Un comentario a un artículo escrito por Rob Waugh para We Live Security (Dozens of car washes leak card details in U.S. money-laundering scam) presenta un argumento interesante acerca de la vulnerabilidad del formato tradicional de tarjeta de crédito y débito:
"No puedo creer que la banda magnética aún no esté extinta. ¿Cómo es posible que hayamos dejado que la tecnología de la década de 1970 sea el nexo de nuestra integridad financiera?"
Desafortunadamente, no es tan extraño que tecnologías antiguas sobrevivan durante mucho tiempo una vez pasada su fecha de caducidad; si hablamos sobre la seguridad: ¿me atrevería a mencionar la tan difamada pero siempre presente contraseña estática? Sin embargo, esta persona tiene razón en que las ventajas principales de la tarjeta de banda magnética (la facilidad para leer datos de la banda y de escribir en ella, así como el bajo costo del hardware necesario) también constituyen una gran desventaja.
En las mismas condiciones, es igual de fácil para un criminal capturar datos y duplicar medios como lo es para un proveedor legítimo de servicios financieros (u otros servicios). Los Estados Unidos de América es el último país de los G-20 que pasó a la tecnología de chip EMV, aunque los proveedores se inclinan cada vez más hacia el chip con firma en lugar de aquel con PIN, que suele ser el método preferente en Europa.
En general, el chip con PIN se considera más seguro porque una firma se puede falsificar, en cambio, los bancos normalmente limitan la cantidad de intentos al ingresar el número de PIN. Entonces, aunque ciertamente existe mucho uso indebido de ciertos números de PIN (por ejemplo, 1234) al compararse con el uso indebido de "contraseña" o "123456" como clave, la oportunidad de adivinar un PIN está rigurosamente restringida. (Hace unos años escribí un paper sobre la las estrategias de selección de números de PIN para una conferencia del instituto EICAR, así como un artículo para Virus Bulletin, y el mes que viene presentaré una discusión relacionada con el tema en CFET.)
De hecho, algunos proveedores de finanzas en los Estados Unidos introdujeron las tarjetas de chip con PIN, aunque más que nada son de interés para los viajantes internacionales que pueden haber encontrado dificultades en regiones donde predomina el chip con PIN (a tal punto que probablemente ya estemos en la cuenta regresiva para los días que le quedan a la banda magnética). Las terminales POS (puntos de venta) estadounidenses no suelen tener en cuenta el PIN, mientras que en Europa casi siempre se requiere el número de PIN y la tarjeta debe ser capaz de reconocerlo.
Por esa razón, en los Estados Unidos (desde mi experiencia limitada, ya que vivo en Europa), una tarjeta de chip con PIN (incluso de un proveedor estadounidense) se usa prácticamente en forma invariable con la misma eficacia que una tarjeta de chip con firma. La firma puede usarse como segundo factor de autenticación, es decir, en la mayoría de los cajeros automáticos en los Estados Unidos, una tarjeta de chip con PIN (al igual que la tarjeta de banda magnética) constituye básicamente autenticación de un solo factor (es decir, algo que tienes) ya que no te piden que ingreses el PIN (algo que sabes).
Por el contrario, parece ser que la Ley de Igualdad de 2010 exige que las tarjetas de chip y firma estén disponibles para las personas en Reino Unido que no puedan usar o no puedan recordar un PIN pero que sí puedan escribir su firma, aunque la firma no se pueda usar en todas las terminales (por ejemplo, en cajeros automáticos de autoservicio). No sé hasta qué punto es común el uso de una tarjeta de chip y firma en el Reino Unido, o qué impacto tiene en las estadísticas de delitos con tarjetas, de tener alguno. O de hecho, cuántas tarjetas hay con preferencia de firma en lugar de tarjetas con firma sola. (Una tarjeta con preferencia de firma es aquella que también tiene la funcionalidad de PIN, para que pueda utilizarse en casos donde no se acepta una firma).
Da la casualidad de que hace poco me preguntaron sobre cierto estudio bastante relevante* que trata acerca de la susceptibilidad de los usuarios en diversas regiones con respecto al fraude, y los Estados Unidos fueron los cuartos en el mundo en haber experimentado fraudes de tarjetas. Específicamente, me preguntaron si creía que el fraude con tarjetas en los Estados Unidos se iría reduciendo a medida que los ataques de los delincuentes se fueran dirigiendo a otras áreas. No creo contar con la suficiente información sobre la dirección que tomarán los Estados Unidos al adoptar el chip EMV como para especular demasiado, pero me parece que observaremos un declive constante mientras vayan haciendo el cambio.
Sin embargo, es probable que no sea un cambio tan dramático como ocurrió en Europa y el Reino Unido, donde el impacto en el fraude con tarjetas perdidas o robadas o con tarjetas en uso, incluso falsificaciones, fue considerable. Entre otras razones, la migración estadounidense al chip EMV, incluso en la forma en que se propuso, no deja muchas alternativas atractivas. Como lo explicó hace poco Lysa Myers en detalle, la migración propuesta, en muchos aspectos, dista mucho de ser ideal. Específicamente dijo:
"Lo ideal es:
- Un chip se usa solo, sin estar acompañado por una banda magnética
- Debe ingresarse el PIN correcto en una cantidad de intentos muy limitada
- Nunca debe aceptarse una firma en lugar de un PIN
- Se deben tomar medidas adicionales para proteger las compras con tarjetas en forma remota (sin la tarjeta presente)
En los Estados Unidos, ésta es la propuesta:
- Estarán presentes el chip y la banda magnética a la vez
- Puede usarse una firma en lugar de ingresar un PIN
- Las medidas adicionales no serán obligatorias"
Esto no quita que no haya habido problemas con el chip EMV y el PIN: ya en el año 2010 hablé sobre uno (se pueden encontrar más vínculos sobre el tema aquí) y hay artículos más recientes escritos por Ross Anderson en el Reino Unido, que estuvo estudiando el protocolo de EMV durante mucho tiempo, aquí y aquí. Quizás el último caso es el que más preocupa a los consumidores, ya que sugiere que "el protocolo EMV (el sistema dominante de pago con tarjeta en el mundo) no produce evidencia adecuada para resolver las disputas". Propone tomar medidas para mejorar la seguridad, pero la mitigación y el recorte de costos suelen ser muy difíciles de combinar.
* Según el informe, se encuestó a alrededor de 300 personas de cada uno de los países incluidos: de la región de América (definido en este caso por Aite Group LLC como Brasil, Canadá, México y los Estados Unidos); la región de Europa, Medio Oriente y África; y la región de Asia Pacífico.
Traducción del post de David Harley en We Live Security.