Quizás las conozcas por nombres diversos: EMV (Europay MasterCard Visa), tarjetas con chip integrado, o simplemente tarjetas inteligentes. Pero como sea que las llames, son un tema candente en lo que respecta a fraudes de tarjetas de crédito. Algunos no están familiarizados con esta tecnología, y otros la conocen sólo como algo frustrante al viajar. En esta publicación explicaremos la diferencia entre este tipo de tarjetas y las habituales, y por qué son un foco de discusión luego de la fuga de datos de Target.
¿La quieres con cinta magnética o chip?
La tecnología de banda magnética a la que estamos tan habituados tiene alrededor de 40 años. Sus primeras versiones funcionaban como la cinta de los casetes de audio: almacenaban datos en un revestimiento de óxido de hierro contenido en una tira de plástico anexada a la tarjeta, que luego era pasada por un lector. Poco ha cambiado de esta tecnología desde sus comienzos, y hay pocos instrumentos con los que proteger estas tarjetas de un uso fraudulento.
En tanto, el uso de tarjetas con chip se hizo frecuente para transacciones de crédito y débito a principios de 1990. Tres compañías se unieron para implementar estos servicios: Europay, Mastercard y Visa (de ahí su nombre). En vez de almacenar los datos con tecnología magnética, tienen un chip unido a la tarjeta. Esta es la tecnología por defecto en algunos países del mundo, y los sistemas de pago con lectores de tarjetas comienzan a hacerse menos comunes.
Lo distintivo es que cuentan con un microprocesador unido a ellas, que actúa como una pequeña computadora. Se accede de forma interactiva a los datos del chip, el cual requiere de respuestas específicas de un lector para poder revelar su información. Esto hace que, para los cibercriminales, la réplica de estas tarjetas sea significativamente más dificultosa y costosa.
Los datos específicos pueden variar un poco: cada una tiene un chip y un código PIN, por lo que para llevar a cabo un pago será necesario leer la información bancaria y luego ingresar el código correspondiente. Esto evidencia que los usuarios proveen dos mecanismos de autenticación: algo que el usuario tiene (la tarjeta) y algo que el usuario conoce (el código PIN).
El proceso de compra es similar al utilizado con tarjetas de débito, excepto que no será deslizada por un lector, sino que será ingresada dentro de él. Algunos plásticos contienen además una banda magnética para llevar a cabo transacciones en lugares que no dispongan de esta tecnología, y en algunos casos no se requiere el código PIN, sino sólo la firma.
¿Cómo ayudan a prevenir el fraude?
Mientras una tecnología se mantenga más tiempo sin cambios, los cibercriminales tendrán más oportunidades de encontrar una forma de vulnerarla. Esto es justamente lo que sucedió con las tarjetas con banda magnética: cuatro décadas fueron suficientes para que entiendan y aprendan cómo robar la información que contienen, lo que representa una gran cantidad de fraudes. En la reciente fuga de datos de Target, esto se llevó a cabo gracias a malware que recuperaba de la memoria RAM la información de las tarjetas de crédito ingresadas en los dispositivos donde se efectuaban los pagos, y finalmente se la distribuía al criminal.
Esta técnica evidenció que aunque los vendedores tuvieran los datos cifrados en sus discos y aunque la información se transmitiera por Internet, no estaba protegida. Cabe destacar que si bien el uso de cifrado disminuye significativamente el tiempo durante el cual los datos están en riesgo, algunos atacantes utilizan malware diseñado para aprovechar el pequeño tiempo donde se encuentran expuestos.
Entonces, el uso de tarjetas EMV no mitiga los ataques utilizando malware que recupere los datos de la memoria RAM, porque no todas las transacciones requieren la presencia física de una tarjeta de crédito. Que los cibercriminales no cuenten con un plástico limita mucho la utilidad que puedan darle; no obstante, hay formas de utilizar estas tarjetas inteligentes de forma no presencial, y esta táctica ha sido la elegida por ellos durante años.
La mayoría de los casos de fraude en países que utilizan esta tecnología son transacciones no presenciales, como por ejemplo compras en línea, donde el chip no puede ser utilizado para validación. Algunos comercios, por ejemplo los de Canadá, han encontrado una forma de combatir esto, requiriendo que los usuarios de las tarjetas inicien sesión en su cuenta bancaria en vez de proveer de información financiera directamente a los vendedores.
La implementación importa
Como podemos observar en el caso de las restricciones de Canadá, la forma en que los comercios implementan el EMV hará una gran diferencia respecto a cómo esta tecnología reducirá el fraude. Idealmente se busca que:
- Una tarjeta con chip no tenga banda magnética
- Haya un número de intentos muy limitado para ingresar el código PIN
- Una firma nunca sea aceptada a cambio de un código PIN
- Se establezcan medidas de seguridad adicionales para asegurar las compras no presenciales
En todo lo relativo a seguridad y privacidad, la meta es hacer que el acceso a nuestros datos sea prohibitivamente dificultoso o complicado para nuestros adversarios. Si bien migrar de la tecnología de tarjetas con banda magnética hacia aquellas con chip no terminaría con el fraude bancario, sería un paso hacia la dirección correcta y nos encaminaría hacia mejores medidas de seguridad en transacciones con tarjetas de crédito.