Cmo funcionan las tarjetas de pago?

Parte V: Smart Card (Chip) y EMV

En esta quinta entrega de la serie Cmo funcionan las tarjetas de pago? se describir de forma general la
tecnologa de las tarjetas inteligentes (smart cards) y su relacin con la proteccin de los datos de autenticacin en
transacciones presenciales.

Historia
La idea de almacenar los datos de la tarjeta de pago en una banda magntica para automatizar transacciones tuvo
un impacto inmenso en la forma como se realizan las compras y se gestionan los pagos. Sin embargo, detrs de
dicha tecnologa (analizada en el artculo Cmo funcionan las tarjetas de pago? Parte IV: Banda magntica) se
encontraban mltiples vulnerabilidades que no tardaron en ser aprovechadas por individuos malintencionados para
cometer fraudes. La ms importante de ellas fue la copia completa de la banda magntica para ser clonada en otro
plstico, empleando un dispositivo denominado skimmer. Debido a la gran cantidad de fraudes realizados mediante
esta tcnica, se empezaron a analizar diferentes opciones para la proteccin de los datos en la banda magntica,
dentro de los que se encontraban el almacenar los datos cifrados, incluir cdigos adicionales en la banda para
detectar potenciales copias y componentes especiales para la proteccin de los lectores de bandas magnticas en
cajeros electrnicos y TPV.
Sin embargo, todas esas alternativas eran simplemente soluciones temporales que no gestionaban el riesgo de una
forma que equilibrara el coste con el beneficio. Por ello, era necesario realizar un cambio radical de tecnologa. La
opcin escogida fue el uso de un chip o circuito integrado incorporado en el plstico que permita un almacenamiento
seguro de los mismos datos de la banda magntica, tal como lo realizan las tarjetas inteligentes (smart cards).
La invencin de las tarjetas con circuito integrado (TCI) o tarjetas inteligentes proviene del trabajo complementario
(pero independiente) de Kunitaka Arimura (Japn), Roland Moreno (Francia) y Juergen Dethloff (Alemania), quienes
trabajaron en su diseo en la dcada de 1970. Su uso inicial fue para la gestin de crdito en tarjetas telefnicas.

Funcionamiento
A diferencia de la banda magntica (en la cual los datos de la tarjeta de pago se almacenan en texto claro), en un
chip todos los datos existentes en la banda magntica son almacenados de forma cifrada, debido a que estos circuitos
permiten la gestin de una lgica especfica que permite el uso de diferentes algoritmos de encriptacin (DES,
TripleDES, RSA y SHA). Esta tecnologa tambin es usada en las tarjetas SIM (Subscriber Identification Module) de
telfonos mviles y tarjetas inteligentes (smart card, chip card o integrated circuit card (ICC)) empleadas para
identificacin y autenticacin. Estos chips requieren de un lector especial para poder funcionar.

El componente clave de un chip es el circuito integrado (IC) que por lo general viene cubierto por una serie de capas
protectoras de polivinilo, polietileno, polister o policarbonatos, acompaado de contactos metlicos que permiten su
manipulacin. Como tal, el chip de una tarjeta de pago no requiere de una batera para su funcionamiento, debido a
que la energa que requiere es suministrada por el lector.
 Fuente: Wikipedia
Para garantizar un modelo homogneo de trabajo con este tipo de dispositivos, en 1987 la ISO (International
Organization for Standardization) public dos estndares en donde se definan las caractersticas fsicas y lgicas de
estos elementos: los estndares ISO/IEC 7816 e ISO/IEC 7810. En estos estndares se define (entre otras cosas) el
formato de los contactos metlicos del chip, como sigue:

Fuente: Wikipedia
C1 VCC: Fuente de alimentacin
C2 RST: Re-inicializacin de comunicacin (reset)
C3 CLK: Seal de reloj (clock signal) para comunicaciones temporizadas
C4: AUX 1 (auxiliar 1) para uso con USB (entre otros)
C5 GND: Tierra (Ground)
C6 VPP: Usado para programacin de la memoria persistente
C7 -I/O: Entrada/salida serial (half-duplex)
C8: AUX 2 (auxiliar 2) para uso con USB (entre otros)

EMV (Europay, MasterCard and Visa)

Para facilitar una adopcin estndar en el uso de chips en las tarjetas de pago, EuroPay (posteriormente adquirida
por MasterCard), MasterCard y Visa conformaron EMVCo (http://www.emvco.com), consorcio al que
posteriormente se uniran Discover, JCB (2004), American Express (2009) y UnionPay (2012).
El objetivo de este grupo es el de definir una serie de elementos comunes (a nivel fsico, elctrico, de datos y de
aplicacin) que permitan la inter-operatividad entre tarjetas con chip y sus respectivos lectores, empleando como
base el estndar ISO/IEC 7816.

