Escolar Documentos
Profissional Documentos
Cultura Documentos
En esta quinta entrega de la serie Cmo funcionan las tarjetas de pago? se describir de forma general la
tecnologa de las tarjetas inteligentes (smart cards) y su relacin con la proteccin de los datos de autenticacin en
transacciones presenciales.
Historia
La idea de almacenar los datos de la tarjeta de pago en una banda magntica para automatizar transacciones tuvo
un impacto inmenso en la forma como se realizan las compras y se gestionan los pagos. Sin embargo, detrs de
dicha tecnologa (analizada en el artculo Cmo funcionan las tarjetas de pago? Parte IV: Banda magntica) se
encontraban mltiples vulnerabilidades que no tardaron en ser aprovechadas por individuos malintencionados para
cometer fraudes. La ms importante de ellas fue la copia completa de la banda magntica para ser clonada en otro
plstico, empleando un dispositivo denominado skimmer. Debido a la gran cantidad de fraudes realizados mediante
esta tcnica, se empezaron a analizar diferentes opciones para la proteccin de los datos en la banda magntica,
dentro de los que se encontraban el almacenar los datos cifrados, incluir cdigos adicionales en la banda para
detectar potenciales copias y componentes especiales para la proteccin de los lectores de bandas magnticas en
cajeros electrnicos y TPV.
Sin embargo, todas esas alternativas eran simplemente soluciones temporales que no gestionaban el riesgo de una
forma que equilibrara el coste con el beneficio. Por ello, era necesario realizar un cambio radical de tecnologa. La
opcin escogida fue el uso de un chip o circuito integrado incorporado en el plstico que permita un almacenamiento
seguro de los mismos datos de la banda magntica, tal como lo realizan las tarjetas inteligentes (smart cards).
La invencin de las tarjetas con circuito integrado (TCI) o tarjetas inteligentes proviene del trabajo complementario
(pero independiente) de Kunitaka Arimura (Japn), Roland Moreno (Francia) y Juergen Dethloff (Alemania), quienes
trabajaron en su diseo en la dcada de 1970. Su uso inicial fue para la gestin de crdito en tarjetas telefnicas.
Funcionamiento
A diferencia de la banda magntica (en la cual los datos de la tarjeta de pago se almacenan en texto claro), en un
chip todos los datos existentes en la banda magntica son almacenados de forma cifrada, debido a que estos circuitos
permiten la gestin de una lgica especfica que permite el uso de diferentes algoritmos de encriptacin (DES,
TripleDES, RSA y SHA). Esta tecnologa tambin es usada en las tarjetas SIM (Subscriber Identification Module) de
telfonos mviles y tarjetas inteligentes (smart card, chip card o integrated circuit card (ICC)) empleadas para
identificacin y autenticacin. Estos chips requieren de un lector especial para poder funcionar.
El componente clave de un chip es el circuito integrado (IC) que por lo general viene cubierto por una serie de capas
protectoras de polivinilo, polietileno, polister o policarbonatos, acompaado de contactos metlicos que permiten su
manipulacin. Como tal, el chip de una tarjeta de pago no requiere de una batera para su funcionamiento, debido a
que la energa que requiere es suministrada por el lector.
Fuente: Wikipedia
Para garantizar un modelo homogneo de trabajo con este tipo de dispositivos, en 1987 la ISO (International
Organization for Standardization) public dos estndares en donde se definan las caractersticas fsicas y lgicas de
estos elementos: los estndares ISO/IEC 7816 e ISO/IEC 7810. En estos estndares se define (entre otras cosas) el
formato de los contactos metlicos del chip, como sigue:
Fuente: Wikipedia
C1 VCC: Fuente de alimentacin
C2 RST: Re-inicializacin de comunicacin (reset)
C3 CLK: Seal de reloj (clock signal) para comunicaciones temporizadas
C4: AUX 1 (auxiliar 1) para uso con USB (entre otros)
C5 GND: Tierra (Ground)
C6 VPP: Usado para programacin de la memoria persistente
C7 -I/O: Entrada/salida serial (half-duplex)
C8: AUX 2 (auxiliar 2) para uso con USB (entre otros)
Las especificaciones de EMVCo han sido publicadas en una serie de libros y documentos adicionales que conforman
todo el estndar (versin 4.3 en Diciembre de 2013):
Book 1 Application Independent ICC to Terminal Interface Requirements
Book 2 Security and Key Management
Book 3 Application Specification
Book 4 Cardholder, Attendant, and Acquirer Interface Requirements
Common Payment Application Specification
EMV Card Personalisation Specification
Siguiendo estas especificaciones (conocidas tambin como Chip and PIN en Reino Unido e Irlanda), se pueden
implementar controles de seguridad ms robustos en la tarjeta y la posibilidad de gestionar aprobaciones de
transacciones presenciales fuera de lnea (offline).
Generalmente, una transaccin EMV consta de tres fases:
Ataque Yes-Card
Ataque Pre-Play
En agosto de 2016 en las conferencias Black Hat USA, varios investigadores demostraron vulnerabilidades
adicionales en la tecnologa EMV, que an dista de ser el paradigma de seguridad en tarjetas de pago.
El diseo de la PCI DSS no distingue entre los mecanismos de seguridad de las transacciones subyacentes, sino
que tiene por objetivo proteger el PAN y otros datos de autenticacin confidenciales en s, sin examinar el riesgo de
fraude subyacente en caso de ponerse en riesgo estos datos
Es importante aclarar que EMV no sustituye a ninguno de los estndares del PCI SSC:
As pues, a la hora de proteger el entorno de aceptacin presencial actual, no deber pensarse en EMV o en PCI
DSS, sino ms bien en una combinacin de EMV y PCI DSS. Ambos son elementos esenciales en la lucha contra el
fraude y la desproteccin de los datos. Juntos proporcionan el mayor nivel de seguridad de los datos del titular de la
tarjeta a lo largo de todo el proceso de transaccin
Siendo as, la integracin entre EMV y los estndares del PCI SSC se presenta de la siguiente manera:
PCI DSS (Data Security Standard): Proteccin del PAN durante el procesamiento, el almacenamiento y la
transmisin, as como la prohibicin del almacenamiento de datos sensibles de autenticacin posterior a la
autorizacin. As mismo, la versin 3.0 de este estndar incluye una serie de controles especficos para la
proteccin de dispositivos que capturan datos de tarjeta de forma presencial, complementando los controles
de EMV (requerimiento 9.9), con el fin de evitar manipulaciones e insercin de skimmers.
PA DSS (Payment Application Data Security Standard): Definicin de criterios especficos en el desarrollo e
implementacin de aplicativos instalados en dispositivos TPV para evitar manipulacin de componentes de
software que permitan la obtencin no autorizada de los datos de la tarjeta o gestin de transacciones
fraudulentas.
PCI PIN Transaction (PTS) Point of Interaction (POI): Directrices para seguridad a nivel de hardware,
para evitar manipulaciones no autorizadas de dispositivos
P2PE (Point-to-Point Encryption): Diseado para la proteccin de los datos de tarjeta desde el momento de
su lectura hasta la recepcin por un proveedor de servicio autorizado, minimizando la posibilidad de
potenciales capturas no autorizadas de datos.
Como se puede concluir, en una transaccin son mltiples los elementos involucrados, con lo cual es necesario la
securizacin e implementacin de controles especficos en cada uno de estos puntos para garantizar una seguridad
tolerable.
Para finalizar, se presenta el siguiente infograma (extrado de Element Payment Services) que rene la mayora de
conceptos explicados a lo largo de este artculo: