Las tarjetas de pago son elementos con los que actualmente estamos muy familiarizados. Estas tarjetas nos hacen la vida más fácil, ya que nos permiten realizar transacciones monetarias sin llevar dinero encimo y prácticamente todos disponer de, al menos, una que usamos a diario.
Pero, ¿Somos conscientes de los riesgos asociados a su uso? ¿Conocemos los controles de seguridad que se implementan? ¿Sabemos si estos controles presentan debilidades?
Un poco de historia
La forma de realizar transacciones ha ido evolucionando a lo largo de la historia. Lo que en un principio era el intercambio de cosas (cabras por madera, sal por pimientos, huevos por tomates,…) ha ido evolucionando con el paso del tiempo. Primero inventamos el dinero, universalizando el intercambio a un único elemento, y posteriormente inventamos las tarjetas, que se convertirían en uno de los elementos determinantes en el impulso económico.
Al contrario de lo que muchos podemos pensar, las tarjetas de pago no nacen en los bancos, sino en negocios como restaurantes o gasolineras, que en la década de 1920 publican sus tarjetas de pago y fidelización. No fue hasta 1946 que un banco emitió su primera tarjeta de crédito y desde entonces han ido evolucionando hasta lo que conocemos hoy en día.
Actualmente coexisten las tarjetas de pago y fidelización que permiten operar en negocios concretos con las tarjetas de pago bancarias que permiten pagar en cualquier tipo de negocio a través de diversos medios. Las tarjetas más entendidas pertenecen a VISA, Mastercard y American Express.
Los actores y los datos de un pago
Las tarjetas de pago actuales pueden ser utilizadas a través de diversos medios. Una misma tarjeta nos va a servir para pagar cara-a-cara en un comercio, pagar a través de Internet o pagar telefónicamente, pero los actores que intervienen en un pago o transacción son siempre los mismos:
- Cardholder: Propietario de la tarjeta (El que paga).
- Merchant: El comercio (El que cobra).
- Issuer bank / Merchant bank: Los intermediarios.
Para que la transacción se pueda realizar es necesario que el cardholder y el merchant pongan a disposición de los bancos los siguientes datos:
- PAN (Personal Account Number): El número de la tarjeta.
- Merchant ID: El identificador del comercio.
- Amount: Cantidad monetaria.
Actualmente la mayoría de las transacciones se realizan proporcionando más información, cuyo objetivo es establecer controles de seguridad que eviten el fraude.
La siguiente imagen resume el proceso de pago actual:
Los controles de seguridad
Debido a su naturaleza las tarjetas de pago se convierten rápidamente en un objetivo para los criminales y las mafias que ven en ellas una gran oportunidad para cometer fraude. Para tratar de evitarlo se establecen dos controles de seguridad:
- Card Authentication: Evalúa la autenticidad de una tarjeta, con el objetivo de evitar que alguien pueda crear tarjetas falsas.
- Cardholder Verification: Evalúa que la persona que presenta una tarjeta es el auténtico propietario, con el objetivo de evitar que alguien pueda hacer uso de una tarjeta que no es suya (por ejemplo una tarjeta robada).
Estos controles de seguridad pueden implementarse en modo offline y modo online. En el modo offline la tarjeta es capaz de realizar los controles de forma completamente autónoma sin la necesidad de que haya comunicación con otros elementos externos, mientras que en el modo online intervienen otros elementos del backend bancario. En el modo online el TPV (Terminal Punto de Venta) puede comunicarse con dicho backend para realizar verificaciones, mientras que en el modo offline no.
Generación tras generación
Desde su creación, las tarjetas de pago han ido evolucionando y mejorando, dando lugar a diversas generaciones.
La primera generación de tarjetas de pago eran tarjetas de papel o plástico que tenían un número apuntado (en ocasiones a bolígrafo). Para facilitar la toma de datos y evitar que fuera necesario apuntar los números cada vez se empezaron a usar tarjetas con relieve en los números de manera que estos podrían ser calcados con facilidad usando máquinas específicas.
Inicialmente no existía ningún tipo de card authentication más allá de que el número fuera válido cumpliendo una serie de checksums, pero más adelante se incorporaron algunos elementos como los hologramas.
Para verificar la identidad del propietario se usaba algún elemento identificativo, como puede ser el DNI, y la firma correspondiente. No es necesario ser un genio para darse cuenta de que los controles de seguridad establecidos eran excesivamente pobres y que cometer fraude no conllevaba ninguna dificultad, pues bastaba con crear una tarjeta de papel o plástico idéntica a la original y falsear la firma en el momento de hacer el pago.
