EMV

Estándar de tarjeta de pago inteligente

Una tarjeta de crédito EMV

EMV es un método de pago basado en un estándar técnico para tarjetas de pago inteligentes y para terminales de pago y cajeros automáticos que pueden aceptarlas. EMV son las siglas de " Europay " , "Mastercard" y "Visa ", las tres empresas que crearon el estándar. ^[1]

Las tarjetas EMV son tarjetas inteligentes , también llamadas tarjetas con chip, tarjetas de circuito integrado o tarjetas IC, que almacenan sus datos en chips de circuito integrado , además de bandas magnéticas para compatibilidad con versiones anteriores . Estas incluyen tarjetas que deben insertarse físicamente o "sumergirse" en un lector, así como tarjetas sin contacto que pueden leerse a corta distancia utilizando tecnología de comunicación de campo cercano . Las tarjetas de pago que cumplen con el estándar EMV a menudo se denominan tarjetas con chip y PIN o tarjetas con chip y firma , según los métodos de autenticación empleados por el emisor de la tarjeta, como un número de identificación personal (PIN) o una firma electrónica . Existen estándares, basados ​​en ISO/IEC 7816 , para tarjetas con contacto, y basados ​​en ISO/IEC 14443 para tarjetas sin contacto ( Mastercard Contactless , Visa PayWave , American Express ExpressPay ). ^{[2] [ se necesita una mejor fuente ]}

Historia

Hasta la introducción del chip y el PIN, todas las transacciones cara a cara con tarjetas de crédito o débito implicaban el uso de una banda magnética o una impresión mecánica para leer y registrar los datos de la cuenta, y una firma para verificar la identidad. El cliente entrega su tarjeta al cajero en el punto de venta , quien luego la pasa por un lector magnético o realiza una impresión a partir del texto en relieve de la tarjeta. En el primer caso, el sistema verifica los detalles de la cuenta e imprime un comprobante para que el cliente firme. En el caso de una impresión mecánica, se completan los detalles de la transacción, se consulta una lista de números robados y el cliente firma el comprobante impreso. En ambos casos, el cajero debe verificar que la firma del cliente coincida con la del reverso de la tarjeta para autenticar la transacción.

El uso de la firma en la tarjeta como método de verificación presenta una serie de fallos de seguridad, el más evidente de los cuales es la relativa facilidad con la que las tarjetas pueden desaparecer antes de que sus legítimos propietarios puedan firmarlas. Otro de ellos es el borrado y reemplazo de la firma legítima, y ​​otro más es la falsificación de la firma correcta.

La invención del chip de circuito integrado de silicio en 1959 condujo a la idea de incorporarlo en una tarjeta inteligente de plástico a finales de la década de 1960 por dos ingenieros alemanes, Helmut Gröttrup y Jürgen Dethloff . ^[3] Las primeras tarjetas inteligentes se introdujeron como tarjetas de llamada en la década de 1970, antes de ser adaptadas posteriormente para su uso como tarjetas de pago . ^{[4] [5]} Desde entonces, las tarjetas inteligentes han utilizado chips de circuito integrado MOS , junto con tecnologías de memoria MOS como la memoria flash y la EEPROM ( memoria de solo lectura programable y borrable eléctricamente ). ^[6]

El primer estándar para tarjetas de pago inteligentes fue la Carte Bancaire B0M4 de Bull-CP8, que se implementó en Francia en 1986, seguida por la B4B0' (compatible con la M4) que se implementó en 1989. La Geldkarte en Alemania también es anterior a EMV. EMV fue diseñado para permitir que las tarjetas y terminales fueran compatibles con versiones anteriores de estos estándares. Desde entonces, Francia ha migrado toda su infraestructura de tarjetas y terminales a EMV.

EMV son las siglas de Europay, Mastercard y Visa, las tres empresas que crearon el estándar. El estándar ahora es administrado por EMVCo , un consorcio cuyo control se divide equitativamente entre Visa, Mastercard, JCB , American Express , China UnionPay y Discover. ^[7] EMVCo acepta comentarios públicos sobre sus borradores de estándares y procesos, pero también permite que otras organizaciones se conviertan en "Asociados" y "Suscriptores" para una colaboración más profunda. ^[8] JCB se unió al consorcio en febrero de 2009, China UnionPay en mayo de 2013, ^[9] y Discover en septiembre de 2013. ^[10]

Los principales proveedores de tarjetas y chips EMV son: ABnote (American Bank Corp), CPI Card Group, IDEMIA (de la fusión de Oberthur Technologies y Safran Identity & Security (Morpho) en 2017), Gemalto (adquirida por Thales Group en 2019), Giesecke & Devrient y Versatile Card Technology. ^[11]

Diferencias y beneficios

Existen dos ventajas principales en la adopción de sistemas de pago con tarjeta de crédito basados ​​en tarjetas inteligentes: una mayor seguridad (con la consiguiente reducción del fraude) y la posibilidad de un control más preciso de las aprobaciones de transacciones con tarjeta de crédito "fuera de línea". Uno de los objetivos originales de EMV era permitir múltiples aplicaciones en una tarjeta: una aplicación de tarjeta de crédito y débito o una billetera electrónica. Las tarjetas de débito de nueva emisión en los EE. UU. ^{[ ¿cuándo? ]} contienen dos aplicaciones: una aplicación de asociación de tarjetas (Visa, Mastercard, etc.) y una aplicación de débito común. El ID de aplicación de débito común es un nombre un tanto inapropiado, ya que cada aplicación de débito "común" en realidad utiliza la aplicación de asociación de tarjeta residente. ^[12]

Las transacciones con tarjetas con chip EMV mejoran la seguridad contra el fraude en comparación con las transacciones con tarjetas de banda magnética que dependen de la firma del titular y la inspección visual de la tarjeta para verificar características como el holograma . El uso de un PIN y algoritmos criptográficos como Triple DES , RSA y SHA proporcionan autenticación de la tarjeta al terminal de procesamiento y al sistema host del emisor de la tarjeta. El tiempo de procesamiento es comparable a las transacciones en línea, en las que el retraso de las comunicaciones representa la mayor parte del tiempo, mientras que las operaciones criptográficas en el terminal toman comparativamente poco tiempo. La supuesta mayor protección contra el fraude ha permitido a los bancos y emisores de tarjetas de crédito impulsar un "cambio de responsabilidad", de modo que los comerciantes ahora son responsables (a partir del 1 de enero de 2005 en la región de la UE y el 1 de octubre de 2015 en los EE. UU.) de cualquier fraude que resulte de transacciones en sistemas que no son compatibles con EMV. ^{[1] [13] [14]} La mayoría de las implementaciones de tarjetas y terminales EMV confirman la identidad del titular de la tarjeta al requerir la entrada de un número de identificación personal (PIN) en lugar de firmar un recibo en papel. La autenticación mediante PIN o no depende de las capacidades del terminal y de la programación de la tarjeta.

Cuando se introdujeron por primera vez las tarjetas de crédito, los comerciantes utilizaban impresoras portátiles de tarjetas mecánicas en lugar de magnéticas que requerían papel carbón para hacer una impresión. No se comunicaban electrónicamente con el emisor de la tarjeta y la tarjeta nunca se alejaba de la vista del cliente. El comerciante tenía que verificar las transacciones que superaban un cierto límite de divisas llamando por teléfono al emisor de la tarjeta. Durante la década de 1970 en los Estados Unidos, muchos comerciantes se suscribían a una lista actualizada periódicamente de números de tarjetas de crédito robadas o inválidas. Esta lista se imprimía comúnmente en forma de cuadernillo en papel de periódico, en orden numérico, como una guía telefónica delgada, pero sin ningún otro dato aparte de la lista de números inválidos. Se esperaba que los cajeros hojearan este cuadernillo cada vez que se presentaba una tarjeta de crédito para el pago de cualquier monto, antes de aprobar la transacción, lo que generaba una breve demora. ^[15]

Más tarde ^{[ ¿cuándo? ]} , los equipos se comunicaban electrónicamente con el emisor de la tarjeta, utilizando la información de la banda magnética para verificar la tarjeta y autorizar la transacción. Esto era mucho más rápido que antes, pero requería que la transacción se realizara en un lugar fijo. En consecuencia, si la transacción no se realizaba cerca de una terminal (en un restaurante, por ejemplo), el empleado o camarero tenía que retirar la tarjeta del cliente y llevarla a la máquina de tarjetas. Era fácilmente posible en cualquier momento que un empleado deshonesto pasara la tarjeta subrepticiamente por una máquina barata que registraba instantáneamente la información de la tarjeta y la banda; de hecho, incluso en la terminal, un ladrón podía agacharse frente al cliente y pasar la tarjeta por un lector oculto. Esto hizo que la clonación ilegal de tarjetas fuera relativamente fácil y una ocurrencia más común que antes. ^{[ cita requerida ]}

Desde la introducción del chip y el PIN de las tarjetas de pago, la clonación del chip no es factible; sólo se puede copiar la banda magnética, y una tarjeta copiada no se puede utilizar por sí sola en un terminal que requiera un PIN. La introducción del chip y el PIN coincidió con la abaratamiento y la generalización de la tecnología de transmisión inalámbrica de datos . Además de los lectores magnéticos basados ​​en teléfonos móviles, el personal del comercio puede ahora llevar a los clientes teclados PIN inalámbricos, de modo que la tarjeta nunca esté fuera de la vista del titular. De este modo, tanto las tecnologías de chip y PIN como las tecnologías inalámbricas se pueden utilizar para reducir los riesgos de deslizamiento no autorizado y clonación de tarjetas. ^[16]

Chip y PIN frente a chip y firma

El chip y el PIN son uno de los dos métodos de verificación que pueden emplear las tarjetas con tecnología EMV. ^[15] En lugar de firmar físicamente un recibo para fines de identificación, el usuario ingresa un número de identificación personal (PIN), que normalmente tiene entre cuatro y seis dígitos. Este número debe corresponder a la información almacenada en el chip o PIN en el Host. La tecnología de chip y PIN hace que sea mucho más difícil para los estafadores utilizar una tarjeta encontrada, ya que si alguien roba una tarjeta, no puede realizar compras fraudulentas a menos que conozca el PIN.

Por otro lado, el chip y la firma se diferencian del chip y el PIN al verificar la identidad del consumidor con una firma. ^[17]

A partir de 2015, las tarjetas con chip y firma son más comunes en los EE. UU., México, partes de América del Sur (como Argentina y Perú) y algunos países asiáticos (como Taiwán, Hong Kong, Tailandia, Corea del Sur, Singapur e Indonesia), mientras que las tarjetas con chip y PIN son más comunes en la mayoría de los países europeos (por ejemplo, el Reino Unido, Irlanda, Francia, Portugal, Finlandia y los Países Bajos), así como en Irán, Brasil, Colombia, Venezuela, India, Sri Lanka, Canadá, Australia y Nueva Zelanda. ^{[18] [19]}

Transacciones en línea, por teléfono y por correo

Si bien la tecnología EMV ha ayudado a reducir el crimen en el punto de venta, las transacciones fraudulentas se han trasladado a transacciones más vulnerables por teléfono , Internet y pedidos por correo , conocidas en la industria como transacciones sin tarjeta presente o CNP. ^[20] Las transacciones CNP representaron al menos el 50% de todos los fraudes con tarjetas de crédito. ^[21] Debido a la distancia física, no es posible que el comerciante presente un teclado al cliente en estos casos, por lo que se han ideado alternativas, incluyendo

• Enfoques de software para transacciones en línea que implican interacción con el sitio web del banco o la red emisora ​​de la tarjeta, como Verified by Visa y Mastercard SecureCode (implementaciones del protocolo 3-D Secure de Visa ). 3-D Secure está siendo reemplazado por la autenticación reforzada de clientes , tal como se define en la Segunda Directiva Europea sobre Servicios de Pago .
• Creación de una tarjeta virtual de un solo uso vinculada a una tarjeta física con un importe máximo determinado.
• Hardware adicional con teclado y pantalla que puede producir una contraseña de un solo uso , como el Programa de Autenticación de Chip .
• Teclado y pantalla integrados en tarjetas complejas para generar una contraseña de un solo uso . Desde 2008, Visa ha estado ejecutando proyectos piloto utilizando la tarjeta Emue, donde el número generado reemplaza el código impreso en el reverso de las tarjetas estándar. ^[22]

En cuanto a cuál es más rápido, The New York Times explicó que es una cuestión de percepción: mientras que el método del chip requiere que el chip permanezca en la máquina hasta que se complete la transacción y el proceso de autorización, el método de deslizar el teléfono hace la autorización en segundo plano; un recibo comienza a salir de inmediato. ^[23]

Comandos

La norma ISO/IEC 7816-3 define el protocolo de transmisión entre tarjetas con chip y lectores. Mediante este protocolo, los datos se intercambian en unidades de datos de protocolo de aplicación (APDU). Esto incluye el envío de un comando a una tarjeta, su procesamiento por parte de la tarjeta y el envío de una respuesta. EMV utiliza los siguientes comandos:

• bloque de aplicación
• Desbloqueo de aplicaciones
• Bloque de tarjetas
• Autenticación externa (7816-4)
• generar criptograma de aplicación
• obtener datos (7816-4)
• obtener opciones de procesamiento
• Autenticación interna (7816-4)
• Cambiar PIN / desbloquear
• leer registro (7816-4)
• seleccionar (7816-4)
• verificar (7816-4).

Los comandos seguidos de "7816-4" están definidos en ISO/IEC 7816-4 y son comandos interindustriales utilizados para muchas aplicaciones de tarjetas con chip, como las tarjetas SIM GSM .

Flujo de transacciones

Una transacción EMV tiene los siguientes pasos: ^{[24] [ se necesita una fuente de terceros ]}

1. Selección de aplicaciones
2. Iniciar el procesamiento de la solicitud
3. Leer datos de la aplicación
4. Restricciones de procesamiento
5. Autenticación de datos sin conexión
6. Certificados
7. Verificación del titular de la tarjeta
8. Gestión de riesgos terminales
9. Análisis de la acción terminal
10. Análisis de la acción de la primera carta
11. Autorización de transacción en línea (sólo se realiza si así lo requiere el resultado de los pasos anteriores; obligatoria en cajeros automáticos)
12. Análisis de la acción de la segunda carta
13. Procesamiento de scripts del emisor

Selección de aplicaciones

La norma ISO/IEC 7816 define un proceso para la selección de aplicaciones. El objetivo de la selección de aplicaciones era permitir que las tarjetas contuvieran aplicaciones completamente diferentes, por ejemplo GSM y EMV. Sin embargo, los desarrolladores de EMV implementaron la selección de aplicaciones como una forma de identificar el tipo de producto, de modo que todos los emisores de productos (Visa, Mastercard, etc.) deben tener su propia aplicación. La forma en que se prescribe la selección de aplicaciones en EMV es una fuente frecuente de problemas de interoperabilidad entre tarjetas y terminales. El Libro 1 ^[25] de la norma EMV dedica 15 páginas a describir el proceso de selección de aplicaciones.

Un identificador de aplicación (AID) se utiliza para identificar una aplicación en la tarjeta o en la emulación de tarjeta host (HCE) si se entrega sin tarjeta. Un AID consiste en un identificador de proveedor de aplicación registrado (RID) de cinco bytes, que es emitido por la autoridad de registro ISO/IEC 7816-5. A esto le sigue una extensión de identificador de aplicación (PIX) patentada , que permite al proveedor de la aplicación diferenciar entre las diferentes aplicaciones ofrecidas. El AID está impreso en todos los recibos de titulares de tarjetas EMV. Los emisores de tarjetas pueden alterar el nombre de la aplicación a partir del nombre de la red de tarjetas.

Lista de aplicaciones:

Iniciar el procesamiento de la solicitud

El terminal envía el comando de obtención de opciones de procesamiento a la tarjeta. Al emitir este comando, el terminal proporciona a la tarjeta cualquier elemento de datos solicitado por la tarjeta en la lista de objetos de datos de opciones de procesamiento (PDOL). La PDOL (una lista de etiquetas y longitudes de elementos de datos) es proporcionada opcionalmente por la tarjeta al terminal durante la selección de la aplicación. La tarjeta responde con el perfil de intercambio de aplicaciones (AIP), una lista de funciones a realizar en el procesamiento de la transacción. La tarjeta también proporciona el localizador de archivos de aplicaciones (AFL), una lista de archivos y registros que el terminal necesita leer de la tarjeta. ^{[ cita requerida ]}

Leer datos de la aplicación

Las tarjetas inteligentes almacenan datos en archivos. El AFL contiene los archivos que contienen datos EMV. Todos ellos deben leerse utilizando el comando read record. EMV no especifica en qué archivos se almacenan los datos, por lo que deben leerse todos los archivos. Los datos de estos archivos se almacenan en formato BER TLV . EMV define valores de etiqueta para todos los datos utilizados en el procesamiento de tarjetas. ^[28]

Restricciones de procesamiento

El objetivo de las restricciones de procesamiento es comprobar si la tarjeta debe utilizarse. Se comprueban tres elementos de datos leídos en el paso anterior: número de versión de la aplicación, control de uso de la aplicación (muestra si la tarjeta es solo para uso doméstico, etc.) y comprobación de la fecha de vigencia/expiración de la aplicación. ^{[ cita requerida ]}

Si alguna de estas comprobaciones falla, la tarjeta no necesariamente se rechaza. El terminal establece el bit apropiado en los resultados de verificación del terminal (TVR), cuyos componentes forman la base de una decisión de aceptación o rechazo más adelante en el flujo de la transacción. Esta característica permite, por ejemplo, que los emisores de tarjetas permitan a los titulares de tarjetas seguir utilizando tarjetas vencidas después de su fecha de vencimiento, pero que todas las transacciones con una tarjeta vencida se realicen en línea. ^{[ cita requerida ]}

Autenticación de datos fuera de línea (ODA)

La autenticación de datos fuera de línea es una comprobación criptográfica para validar la tarjeta mediante criptografía de clave pública . Hay tres procesos diferentes que se pueden llevar a cabo según la tarjeta: ^{[ cita requerida ]}

• La autenticación de datos estáticos (SDA) garantiza que los datos leídos de la tarjeta hayan sido firmados por el emisor de la misma. Esto evita la modificación de los datos, pero no la clonación.
• La autenticación dinámica de datos (DDA) proporciona protección contra la modificación de datos y la clonación.
• La combinación de DDA y generación de criptograma de aplicación (CDA) combina la DDA con la generación de un criptograma de aplicación de la tarjeta para garantizar su validez. Es posible que sea necesario que los dispositivos admitan CDA, ya que este proceso se ha implementado en mercados específicos. Este proceso no es obligatorio en los terminales y solo se puede llevar a cabo cuando tanto la tarjeta como el terminal lo admiten. ^{[ cita requerida ]}

Certificados EMV

Para verificar la autenticidad de las tarjetas de pago, se utilizan certificados EMV. La autoridad de certificación EMV ^[29] emite certificados digitales a los emisores de tarjetas de pago. Cuando se lo solicita, el chip de la tarjeta de pago proporciona el certificado de clave pública y el SSAD del emisor de la tarjeta al terminal. El terminal recupera la clave pública de la CA del almacenamiento local y la utiliza para confirmar la confianza en la CA y, si es de confianza, para verificar que la clave pública del emisor de la tarjeta fue firmada por la CA. Si la clave pública del emisor de la tarjeta es válida, el terminal utiliza la clave pública del emisor de la tarjeta para verificar que el SSAD de la tarjeta fue firmado por el emisor de la tarjeta. ^[30]

Verificación del titular de la tarjeta

La verificación del titular de la tarjeta se utiliza para evaluar si la persona que presenta la tarjeta es el titular legítimo de la misma. Existen muchos métodos de verificación del titular de la tarjeta (CVM) compatibles con EMV. Son ^{[ cita requerida ]}

• Firma
• PIN de texto simple sin conexión
• PIN cifrado sin conexión
• PIN y firma de texto simple sin conexión
• PIN y firma cifrados sin conexión
• PIN en línea
• No se requiere CVM
• Dispositivo de consumo CVM
• Error en el procesamiento de CVM

El terminal utiliza una lista de CVM que se lee de la tarjeta para determinar el tipo de verificación que se debe realizar. La lista de CVM establece una prioridad de los CVM que se deben utilizar en relación con las capacidades del terminal. Los distintos terminales admiten distintos CVM. Los cajeros automáticos generalmente admiten PIN en línea. Los terminales POS varían en su compatibilidad con CVM según el tipo y el país. ^{[ cita requerida ]}

En el caso de los métodos de PIN cifrados sin conexión, el terminal cifra el bloque de PIN en texto sin formato con la clave pública de la tarjeta antes de enviarlo a la tarjeta con el comando Verificar. En el caso del método de PIN en línea, el terminal cifra el bloque de PIN en texto sin formato utilizando su clave de cifrado punto a punto antes de enviarlo al procesador del adquirente en el mensaje de solicitud de autorización.

Todos los métodos fuera de línea son vulnerables a ataques de intermediarios. En 2017, EMVCo agregó compatibilidad con métodos de verificación biométrica en la versión 4.3 de las especificaciones EMV. ^[31]

Gestión de riesgos terminales

La gestión de riesgos de terminales solo se realiza en dispositivos en los que se debe tomar una decisión sobre si una transacción debe autorizarse en línea o fuera de línea. Si las transacciones se realizan siempre en línea (por ejemplo, cajeros automáticos) o siempre fuera de línea, este paso se puede omitir. La gestión de riesgos de terminales verifica el monto de la transacción con un límite máximo fuera de línea (por encima del cual las transacciones deben procesarse en línea). También es posible tener un 1 en un contador en línea y una verificación con una lista de tarjetas activas (que solo es necesaria para transacciones fuera de línea). Si el resultado de cualquiera de estas pruebas es positivo, el terminal establece el bit apropiado en los resultados de verificación del terminal (TVR). ^[32]

Análisis de la acción terminal

Los resultados de los pasos de procesamiento anteriores se utilizan para determinar si una transacción debe aprobarse fuera de línea, enviarse en línea para autorización o rechazarse fuera de línea. Esto se hace utilizando una combinación de objetos de datos conocidos como códigos de acción de terminal (TAC) almacenados en la terminal y códigos de acción del emisor (IAC) leídos de la tarjeta. El TAC se combina lógicamente con el IAC para dar al adquirente de la transacción un nivel de control sobre el resultado de la transacción. Ambos tipos de código de acción toman los valores Denegación, En línea y Predeterminado. Cada código de acción contiene una serie de bits que corresponden a los bits en los resultados de verificación de terminal (TVR) y se utilizan en la decisión del terminal de aceptar, rechazar o conectarse en línea para una transacción de pago. El TAC lo establece el adquirente de la tarjeta; en la práctica, los esquemas de tarjetas recomiendan las configuraciones del TAC que se deben usar para un tipo de terminal en particular según sus capacidades. El IAC lo establece el emisor de la tarjeta; algunos emisores de tarjetas pueden decidir que las tarjetas vencidas deben rechazarse, configurando el bit apropiado en el IAC de Denegación. Es posible que otros emisores deseen que la transacción se realice en línea, de modo que en algunos casos puedan permitir que se realicen estas transacciones. ^{[33] [ se necesita una mejor fuente ]}

Cuando un dispositivo que solo está en línea realiza el procesamiento IAC-Online y TAC-Online, el único bit TVR relevante es "El valor de la transacción excede el límite mínimo". Debido a que el límite mínimo está establecido en cero, la transacción siempre debe estar en línea y todos los demás valores en TAC-Online o IAC-Online son irrelevantes. Los dispositivos que solo están en línea no necesitan realizar el procesamiento IAC-default. Un dispositivo que solo está en línea, como un cajero automático, siempre intenta estar en línea con la solicitud de autorización, a menos que se rechace fuera de línea debido a la configuración de IAC-Denial. Durante el procesamiento IAC-Denial y TAC-Denial, para un dispositivo que solo está en línea, el único bit relevante de los resultados de la verificación de terminal es "Servicio no permitido". ^[34]

Análisis de la acción de la primera carta

Uno de los objetos de datos que se leen de la tarjeta en la etapa de lectura de datos de la aplicación es CDOL1 (lista de objetos de datos de la tarjeta). Este objeto es una lista de etiquetas que la tarjeta desea que se le envíen para tomar una decisión sobre si aprobar o rechazar una transacción (incluido el monto de la transacción, pero también muchos otros objetos de datos). El terminal envía estos datos y solicita un criptograma mediante el comando de generación de criptograma de aplicación. Según la decisión del terminal (fuera de línea, en línea, rechazar), el terminal solicita uno de los siguientes criptogramas de la tarjeta: ^{[ cita requerida ]}

• Certificado de transacción (TC): aprobación fuera de línea
• Criptograma de solicitud de autorización (ARQC): autorización en línea
• Criptograma de autenticación de aplicaciones (AAC): rechazo sin conexión

Este paso le da a la tarjeta la oportunidad de aceptar el análisis de la acción del terminal o rechazar una transacción o forzar una transacción en línea. La tarjeta no puede devolver un TC cuando se ha solicitado un ARQC, pero puede devolver un ARQC cuando se ha solicitado un TC. ^[34]

Autorización de transacciones en línea

Las transacciones se realizan en línea cuando se solicita un ARQC. El ARQC se envía en el mensaje de autorización. La tarjeta genera el ARQC. Su formato depende de la aplicación de la tarjeta. EMV no especifica el contenido del ARQC. El ARQC creado por la aplicación de la tarjeta es una firma digital de los detalles de la transacción, que el emisor de la tarjeta puede verificar en tiempo real. Esto proporciona una sólida verificación criptográfica de que la tarjeta es genuina. El emisor responde a una solicitud de autorización con un código de respuesta (aceptando o rechazando la transacción), un criptograma de respuesta de autorización (ARPC) y, opcionalmente, un script del emisor (una cadena de comandos que se enviarán a la tarjeta). ^[34]

El procesamiento de ARPC no se realiza en transacciones de contacto procesadas con Visa Quick Chip ^[35] para EMV y Mastercard M/Chip Fast, ^[36] y en transacciones sin contacto en todos los esquemas porque la tarjeta se retira del lector después de que se ha generado el ARQC.

Análisis de la acción de la segunda carta

CDOL2 (lista de objetos de datos de la tarjeta) contiene una lista de etiquetas que la tarjeta deseaba que se enviaran después de la autorización de la transacción en línea (código de respuesta, ARPC, etc.). Incluso si por alguna razón el terminal no pudiera conectarse en línea (por ejemplo, falla de comunicación), el terminal debería enviar estos datos a la tarjeta nuevamente utilizando el comando de criptograma de autorización de generación. Esto permite que la tarjeta conozca la respuesta del emisor. La aplicación de la tarjeta puede entonces restablecer los límites de uso fuera de línea.

Procesamiento de scripts del emisor

Si un emisor de tarjetas desea actualizar una tarjeta después de su emisión, puede enviar comandos a la tarjeta mediante el procesamiento de secuencias de comandos del emisor. Las secuencias de comandos del emisor no tienen significado para la terminal y se pueden cifrar entre la tarjeta y el emisor para proporcionar seguridad adicional. Las secuencias de comandos del emisor se pueden utilizar para bloquear tarjetas o cambiar parámetros de tarjetas. ^[37]

El procesamiento del script del emisor no está disponible en las transacciones de contacto procesadas con Visa Quick Chip ^[35] para EMV y Mastercard M/Chip Fast, ^[36] y para transacciones sin contacto en todos los esquemas.

Especificaciones del chip EMV

Almohadilla de contacto para la interfaz eléctrica en la parte frontal de una tarjeta de crédito

La primera versión del estándar EMV se publicó en 1995. Ahora el estándar está definido y administrado por la corporación privada EMVCo LLC. Los miembros actuales de EMVCo ^[38] son ​​American Express , Discover Financial , JCB International , Mastercard , China UnionPay y Visa Inc. Cada una de estas organizaciones posee una participación igualitaria de EMVCo y tiene representantes en la organización EMVCo y en los grupos de trabajo de EMVCo.

El reconocimiento de cumplimiento del estándar EMV (es decir, la certificación del dispositivo) es emitido por EMVCo luego de la presentación de los resultados de las pruebas realizadas por una empresa de pruebas acreditada. ^{[ cita requerida ]}

Las pruebas de conformidad con EMV tienen dos niveles: EMV Nivel 1, que cubre las interfaces físicas, eléctricas y de transporte, y EMV Nivel 2, que cubre la selección de aplicaciones de pago y el procesamiento de transacciones financieras de crédito. ^{[ cita requerida ]}

Después de pasar las pruebas comunes de EMVCo, el software debe ser certificado por las marcas de pago para cumplir con las implementaciones EMV patentadas como Visa VSDC, American Express AEIPS, Mastercard MChip, JCB JSmart o implementaciones compatibles con EMV de miembros no EMVCo como LINK en el Reino Unido o Interac en Canadá. ^{[ cita requerida ]}

Lista de documentos y estándares EMV

A partir de 2011, desde la versión 4.0, los documentos oficiales del estándar EMV que definen todos los componentes de un sistema de pago EMV se publican como cuatro "libros" y algunos documentos adicionales:

• Libro 1: Requisitos de interfaz de terminal para ICC independientes de la aplicación ^[25]
• Libro 2: Seguridad y gestión de claves ^[39]
• Libro 3: Especificación de la aplicación ^[40]
• Libro 4: Requisitos de interfaz entre el titular de la tarjeta, el asistente y el adquirente ^[41]
• Especificación de aplicación de pago común ^[42]
• Especificación de personalización de tarjetas EMV ^[43]

Versiones

El primer estándar EMV se presentó en 1995 con el nombre de EMV 2.0. En 1996 se actualizó a EMV 3.0 (a veces denominada EMV '96) y en 1998 se realizaron modificaciones a EMV 3.1.1. En diciembre de 2000 se modificó a su vez a la versión 4.0 (a veces denominada EMV 2000). La versión 4.0 entró en vigor en junio de 2004. La versión 4.1 entró en vigor en junio de 2007. La versión 4.2 está en vigor desde junio de 2008. La versión 4.3 está en vigor desde noviembre de 2011. ^[44]

Vulnerabilidades

Oportunidades para recolectar PIN y clonar bandas magnéticas

Además de los datos de la pista dos en la banda magnética, las tarjetas EMV generalmente tienen datos idénticos codificados en el chip, que se leen como parte del proceso normal de transacción EMV. Si un lector EMV se ve comprometido hasta el punto de que se intercepta la conversación entre la tarjeta y el terminal, entonces el atacante puede recuperar tanto los datos de la pista dos como el PIN, lo que permite la construcción de una tarjeta de banda magnética que, si bien no se puede utilizar en un terminal con chip y PIN, se puede utilizar, por ejemplo, en dispositivos terminales que permiten el recurso al procesamiento de banda magnética para clientes extranjeros sin tarjetas con chip y tarjetas defectuosas. Este ataque solo es posible cuando (a) el dispositivo de entrada de PIN presenta el PIN fuera de línea en texto simple en la tarjeta, cuando (b) el emisor de la tarjeta permite el recurso a la banda magnética y (c) cuando el emisor de la tarjeta no puede realizar la comprobación geográfica y de comportamiento. ^{[ cita requerida ]}

APACS , que representa a la industria de pagos del Reino Unido, afirmó que los cambios especificados en el protocolo (donde los valores de verificación de la tarjeta difieren entre la banda magnética y el chip, el iCVV) hicieron que este ataque fuera ineficaz y que dichas medidas estarían en vigor a partir de enero de 2008. ^[45] Las pruebas realizadas en tarjetas en febrero de 2008 indicaron que esto podría haberse retrasado. ^[46]

Ataques exitosos

La captura de conversaciones es una forma de ataque que, según se informa, tuvo lugar contra terminales de Shell en mayo de 2006, cuando se vieron obligadas a desactivar toda la autenticación EMV en sus estaciones de servicio después de que se robara más de un millón de libras a los clientes. ^[47]

En octubre de 2008, se informó de que cientos de lectores de tarjetas EMV destinados a ser utilizados en Gran Bretaña, Irlanda, los Países Bajos, Dinamarca y Bélgica habían sido manipulados en China durante o poco después de su fabricación. Durante nueve meses, se enviaron detalles y números PIN de tarjetas de crédito y débito a través de redes de telefonía móvil a delincuentes en Lahore , Pakistán. El director ejecutivo de contrainteligencia nacional de los Estados Unidos, Joel Brenner, dijo: "Anteriormente, sólo la agencia de inteligencia de un estado nacional habría sido capaz de llevar a cabo este tipo de operación. Da miedo". Los datos robados se utilizaban normalmente un par de meses después de las transacciones con tarjetas para dificultar a los investigadores localizar la vulnerabilidad. Después de descubrirse el fraude, se descubrió que los terminales manipulados podían identificarse porque los circuitos adicionales aumentaban su peso en unos 100 gramos. Se cree que se han robado decenas de millones de libras. ^[48] ​​Esta vulnerabilidad impulsó los esfuerzos para implementar un mejor control de los dispositivos POS durante todo su ciclo de vida, una práctica respaldada por estándares de seguridad de pagos electrónicos como los que está desarrollando la Secure POS Vendor Alliance (SPVA). ^[49]

Recolección de PIN y clonación de franjas

En un programa de la BBC Newsnight de febrero de 2008, los investigadores de la Universidad de Cambridge Steven Murdoch y Saar Drimer demostraron un ejemplo de ataque para ilustrar que el chip y el PIN no son lo suficientemente seguros como para justificar pasar la responsabilidad de probar el fraude de los bancos a los clientes. ^{[50] [51]} El exploit de la Universidad de Cambridge permitió a los experimentadores obtener tanto los datos de la tarjeta para crear una banda magnética como el PIN.

