/ Blog Viernes, 30 de Octubre de 2015
El TPV virtual más utilizado de España, el de RedSys / Sermepa, acaba de anunciar una importante actualización que ha requerido la atención inmediata de todos los programadores de tiendas online del País.
Según informan desde RedSys en esta página, el algoritmo SHA1 utilizado hasta ahora para cifrar las comunicaciones entre la tienda y el TPV resulta obsoleto, y es necesario cambiar urgentemente la manera de realizar estas comunicaciones, tanto de envío de datos como de recepción de notificaciones, para pasar a utilizar el más seguro algoritmo SHA256. Sin embargo hay dos cosas que llaman mucho la atención: lo primero, las prisas: RedSys nos da apenas un mes de tiempo para realizar los cambios, pasada la fecha del 23/11/2015 cualquier comunicación SHA1 con el TPV dejará de funcionar y por lo tanto, ya no podrán realizarse pagos en aquellas tiendas que no se hayan actualizado a tiempo. Lo segundo, es que el algoritmo SHA1 fue declarado obsoleto hace años, de hecho hace tiempo que los certificados SSL tuvieron que empezar a utilizar el SHA256.
Entonces, ¿qué fue lo que motivó esta repentina carrera contra el tiempo que RedSys nos encasquetó a los programadores, y que seguramente deje muchísimas tiendas online sin funcionar a partir de finales de noviembre? nadie lo sabe a ciencia cierta, pero tras hablarlo con tocayos de profesión no se me ocurre ningún otro motivo que no sea el hackeo de las tiendas: si bien los datos de las tarjetas de crédito no viajan en las comunicaciones afectadas por el cambio, lo que sí viaja es la clave que permite "firmar" dichas comunicaciones; si desencriptar datos codificados con SHA1 ya no es tan difícil para quien sabe hacerlo, resulta que una vez obtenida esta clave de la tienda es MUY sencillo enviarle una notificación a la misma para decirle que un pedido que acabamos de realizar ha sido pagado con éxito, aunque en realidad ni siquiera hayamos llegado a abrir la página en la que el TPV nos pide los datos de nuestra tarjeta. O sea, que se podrían realizar comprar por internet sin gastar un duro.
La actualización no ha sido todo lo fácil que tendría que haber sido, en parte seguramente por las propias prisas de RedSys que en sus descargas no ha puesto ejemplos completos o incluso ha enlazado mal sus propios manuales con páginas 404 como resultado. Pero como con paciencia todo se logra, la docena de clientes mios que utilizan este TPV ya tienen sus páginas adaptatas, o están a punto de tenerlas. Si Ud. ha llegado a esta página buscando alguien capaz de devolverle a la vida su TPV, no dude en ponerse en contacto conmigo.
