Fraude electrónico con tarjetas chip
Escrito por: Carlos Castillo / Categoría: Fraude electrónico
La tarjeta que ven en la parte superior reemplazará en Colombia dentro de poco la tradicional banda magnética que ha reinado durante aproximadamente 50 años. Forrest Perry, ingeniero de IBM, inventó en 1960 la tarjeta de banda magnética bajo el auspicio del gobierno de los Estados Unidos. El único mecanismo de seguridad que tenía el estándar era una “firma” embebida (MagnaPrint, Magne Print o BluPrint) en la tarjeta que le permitía al dispositivo lector validar la identidad de la tarjeta junto con otro factor de autenticación para validar al usuario el cual es desde luego es una clave personal. La tecnología avanzó y actualmente es muy frecuente el fraude electrónico a través de la técnica llamada comúnmente “Skimmer” o “clonación de tarjetas” la cual consiste básicamente en esconder un dispositivo lector de banda magnética el cual se encarga de copiar toda la información (incluyendo la firma) para posteriormente colocarla en otra tarjeta y realizar transacciones desde prácticamente cualquier parte del mundo. La técnica es bastante conocida y, desde luego, Colombia no es la excepción.
Varios años después, Marc Lauss, uno de los pioneros de las tarjetas inteligentes en Francia visitó en 1988 a Datacard Corp, el gigante de las tarjetas de crédito en Estados Unidos en ese tiempo. La idea era implementar las llamadas “tarjetas con chip” en el sistema bancario y reducir en un alto porcentaje la clonación de tarjetas. La reunión en ese entonces no surtió efecto, sin embargo, en 1995 hubo un giro inesperado y la empresa de Lauss (Gemplus SCA) adquirió las operaciones internacionales de manufactura de Datacard, logrando que gigantes como Visa y Mastercard centraran su atención en esta nueva tecnología la cual tiene un principio realmente simple: incorporar mayor almacenamiento de información en las tarjetas y proporcionar mayor seguridad contra fraudes.
Ya en el 2008, el Banco AV Villas fue la primera entidad financiera en arriesgarse a implementar las nuevas tarjetas inteligentes distribuyendo 3.000 de estas entre sus empleados. El cambio más significativo con esta nueva tecnología consiste en que la tarjeta queda dentro del dispositivo lector MIENTRAS DURE LA TRANSACCIÓN por lo que si se intenta sacar antes de tiempo, se corre el riesgo de dañar el chip. En Colombia, las entidades que le siguen a AV Villas son Bancolombia y Banco de Bogotá las cuales ya están adelantando actualizaciones en cajeros automáticos y datafonos para la nueva tecnología. Actualmente, en el 2010, se estima que 6.000 millones de tarjetas inteligentes se estarán usando en todo el mundo las cuales “permiten, entre otros aspectos, almacenar firmas digitales, datos encriptados, características biométricas como la huella digital o el iris, entre otras aplicaciones que evitan las posibilidades de fraude”.
Me llama la atención la afirmación del director de Mercadotécnica de Gemalto, Dimas Goméz, al asegurar que “Hasta el día de hoy no habido un caso de clonación con este chip. Disminuye a cero la probabilidad de clonación”. Primero que todo, no es posible asegurar un 0% de posibilidad del mismo modo que no existe un nivel de seguridad del 100%. Por otro lado, ¿Y si no fuera necesario clonar la tarjeta para realizar el fraude? Esto fue lo que descubrieron investigadores de la Universidad de Cambridge al realizar un ataque de hombre en el medio (man-in-the-middle) aprovechándose de una vulnerabilidad contenida en el estándar EMV (Europay Mastercard Visa) de las actuales tarjetas inteligentes. El fallo consiste en que el subprotocolo de negociación de cómo el usuario de la tarjeta debe ser verificado (PIN, firma o ningún método) no es autenticado por lo que es posible engañar a la tarjeta haciéndola pensar que está haciendo una transacción Chip-Firma cuando en realidad está haciendo una transacción del tipo Chip-PIN:
Lo más relevante sobre este ataque es que:
- El ataque aplica tanto a tarjetas usadas en línea (con conexión a la entidad bancaria) como con tarjetas que se utilicen en datafonos sin red
- El ataque funciona para cualquier monto de dinero que se desee (no tiene límite)
- El ataque no funciona una vez el banco cancela la tarjeta
- El ataque no funciona en cajeros automáticos
- La falla aplica para esquemas de tarjetas de crédito basados en el estándar EMV (Europay – Mastercard – Visa) el cual es el caso de Colombia
En conclusión: El protocolo EMV tiene una falla en el método de autenticación del código PIN (o clave secreta como la llamamos en mi país) por lo que es posible realizar transacciones débito en un datafono sin la necesidad de proporcionar la clave correcta. La solución al problema se encuentra en la misma definición del protocolo EMV por lo que se requiere de bastante esfuerzo para migrar los sistemas que soportan las aproximadamente 730 millones de tarjetas en el mundo que utilizan el estándar.