Para la segunda generación de tarjetas se incorporan las bandas magnéticas, cuyo objetivo es acelerar los pagos facilitando la obtención de los datos mediante un lector de banda magnética.
Además posibilita que, si se desea, el número no esté escrito y no sea visible, algo que se desestima por temas de compatibilidad con los lectores calcadores antiguos.
Para evitar la falsificación de tarjetas se mantienen los controles anteriores y se añade a la banda magnética un CVC (Card Verification Code) que no es visible. Con esto evitan que conociendo un número de tarjeta sea posible crear una banda magnética válida, sin embargo no evita el clonado de bandas magnéticas.
La verificación del propietario sigue haciéndose mediante el DNI y la firma, aunque en algunos casos se incorpora a la tarjeta una foto facial del propietario.
Esta generación coincide con la aparición de los cajeros automáticos que interactúan con este tipo de tarjetas y con el boom del crédito, por lo que su uso aumenta de manera significativa, convirtiéndose en auténticos objetivos para los defraudadores y las mafias.
A continuación se presentan algunos de los escenarios de ataque posibles a esta generación de tarjetas:
- Provocar un fallback inhabilitando la banda magnética de la tarjeta, por ejemplo mediante un imán. En algunos comercios seguirán operando como si las tarjetas fueran de primera generación mediante el calcador o apuntando los números.
- Clonar tarjetas es muy sencillo, basta con leer una tarjeta original y plasmar la información bit-a-bit en otra tarjeta. Las formas de leer tarjetas ajenas puede variar: lectores falsos en cajeros automáticos, camareros de restaurantes con lectores, etc.
- El fraude en Internet es relativamente sencillo, pues basta con conocer el número de tarjeta, la fecha de caducidad (datos visibles y contenidos en la banda magnética), y en algunos casos (cada vez más) un CVC2 visible en el dorso de la tarjeta.
Debido al aumento exponencial del fraude para la tercera generación se adopta el uso de tarjetas inteligentes o smartcards, que gracias a su capacidad de procesamiento permiten implementar controles de seguridad más sofisticados. El funcionamiento de este tipo de tarjetas y sus controles de seguridad quedan definidos en el estándar EMV (Europay Mastercard and Visa) mantenido por EMVco.
El estándar EMV es muy amplio y se caracteriza por su flexibilidad a la hora de configurar las tarjetas. Se definen tres métodos distintos para autenticar la tarjeta y varios métodos para verificar al propietario.
Los métodos para autenticar las tarjetas son:
- SDA (Static Data Authentication): Mediante un sistema de PKI se firman todos los datos contenidos en la tarjeta. La verificación de que los datos son correctos puede hacerse online y offline.
- DDA (Dynamic Data Authentication): Mediante criptografía y un sistema de clave asimétrica se genera una firma dinámica de los datos. Es importante, y EMV obliga a ello, que entre los datos firmados se incluya un número no predecible generado por el terminal. La verificación de los datos puede hacerse online y offline.
- CDA (Combined Data Authentication): Al igual que con el método DDA se genera una firma dinámica de los datos, pero además se incluye la generación de uno o varios criptogramas (generalmente uno para autenticar la tarjeta y otro para validar la transacción).
Los métodos para verificar el propietario son (algunos de puede combinarse entre ellos):
- PIN online: Se solicita el PIN al propietario y éste se valida online.
- PIN offline cifrado: Se solicita el PIN al propietario y éste se valida offline contra la propia tarjeta enviándolo cifrado.
- PIN offline sin cifrar: Se solicita el PIN al propietario y éste se valida offline contra la propia tarjeta enviándolo en texto plano.
- Firma: Se solicita al propietario que se identifique (mediante el DNI) y que firme un resguardo.
- No requerido: No se solicita verificación. Actualmente es usado, sobre todo, en micro-pagos contactless.
Gracias a los controles de seguridad establecidos el fraude se reduce considerablemente, sin embargo siguen existiendo ataques a realizar en algunos casos:
- Sigue siendo posible provocar un fallback inhabilitando el chip y forzando el uso de la banda magnética.
- Las tarjetas que implementan el mecanismo autenticación SDA son vulnerables a ataques de replay, ya que los datos usados para autenticar son siempre iguales y no cambia en cada petición.
- La verificación de PIN offline puede evadirse usando hardware específico (por ejemplo SmartCard Detective) que, colocándose en medio de la comunicación entre la tarjeta y el terminal, responden siempre OK a la introducción de un PIN aunque este sea inválido.
