniciativas como BlueVia, basada en ofrecer un mismo set de APIs para acceder a las capacidades telco de todos los operadores del grupo Telefónica, se pretende conseguir que los desarrolladores accedan a dichas capacidades sin tener que lidiar con interfaces telco (desconocidos para los desarrolladores y menos ‘amigables’) y pudiendo usar el mismo interfaz para acceder a diferentes operadores en todo el mundo. Es el ‘write once, run everywhere’. Y, claro, con un beneficio económico para el desarrollador, ya sea al vender sus aplicaciones o al recibir revenue por el tráfico que éstas generan.

Autor: Primitivo Matas 

Normalmente FMC (Fixed Mobile Convergence), término que describe las tecnologías que permitan una convergencia entre comunicaciones cableadas y las no cableadas o wireless, se asocia con dos tecnologías diferentes: Wi-FI FMC y Femtonodo FMC. La primera de ellas parte de terminales que utilizan tecnologías Wi-Fi y que , por tanto, exige unos dispositivos nuevos adaptados, mientras que la segunda hace uso de terminales “normales” de telefonía móvil que se conectan a través de nodos específicos denominados Femtonodos, tanto en el hogar como en otros entornos de interiores descongestionando la red móvil y mejorando la cobertura.

Los Femtonodos(o Home Enhanced Node B, en terminología 3GPP)  son estaciones base de telefonía móvil muy pequeñas, de muy poca potencia y coste reducido que se conectan con el resto de la red utilizando la conexión a internet del hogar (ADSL o similar) o de cualquier empresa y que son capaces de realizar, con menos capacidad (menos usuarios con llamadas activas a la vez), las misma funciones de una estación base en entornos de interior limitados. Además, al tener un enlace directo con el resto de dispositivos conectados a internet, nos va a permitir la conexión con otros sistemas como centralitas telefónicas (PBX ), dispositivos del hogar (televisión, vídeo…) o entre Femtonodos que trabajen de manera coordinada en entornos empresariales.

Existe un mundo de diferentes capacidades ofrecidas por este enlace convergente:

Integración con la red de transmisión de datos o “local breakout”. Permite a los sistemas de Femtonodos desviar su tráfico de voz y dato sobre Internet sin necesidad de utilizar la arquitectura de red propia del operador móvil.

Interconexión entre Femtonodos. Permitiría, entre otras cosas la coordinación entre grupos de Femtonodos para permitir traspasos entre ellas, de forma análoga a los traspasos que se realizan entre las diferentes estaciones base en el exterior.

 Interconexión PBX. Permitiría activar la conexión entre dispositivos móviles con una centralita analógica tradicional, utilizando los servicios que la misma ofreciera en una empresa, como marcación por extensión, conexiones entre diferentes sedes de la misma empresa…

En un mundo en búsqueda continua de mayor rapidez, eficacia y calidad de las comunicaciones móviles los Femtonodos, son sin duda alguna un paso adelante. No solo consiguen mejorar, con un coste muy bajo, la cobertura en áreas sensiblemente problemáticas, sino que nos abre un Nuevo Mundo de posibilidades de utilización del terminal móvil como un dispositivo multi-servicio tanto en el hogar cómo en entornos empresariales.

Los Femtonodos, podrían cambiar, a corto plazo la industria de telefonía móvil. Los operadores pueden pensar en construir una nueva generación de redes con un coste inferior y una arquitectura de red que permitiera la utilización de internet como medio de comunicación, abriendo un mundo de posibilidades y servicios novedosos para el usuario final basados en las transacciones hacia la red local, la integración con sistemas de telefonía fijas o las comunicaciones entre los Femtonodos.

Autor: Carlos Juan Díaz

El Consejo de la Unión Europea (Consejo de Ministros) ha propuesto un conjunto de nuevas normas que establecen penas más severas para los denominados delitos cibernéticos (los ataques masivos de denegación de servicio están de moda y grupos como Anonymous, cada día están más presentes en los medios de comunicación). Estas normas están pendientes de ser ratificadas por el Parlamento Europeo para convertirse en oficiales.

Aunque no queda muy claro cómo se procederá a identificar y luego procesar a los atacantes (se pretende crear, a nivel europeo, una unidad especializada en cibercrimen dependiente de la Europol), las sanciones ya están definidas:

• Todo aquello que pueda considerarse delito cibernético tendría una pena de prisión de al menos dos años (incluso en grado de tentativa).
• Se introducen sanciones específicas para los desarrolladores y distribuidores de malware, al igual que para aquellos que se dediquen al robo de contraseñas.
• Los creadores/administradores de botnets se enfrentarán a penas superiores a 3 años (ataques cometidos utilizando un número significativo de los sistemas).
• Para ataques organizados que causen daños graves a sistemas de terceros, se proponen penas a partir de 5 años (aquí encajarían a la perfección las acciones de protesta (ataques) perpetradas por Anonymous).
• Del mismo modo la intercepción ilegal de comunicaciones se convertirá en un delito penal. 