Fuente: Paragon Application Systems

Las especificaciones de EMVCo han sido publicadas en una serie de libros y documentos adicionales que conforman
todo el estndar (versin 4.3 en Diciembre de 2013):
Book 1 Application Independent ICC to Terminal Interface Requirements
Book 2 Security and Key Management
Book 3 Application Specification
 Book 4 Cardholder, Attendant, and Acquirer Interface Requirements
Common Payment Application Specification
EMV Card Personalisation Specification
Siguiendo estas especificaciones (conocidas tambin como Chip and PIN en Reino Unido e Irlanda), se pueden
implementar controles de seguridad ms robustos en la tarjeta y la posibilidad de gestionar aprobaciones de
transacciones presenciales fuera de lnea (offline).
Generalmente, una transaccin EMV consta de tres fases:

Fase 1: Autenticacin de la tarjeta (Card Authentication)

Fase 2: Verificacin del titular (Cardholder Verification)

Fase 3: Autorizacin de la transaccin (Transaction Authorization)

Cuando un cliente realiza una transaccin con este tipo de tecnologa, la tarjeta debe ser leda por un dispositivo
homologado que pueda interactuar con el chip y que realiza una serie de acciones orientadas a la verificacin de la
tarjeta ingresada empleando SDA, DDA o CDA (fase 1). Cuando esta validacin es satisfactoria, el cliente ingresa su
PIN (Personal Identification Number explicado en el artculo Cmo funcionan las tarjetas de pago? Parte III: PIN
(Personal Identification Number)) en la terminal, el cual es enviado al chip de la tarjeta para su validacin
dependiendo del CVM escogido (fase 2). Si los dos valores coinciden, la transaccin es aprobada, de lo contrario es
denegada e informada al comercio (fase 3).
Gracias al uso de esta tecnologa, el fraude en transacciones con tarjeta presente ha disminuido de forma drstica
desde el momento de su implementacin.

Vulnerabilidades del sistema EMV

Al igual que todas las tecnologas, en EMV se han detectado una serie de vulnerabilidades y problemas de seguridad
que pueden poner en riesgo los datos de la tarjeta y exponer al titular a potenciales fraudes:

Migracin de la banda magntica al sistema EMV

Ataque Yes-Card

Ataque de Man-In-The-Middle (MiTM)

Chip skimmers y extraccin del PIN

Ataque Pre-Play

En agosto de 2016 en las conferencias Black Hat USA, varios investigadores demostraron vulnerabilidades
adicionales en la tecnologa EMV, que an dista de ser el paradigma de seguridad en tarjetas de pago.

Los estndares del PCI SSC y EMV

A pesar que el PCI SSC (Payment Card industry Security Standards Council) est conformado por la mayora de
marcas que hacen parte del consorcio EMVCo, esto no quiere decir que dichos estndares sean excluyentes. Por el
contrario, los estndares del PCI SSC (PCI DSS, PA DSS, PTS y P2PE) juegan un rol principal en la definicin de
controles para la proteccin de los datos de la tarjeta, independientemente del canal por el que hayan sido obtenidos
y procesados.
Para aclarar este entorno, en 2010 el PCI SSC public el documento de gua Aplicabilidad de la norma de
seguridad de datos de la industria de tarjetas de pago (PCI DSS) en un entorno EMV en el cual se describe:
Los entornos de aceptacin que hacen un uso eficaz de EMV pueden reducir sustancialmente el fraude en
entornos presenciales, si bien, como se ha indicado anteriormente, el entorno EMV, tal y como se implementa hoy
en da, no cumple automticamente con los requisitos de la norma PCI DSS ni protege la confidencialidad del titular
de la tarjeta ni los datos de autenticacin personales. Si a esto le aadimos la opcin de los comerciantes de procesar
transacciones EMV y no EMV, resulta obvio que proteger la confidencialidad del titular de la tarjeta y los datos de
autenticacin personales es fundamental.

El diseo de la PCI DSS no distingue entre los mecanismos de seguridad de las transacciones subyacentes, sino
que tiene por objetivo proteger el PAN y otros datos de autenticacin confidenciales en s, sin examinar el riesgo de
fraude subyacente en caso de ponerse en riesgo estos datos
Es importante aclarar que EMV no sustituye a ninguno de los estndares del PCI SSC:

As pues, a la hora de proteger el entorno de aceptacin presencial actual, no deber pensarse en EMV o en PCI
DSS, sino ms bien en una combinacin de EMV y PCI DSS. Ambos son elementos esenciales en la lucha contra el
fraude y la desproteccin de los datos. Juntos proporcionan el mayor nivel de seguridad de los datos del titular de la
tarjeta a lo largo de todo el proceso de transaccin
Siendo as, la integracin entre EMV y los estndares del PCI SSC se presenta de la siguiente manera:
PCI DSS (Data Security Standard): Proteccin del PAN durante el procesamiento, el almacenamiento y la
transmisin, as como la prohibicin del almacenamiento de datos sensibles de autenticacin posterior a la
autorizacin. As mismo, la versin 3.0 de este estndar incluye una serie de controles especficos para la
proteccin de dispositivos que capturan datos de tarjeta de forma presencial, complementando los controles
de EMV (requerimiento 9.9), con el fin de evitar manipulaciones e insercin de skimmers.
PA DSS (Payment Application Data Security Standard): Definicin de criterios especficos en el desarrollo e
implementacin de aplicativos instalados en dispositivos TPV para evitar manipulacin de componentes de
software que permitan la obtencin no autorizada de los datos de la tarjeta o gestin de transacciones
fraudulentas.
PCI PIN Transaction (PTS) Point of Interaction (POI): Directrices para seguridad a nivel de hardware,
para evitar manipulaciones no autorizadas de dispositivos
P2PE (Point-to-Point Encryption): Diseado para la proteccin de los datos de tarjeta desde el momento de
su lectura hasta la recepcin por un proveedor de servicio autorizado, minimizando la posibilidad de
potenciales capturas no autorizadas de datos.
Como se puede concluir, en una transaccin son mltiples los elementos involucrados, con lo cual es necesario la
securizacin e implementacin de controles especficos en cada uno de estos puntos para garantizar una seguridad
tolerable.
Para finalizar, se presenta el siguiente infograma (extrado de Element Payment Services) que rene la mayora de
conceptos explicados a lo largo de este artculo:

Infograma: A map to EMV