Por otro lado, actualmente se requieren varios dispositivos de hardware para realizar el fraude por lo que es necesario contar con una tarjeta robada lo cual le da tiempo al cliente de evitar el ataque cancelando la tarjeta en la entidad bancaria. Adicionalmente pienso que, a pesar de los hallazgos encontrados, el nivel de sofisticación de un ataque a una tarjeta inteligente es mucho mayor que el que se puede llevar a cabo en una tarjeta de tecnología antigua con banda magnética por lo que lo recomendable es seguir las recomendaciones de seguridad que proporcionan las entidades bancarias debido a que, si bien no existe un 100% de protección contra el fraude, si se puede tomar medidas y controles para minimizar ésta posibilidad.
Finalmente una pregunta abierta: ¿Deberíamos empezar a pensar en autenticación mediante métodos biométricos para realizar transacciones financieras? (Huella dactilar, Iris, Facciones etc…)
PD: Si desean profundizar en el tema en este link pueden encontrar el paper técnico en donde se explica en detalle el tema.
PD2: Un video de la BBC en donde muestran y explican el ataque:
Tags: chip, emv, fallo, fraude, tarjeta inteligente
May 27th, 2010 at 2:45 pm
Hola Carlos, he encontrado algunos elementos discutibles en su análisis del estudio de la Universidad de Cambridge y la implementación del estándar EMV en nuestro país. Si bien es cierto que el estudio expone un “gap” de seguridad en la autenticación de algunas tarjetas y transacciones EMV, este no puede generalizarse en todas las implementaciones de EMV que se están dando en los diferentes mercados del mundo, porque los mecanismos de autenticación pueden variar de un país a otro, pueden variar según el banco e incluso variar según el tipo de tarjeta EMV a utilizar.Particularmente en nuestro país por las implementaciones que he podido revisar, este “gap” no aplica tal como lo exponen los investigadores de Cambridge.
June 1st, 2010 at 7:57 pm
Felipe: Enfocándonos en Colombia y a nivel muy técnico me gustaría que especificara lo siguiente: ¿Para cúal implementación específicamente este gap no aplica? ¿Cuáles son los elementos técnicos que se deben tener en cuenta para que este fallo no impacte las tarjetas crédito y débito que se están implementando en Colombia? Lo pregunto porque en la Circular 052 de 2007 expedida por la Superintendencia Financiera de Colombia, en el numeral 4.5.2 se exige cumplir con el estándar EMV (Europay, MasterCard y Visa). Si este estándar tiene alguna falla y usted conoce técnicamente la forma de implementar el mecanismo de autenticación para que no se pueda realizar este ataque man-in-the-middle, me parece importante compartirlo con las demás entidades financieras con el fin de proteger a sus clientes y al sistema financiero en general.
June 1st, 2010 at 9:42 pm
[...] ZTIC es un lector de tarjetas inteligentes (lo que se conoce como tarjetas chip en Colombia) que se conecta al puerto USB desde donde se va a realizar la transacción [...]