Las normas también tienen como objetivo mejorar la cooperación entre los países de la UE, mecanismos de comunicación de incidentes entre sus miembros (soporte 24/7 y capacidad de respuesta urgente a consultas). Del mismo modo los Estados miembros estarán obligados a recoger datos estadísticos ‘básicos’ sobre los delitos cibernéticos.

Las nuevas normas actualizarán la legislación vigente, (basada en los acuerdos adoptados a finales de 2004 en la Convención de Budapest). 

El documento completo podéis encontrarlo en:

http://www.consilium.europa.eu/uedocs/cms_data/docs/pressdata/en/jha/122516.pdf (Cybercrime – Attacks against IT systems)

Autor: Valentín Alonso

Con los titulares tan llamativos que hemos visto durante estos últimos días cualquiera puede concluir que los móviles son nocivos para la salud, nada más lejos de la realidad. Es la historia de la botella medio llena o medio vacía.

Han aparecido durante estos días varias publicaciones al respecto con grandes titulares, como por ejemplo [1] “Cellphones ‘possibly carcinogenic,’ report suggests” que matiza en el subtítulo que se está revisando la relación entre un tipo de radiación electromagnética presente en los teléfonos, microondas y radares “International agency reviewed link between type of electromagnetic radiation found in phone, microwaves and radar”… como si fuera lo mismo un AWACS que un walki-talki

El origen de todo este revuelo está en la importante revista científica The Lancet Oncology en la que el prestigioso IARC Working Group ha presentado un estudio que resume las principales conclusiones de su trabajo sobre la evaluación del impacto para la salud de las exposiciones a campos electromagnéticos de RF (incluyendo el uso de teléfonos móviles)

Una lectura rápida del informe nos permite leer en su introducción:

“Based on the epidemiological evidence available now, the main public-health concern is clearly motor vehicle collisions,”

Es decir, en leguaje coloquial, el mayor riesgo para la salud cuando usas el móvil es utilizarlo cuando conduces un coche.

[1]http://www.msnbc.msn.com/id/43225917/ns/health-cancer/t/cellphones-possibly-carcinogenic-report-suggests/

Autor: Luis Miguel Campoy

Desde hacía algún tiempo, se ha venido comentando, en este y otros foros, que el sistema Wimax era una opción con ciertas desventajas tecnológicas para dar servicios de acceso radio celular, al ser una evolución de acceso radio fija. La balanza comparativa con sistemas actualmente en auge en el 3GPP como LTE o LTE-A, cuyo desarrollo está enfocado desde un principio a estos servicios, está siendo cada vez más desequilibrada.

Este enfoque evolutivo desde las actuales redes HSPA hace que LTE sea interoperable con ellas (algo no posible con redes WiMax), así como que parámetros básicos para ofrecer una QoS adecuada en aplicaciones más exigentes como la latencia de respuesta de la red, sean cinco veces mejor en LTE que en Wimax.

Uno de los últimos puntos de desequilibrio lo acaba de proporcionar Clearwire, uno de los operadores que más sistemas WiMAX ha desplegado, que ha llegado a un acuerdo de gestión de red con Ericsson, uno de los principales impulsores de LTE y LTE-A en el 3GPP, con lo que el rumor de que Clearwire abandonará en breve WiMAX para la cobertura celular está creciendo(véase este artículo).

Todo hace pensar que el futuro (ya presente en algunos países) de los sistemas LTE, LTE-A será algo más que prometedor, siendo la unión de Clearwire al masivo número de operadores y fabricantes que están apostando por la tecnología LTE una gota más en el constante aumento del ecosistema de actores implicados en esta tecnología.

Autor: Carlos Ralli

La reserva mundial de direcciones de Internet del protocolo IP versión 4 (IPv4) se ha agotado durante el último mes de abril, tras la asignación por parte del ICANN (Internet Corporation for Assigned Names and Numbers) de los últimos 5 bloques de direcciones de la Internet actual.

Aunque algunas compañías, como Microsoft, están intentando recurrir transitoriamente a la compra de bloques de direcciones IPv4 a otras empresas, esto no es una solución efectiva; a partir de este momento, se deberá migrar progresivamente al Protocolo de Internet versión 6 (IPv6). La nueva Internet IPv6 permitirá acceder a 340 sixtillones de direcciones públicas, frente a los 4.200 millones de direcciones que permite la IPv4.

Para llevar a cabo esta migración, se están desarrollando diferentes iniciativas en todo el mundo, entre las que destaca el World IPv6 Day, organizado por la ISOC (Internet SOCiety), que se celebrará el próximo 8 de junio

En esta iniciativa participarán los principales protagonistas de internet (Google, Facebook, Yahoo, Akamai, Limelight Networks,  operadoras de red… como Telefónica, entre otras), que proporcionarán contenidos IPv6 durante 24 horas, en sus dominios web genéricos.

Telefónica I+D se suma a esta iniciativa mundial. Para ello, aportará su experiencia derivada de implantar IPv6 para sus servicios y empleados. Este conocimiento deberá servir de modelo para otras corporaciones y clientes, en cuanto a fiabilidad, escalabilidad y seguridad.

