Video: El chip de las tarjetas de crédito, ¿las hace más seguras? (Noviembre 2024)
Para nuestros lectores estadounidenses, pagar con tarjeta de crédito significa deslizar una tira magnética. Pero para las personas en gran parte de Europa y otros países, significa insertar su tarjeta con chip en un lector e ingresar su PIN. Esta llamada solución de chip y PIN se ha promocionado durante mucho tiempo como muy superior al deslizamiento estadounidense, y en la mayoría de los casos lo es. Pero hay algunos problemas serios con la forma en que se ha implementado el esquema.
Ross Anderson presentó la historia de su equipo de investigación de tarjetas con chip y PIN en Black Hat este año. Para un sistema diseñado para ser más difícil de engañar, Anderson tenía una cantidad sorprendente que decir.
Una cabalgata de defectos
Una actualización rápida de chip y PIN: los consumidores insertan sus tarjetas al hacer compras. Luego ingresan su PIN, que es confirmado por la tarjeta en el dispositivo; cuando funciona, el PIN nunca debe salir del lector. La tarjeta luego habla con el banco para autorizar la transacción, y se realiza la venta. Sobre el papel, todo suena genial.
Anderson caminó a través de varias vulnerabilidades poco frecuentes encontradas por él y su equipo, y otras que fueron observadas por primera vez en la naturaleza y luego diseñadas por expertos en seguridad.
Muchos ataques se centraron en los dispositivos que los comerciantes utilizaban para realizar transacciones y cajeros automáticos. Su equipo descubrió que, de hecho, varios dispositivos no estaban hechos con las especificaciones de seguridad que afirmaban seguir. Con un mínimo de esfuerzo, dijo que podrían interceptar los dispositivos y extraer el PIN durante una venta.
Otros ataques involucraron la instalación de lo que Anderson llamó "electrónica perversa" en los lectores para capturar datos de transacciones. En un caso, los estafadores instalaron sus productos malvados en los lectores de tarjetas incluso antes de entregarlos a los comerciantes.
Pero hubo muchos otros ataques, como integrar electornics directamente en tarjetas con chip y PIN, conectar tarjetas a dispositivos ocultos que permitieron a un ladrón autorizar la tarjeta con cualquier código aleatorio e incluso ataques que "reprodujeron" transacciones en diferentes ubicaciones.
Técnicamente superior, prácticamente problemático
Le pregunté a Anderson si, después de todos los defectos que encontró con chip y pin, todavía pensaba que era superior a las tarjetas magnéticas. Era inequívoco: las tarjetas con chip y PIN son técnicamente superiores simplemente porque son mucho más difíciles de clonar que las tarjetas magnéticas.
El mayor problema es cómo se implementaron el chip y el PIN en Europa. Anderson explicó que para que los comerciantes europeos cambien, los bancos prometieron a los comerciantes que serían responsables de los cargos fraudulentos. Con las tarjetas magnéticas, un cargo fraudulento simplemente se revierte al comerciante. Anderson llamó a esto "cambiar la responsabilidad".
Suena como un buen plan, pero la realidad fue bastante cruel. Anderson dijo que los bancos con frecuencia culpaban a las víctimas de fraude, quienes las acusaron de exponer sus PIN de alguna manera. En otros casos, los bancos simplemente cambiaron de opinión e invirtieron los cargos a los comerciantes. En casos extremos, los bancos y las compañías de tarjetas de crédito declinaron presentar cargos contra estafadores conocidos, aparentemente por vergüenza.
Al parecer, nadie quería hacerse responsable del fraude de chips y PIN. Anderson preguntó: "si el banco no está pagando el fraude, ¿por qué van a reventar para mantenerlo seguro?"
Anderson también criticó a los autores de la documentación del chip y el PIN por no tener una visión clara y dejar que la documentación se descontrolara. Lo calificó como una tragedia de los bienes comunes y señaló que nadie ha dado un paso adelante para crear una versión actualizada que realmente pueda hacer los cambios de seguridad necesarios en el estándar.
Viniendo a America
Nuestros lectores estadounidenses, contentos con sus tarjetas magnéticas, pueden preguntarse por qué esto debería importarles en absoluto. Hay una razón simple: las tarjetas con chip y PIN están listas para ser introducidas en este país. Anderson dijo que los bancos están listos para hacer la transición en 2015.
Las cosas pueden no ir tan mal en este país. Por un lado, solo algunos bancos están optando por esquemas de chip y PIN, mientras que otros bancos implementarán tarjetas con chip y firma. Este plan de autenticación se ha utilizado en Singapur y está diseñado para brindar una mayor protección al consumidor. Anderson también señaló que el papel de la Reserva Federal en la banca estadounidense también ofrece una mayor protección al consumidor, suponiendo que no se erosione drásticamente en el futuro cercano.
También hubo un papel, dijo, que la audiencia de Black Hat podría jugar. "no es un protocolo único; es un juego de herramientas grande, aleatorio y astuto para crear protocolos de pago", dijo. "Puedes inventar algo realmente seguro o algo realmente horrible".
Espero que tengamos lo primero.
