Un comentario a un artículo escrito por Rob Waugh para We Live Security (
Dozens of car washes leak card details in U.S. money-laundering scam) presenta un argumento interesante acerca de la vulnerabilidad del formato tradicional de tarjeta de crédito y débito:
No puedo creer que la banda magnética aún no esté extinta. ¿Cómo es
posible que hayamos dejado que la tecnología de la década de 1970 sea el
nexo de nuestra integridad financiera?
Desafortunadamente, no es tan extraño que tecnologías antiguas
sobrevivan durante mucho tiempo una vez pasada su fecha de caducidad; si
hablamos sobre la seguridad: ¿me atrevería a mencionar la tan difamada
pero siempre presente contraseña estática? Sin embargo, esta persona
tiene razón en que las ventajas principales de la tarjeta de banda
magnética (la facilidad para leer datos de la banda y de escribir en
ella, así como el bajo costo del hardware necesario) también constituyen
una gran desventaja.
En las mismas condiciones, es igual de fácil para un criminal capturar
datos y duplicar medios como lo es para un proveedor legítimo de
servicios financieros (u otros servicios). Los Estados Unidos de América
es el último país de los
G-20 que pasó a la tecnología de chip
EMV,
aunque los proveedores se inclinan cada vez más hacia el chip con firma
en lugar de aquel con PIN, que suele ser el método preferente en
Europa.
En general, el chip con PIN se considera más seguro porque una
firma se puede falsificar, en cambio, los bancos normalmente limitan la
cantidad de intentos al ingresar el número de PIN.Entonces,
aunque ciertamente existe mucho uso indebido de ciertos números de PIN
(por ejemplo, 1234) al compararse con el uso indebido de "contraseña" o
"123456" como clave, la oportunidad de adivinar un PIN está
rigurosamente restringida. (Hace unos años escribí
un paper sobre la las estrategias de selección de números de PIN para una conferencia del instituto EICAR, así como
un artículo para
Virus Bulletin, y el mes que viene presentaré una discusión relacionada con el tema en
CFET.)
De hecho, algunos proveedores de finanzas en los Estados Unidos
introdujeron las
tarjetas de chip con PIN, aunque más que nada son de
interés para los viajantes internacionales que pueden haber encontrado
dificultades en regiones donde predomina el chip con PIN (a tal punto
que probablemente ya estemos en la cuenta regresiva para los días que le
quedan a la banda magnética). Las terminales POS (puntos de venta)
estadounidenses no suelen tener en cuenta el PIN, mientras que en Europa
casi siempre se requiere el número de PIN y la tarjeta debe ser capaz
de reconocerlo.
Por esa razón, en los Estados Unidos (desde mi experiencia limitada, ya
que vivo en Europa), una tarjeta de chip con PIN (incluso de un
proveedor estadounidense) se usa prácticamente en forma invariable con
la misma eficacia que una tarjeta de chip con firma. La firma puede
usarse como segundo
factor de autenticación,
es decir, en la mayoría de los cajeros automáticos en los Estados
Unidos, una tarjeta de chip con PIN (al igual que la tarjeta de banda
magnética) constituye básicamente autenticación de un solo factor (es
decir, algo que tienes) ya que no te piden que ingreses el PIN (algo que
sabes).
Por el contrario, parece ser que la
Ley de Igualdad de 2010 exige que
las tarjetas de chip y firma estén disponibles para las personas en
Reino Unido que no puedan usar o no puedan recordar un PIN pero que sí
puedan escribir su firma, aunque la firma no se pueda usar en todas las
terminales (por ejemplo, en cajeros automáticos de autoservicio). No sé
hasta qué punto es común el uso de una tarjeta de chip y firma en el
Reino Unido, o qué impacto tiene en las estadísticas de delitos con
tarjetas, de tener alguno. O de hecho, cuántas tarjetas hay con
preferencia de firma en lugar de
tarjetas con firma sola. (Una tarjeta
con preferencia de firma es aquella que también tiene la funcionalidad
de PIN, para que pueda utilizarse en casos donde no se acepta una
firma).
Da la casualidad de que hace poco me preguntaron sobre cierto
estudio bastante relevante*
que trata acerca de la susceptibilidad de los usuarios en diversas
regiones con respecto al fraude, y los Estados Unidos fueron los cuartos
en el mundo en haber experimentado fraudes de tarjetas.
Específicamente, me preguntaron si creía que el fraude con
tarjetas en
los Estados Unidos se iría reduciendo a medida que los ataques de los
delincuentes se fueran dirigiendo a otras áreas. No creo contar con la
suficiente información sobre la dirección que tomarán los Estados Unidos
al adoptar el chip EMV como para especular demasiado, pero me parece
que observaremos un declive constante mientras vayan haciendo el cambio.
Sin embargo, es probable que no sea un cambio tan dramático como ocurrió
en Europa y el Reino Unido, donde el impacto en el fraude con tarjetas
perdidas o robadas o con
tarjetas en uso, incluso falsificaciones, fue
considerable. Entre otras razones, la migración estadounidense al chip
EMV, incluso en la forma en que se propuso, no deja muchas alternativas
atractivas. Como lo explicó hace poco
Lysa Myers en detalle, la migración propuesta, en muchos aspectos, dista mucho de ser ideal.
Lo ideal es:
- Un chip se usa solo, sin estar acompañado por una banda magnética
- Debe ingresarse el PIN correcto en una cantidad de intentos muy limitada
- Nunca debe aceptarse una firma en lugar de un PIN
- Se deben tomar medidas adicionales para proteger las compras con tarjetas en forma remota (sin la tarjeta presente)
En los Estados Unidos, ésta es la propuesta:
- Estarán presentes el chip y la banda magnética a la vez
- Puede usarse una firma en lugar de ingresar un PIN
- Las medidas adicionales no serán obligatorias
Esto no quita que no haya habido problemas con el chip EMV y el PIN: ya en el año 2010
hablé sobre uno (se pueden encontrar más vínculos sobre el tema
aquí)
y hay artículos más recientes escritos por Ross Anderson en el Reino
Unido, que estuvo estudiando el protocolo de EMV durante mucho tiempo,
aquí y
aquí.
Quizás el último caso es el que más preocupa a los consumidores, ya que
sugiere que “el protocolo EMV (el sistema dominante de pago con tarjeta
en el mundo) no produce evidencia adecuada para resolver las disputas”.
Propone tomar medidas para mejorar la seguridad, pero
la mitigación y el recorte de costos suelen ser muy difíciles de combinar.
(*) Según el informe, se encuestó a alrededor de 300 personas de cada
uno de los países incluidos: de la región de América (definido en este
caso por Aite Group LLC como Brasil, Canadá, México y los Estados
Unidos); la región de Europa, Medio Oriente y África; y la región de
Asia Pacífico.
Traducción del
post de David Harley en We Live Security.
Fuente:
We Live Security 