Como primera acción, se ha completado una experiencia piloto en el centro de Telefonica I+D del Parque Tecnológico de Walqa. Su objetivo es valorar el impacto en la migración a IPv6.

Para llevar a cabo el piloto en Walqa, a partir del día 1 de abril se habilitaron en el centro los elementos de red, para poder ofrecer IPv6 a los puestos de red y servidores del centro. Desde entonces se monitoriza el tráfico de datos, para anticiparse a posibles problemas y para recoger estadísticas, que posibiliten evaluar el impacto que podrá tener el World IPv6 Day del próximo 8 de junio.

Todo esto se hizo de manera transparente a los usuarios, que no percibieron el cambio. Se observó que el 75% de los puestos de trabajo pasaron automáticamente a trabajar en IPv6 (fundamentalmente los puestos con sistemas operativos de última generación, como Windows 7, MACOS, Linux…). El 25% restante de los puestos de trabajo siguieron trabajando únicamente con IPv4. La experiencia está siendo muy satisfactoria, sin ningún problema reseñable hasta el momento.

El desarrollo del piloto realizado en el centro de Walqa servirá como punto de partida para realizar la migración a IPv6 en el resto de sedes de TI+D y, por extensión, de todo el grupo Telefónica.

Antes de responder a esta pregunta es importante saber a qué nos referimos cuando hablamos de “cartera móvil”, traducción del término inglés “mobile wallet” (mWallet). Para ello, basta con imaginar la fusión de nuestra cartera con nuestro teléfono móvil, de forma que éste contendría – virtualmente – dinero electrónico (eMoney), tarjetas de crédito, tarjetas de puntos, bonos de transportes, cupones de descuento, etc.

Si analizamos las características de los servicios y pilotos que han surgido en los diferentes lugares del planeta a lo largo de los últimos años se puede distinguir claramente dos tipos de cartera móvil: monedero y tarjetero.

El monedero electrónico permite tener un medio de pago y cobro asociado al número de teléfono móvil. Este tipo de servicios se han expandido con éxito en determinados países con economías emergentes como Filipinas – son los casos de G-Cash y SmartMoney –, Sudáfrica – MTN Mobile Money y Wizzit –, Kenia –con el exitoso M-PESA –, o Paraguay – Tigo Cash, que ya se ha extendido a otros países latinoamericanos.

Los anteriores ejemplos comparten varias características en común, la más importante, que cubren el mismo conjunto de necesidades para un gran segmento de la población que no tiene la posibilidad de acceder a los productos bancarios tradicionales. Entre estas necesidades cabría destacar el envío de dinero, tanto a nivel nacional – por ejemplo, enviando dinero a un hijo que se ha desplazado para estudiar – como internacional – envíos que realizan los emigrantes a sus hogares –, el pago de facturas de electricidad o agua, el cobro de salarios, e incluso la percepción de fondos sociales enviados por el Gobierno. Y es que en regiones en las que existe una baja penetración de oficinas bancarias, cada una de las anteriores operaciones exigía largos desplazamientos – incluso de días de duración – y costes que muchas personas no se pueden permitir. Gracias a los servicios de monedero electrónico estas transferencias de dinero se pueden realizar de forma rápida, sencilla y económica, sin desplazamientos más allá de a la tienda de la esquina y con unos precios por operación suficientemente bajos.

Sin embargo en regiones “bancarizadas”, en las que la gran mayoría de los habitantes está acostumbrado a tener cuentas bancarias y/o tarjetas de crédito, se tiene otro tipo de necesidades, como tener un medio de pago adecuado para pequeñas compras – por ejemplo, para pagar el parquímetro o un refresco en una máquina expendedora –, realizar pagos en comercios de una forma más segura y flexible – por ejemplo, contra una de nuestras tarjetas de crédito, nuestra cuenta bancaria o incluso nuestra factura telefónica –, o utilizar automáticamente nuestras tarjetas de puntos y bonos de descuento – acumulando puntos y aplicando los descuentos.

En estos casos se busca que el teléfono móvil funcione más bien como un tarjetero electrónico que sea fácil de utilizar, e igual o más seguro que los actuales medios de pago. En esta línea, la SIM del móvil – entorno seguro en el que se pueden almacenar datos sensibles como los de una tarjeta de crédito – y la tecnología de comunicación inalámbrica NFC están siendo los máximos protagonistas en gran parte de los pilotos que se están desplegando en Europa. En concreto Telefónica, junto con La Caixa y VISA, desarrolló un piloto de pagos NFC en Sitges durante 6 meses, en el que participaron más de 1500 clientes de Movistar que realizaban pagos con móviles Samsung S5230 en más de 500 comercios.

Una misma solución, el uso del móvil como cartera electrónica, para cubrir necesidades que son bien diferentes. A la vista del gran número de servicios y pilotos que están desplegándose con mayor o menor éxito la respuesta a nuestra pregunta inicial parece clara: la “cartera móvil” es necesaria tanto en economías emergentes, con el objetivo de “bancarizar a las personas que no lo están”, como en economías más desarrolladas, utilizando las nuevas tecnologías de comunicaciones inalámbricas para crea una nueva experiencia de pago a través del móvil.