- Si el número no predecible usado por los métodos de autenticación DDA y CDA es predecible (como se ha comprobado que ocurre en algunos cajeros automáticos) es posible atacar al criptograma en lo que se conoce como ataques de preplay.
- Otros: Está en proyecto la ampliación de métodos, por ejemplo con autenticación biométrica, obtención de autenticación de elementos externos (como un teléfono móvil), etc.
Existe una generación impás que podríamos llamar tercera generación y media que consiste, básicamente, en cambiar la interfaz física de comunicación para que ésta se realice sin contacto a través de NFC. Son las tarjetas llamadas que el ámbito comercial se han hecho llamar contactless.
Estas tarjetas pueden ser interrogadas colocando un lector NFC en el radio de acción, que suelen ser unos pocos centímetros (entre 3 y 5). Se sigue utilizando el estándar EMV pero con algunas modificaciones que permiten acelerar el proceso simplificando la comunicación y sacrificando, en parte, la seguridad:
En el caso de CDA no es posible generar los dos criptogramas en el tiempo en que la tarjeta está expuesta al lector, por lo que se genera un sólo criptograma que pretende hacer las dos funcionalidades; autenticar la tarjeta y autorizar la transacción.
También con el objetivo de acelerar el proceso de pago se ha optado por omitir la verificación del propietario en micropagos (normalmente inferiores a 20€), por lo que no se solicitará el PIN.
Todo esto ocasiona que a los riesgos ya comentados se le añadan algunos nuevos, algunos de los cuales tienen impacto directo sobre el fraude y otros únicamente sobre la confidencialidad de los datos:
- Es más complicado controlar quien interactúa con una tarjeta. A través de NFC cualquiera que esté lo suficientemente cerca puede interrogarla y obtener diversos datos entre los que se encuentran: PAN, fecha de caducidad, nombre completo del propietario, etc.
- Un TPV podría interactuar con una tarjeta y tramitar un micro-pago sin la intervención del propietario de la tarjeta. Por ejemplo el propietario de un comercio podría entrar con él en el metro y realizar cobros a la gente cercana.
- Las comunicaciones entre la tarjeta y el terminal no van cifradas, ya que ni EMV ni NFC lo implementa, por lo que alguien que disponga de un hardware específico puede llegar a interceptar una comunicación si se encuentra lo suficientemente cerca.
- Una tarjeta robada puede ser usada para realizar micro-pagos, ya que no se verifica la identidad del propietario
La mayoría de los riesgos que pueden ocasionar fraude pueden quedar mitigados por controles de seguridad implementados en backend, que es lo que hacen la mayoría de los bancos. Por ejemplo; limitando el la cantidad de micro-pagos sin PIN que se pueden hacer consecutivamente (si se supera el límite pedirá el PIN aunque se trate de un micropago).
Sin embargo debemos considerar que los problemas de confidencialidad también pueden desencadenar fraude, ya que existen numerosas páginas web (entre las que se encuentra Amazon) que no solicitan el CVC2 al realizar un pago con tarjeta de crédito. Basta con disponer del PAN y la fecha de caducidad, datos que pueden ser obtenidos interrogando la tarjeta.
La cuarta generación de tarjetas de crédito no son realmente tarjetas de crédito. Estamos entrando en una era en la que los teléfonos móviles son capaces de hacer de todo; navegar por internet, recibir correo electrónico, mensajería instantánea, juegos y aplicaciones de todo tipo, etc. Y como no podía ser menos; pagar usando la interfaz NFC con la que se ha dotado a algunos de los teléfonos.
Existen diversas aplicaciones que pretenden convertir un móvil con NFC en una tarjeta de crédito: Google Wallet, CaixaWallet, etc. Lo que hacen estas aplicaciones es emular el funcionamiento de una smartcard y EMV a través de la interfaz NFC del teléfono.
Su uso aún está poco extendido pero el 2013 podría ser el año de su consolidación, que vendrá acompañada de diversos riesgos:
- Una tarjeta smartcard puede trabajar en entornos hostiles gracias a sus controles de seguridad vía hardware. Algunos teléfonos actuales proporcionan un mecanismo de Secure Environment que puede ser usado por los wallet, pero este no está tan auditado y analizado como las smartcard.
- Las tarjetas de pago están diseñadas para un uso específico, sin embargo el uso de los teléfonos móviles es mucho más generalista. En el mismo entorno que el wallet se ejecutan juegos, se accede al correo electrónico, se navega por internet, etc. Aplicaciones malintencionadas podrían tratar de comprometer el wallet para obtener datos sensibles o cometer fraude.
Autor: Albert Puigsech - CEH, CEI, OPST, PCI ASV
Departamento de Auditoría