APACS , la asociación de pagos del Reino Unido, no estuvo de acuerdo con la mayoría del informe, diciendo que "los tipos de ataques a los dispositivos de entrada de PIN detallados en este informe son difíciles de llevar a cabo y actualmente no son económicamente viables para que los lleve a cabo un estafador". ^[52] También dijeron que los cambios en el protocolo (que especifica diferentes valores de verificación de tarjeta entre el chip y la banda magnética, el iCVV) harían que este ataque fuera ineficaz a partir de enero de 2008.

En agosto de 2016, los investigadores de seguridad de NCR Corporation demostraron cómo los ladrones de tarjetas de crédito pueden reescribir el código de una banda magnética para que parezca una tarjeta sin chip, lo que permite su falsificación. ^{[ cita requerida ]}

2010: Un hardware oculto desactiva la verificación del PIN en tarjetas robadas

El 11 de febrero de 2010, el equipo de Murdoch y Drimer en la Universidad de Cambridge anunció que habían descubierto "un fallo en el chip y el PIN tan grave que creen que demuestra que todo el sistema necesita una reescritura" que era "tan simple que les sorprendió". Se conecta una tarjeta robada a un circuito electrónico y a una tarjeta falsa que se inserta en el terminal (" ataque de intermediario "). Se pueden teclear cuatro dígitos cualesquiera y se aceptan como un PIN válido. ^{[53] [54]}

Un equipo del programa Newsnight de la BBC visitó una cafetería de la Universidad de Cambridge (con permiso) con el sistema y pudieron pagar utilizando sus propias tarjetas (un ladrón utilizaría tarjetas robadas) conectadas al circuito, insertando una tarjeta falsa y tecleando "0000" como PIN. Las transacciones se registraron de forma normal y no fueron detectadas por los sistemas de seguridad de los bancos. Un miembro del equipo de investigación dijo: "Incluso los sistemas criminales a pequeña escala tienen mejores equipos que los nuestros. El nivel de sofisticación técnica necesaria para llevar a cabo este ataque es realmente bastante bajo". El anuncio de la vulnerabilidad decía: "La experiencia que se requiere no es alta (electrónica de nivel universitario). Discutimos la afirmación de la industria bancaria de que los criminales no son lo suficientemente sofisticados, porque ya han demostrado un nivel mucho mayor de habilidad del necesario para este ataque en sus dispositivos miniaturizados de entrada de PIN". No se sabía si esta vulnerabilidad había sido explotada, pero podría explicar casos no resueltos de supuestos fraudes. ^[54]

EMVCo no estuvo de acuerdo y publicó una respuesta en la que decía que, si bien un ataque de ese tipo podría ser teóricamente posible, sería extremadamente difícil y costoso llevarlo a cabo con éxito, que los controles de compensación actuales probablemente detectarían o limitarían el fraude y que la posible ganancia financiera del ataque sería mínima, mientras que el riesgo de una transacción rechazada o de que el estafador quedara expuesto es significativo. ^[55] El equipo de Cambridge no está de acuerdo: lo llevaron a cabo sin que los bancos se dieran cuenta, con equipos disponibles comercialmente con algunos añadidos no sofisticados. Se podrían fabricar fácilmente versiones menos voluminosas. Quienes produzcan dichos equipos para el ataque no necesitan ponerse en riesgo, sino que pueden venderlos a cualquiera a través de Internet. ^[54]

Cuando se les pidió que hicieran comentarios, varios bancos (Co-operative Bank, Barclays y HSBC) respondieron que se trataba de un problema que afectaba a toda la industria y remitieron al equipo de Newsnight a la asociación comercial bancaria para que hiciera más comentarios. ^[56] Según Phil Jones, de la Asociación de Consumidores , el chip y el PIN han ayudado a reducir los casos de delitos con tarjetas, pero muchos casos siguen sin explicación. "Lo que sí sabemos es que tenemos casos presentados por individuos que parecen bastante convincentes". ^{[ cita requerida ]}

El ataque se aprovecha del hecho de que el método de autenticación elegido no está autenticado, lo que permite al intermediario actuar. El terminal pide un PIN, lo obtiene y la tarjeta confirma la transacción, que cree que está realizando una transacción con tarjeta y firma, lo que podría funcionar sin conexión. También funciona en línea, tal vez debido a la falta de controles. ^[57]

En un principio, los clientes bancarios tenían que demostrar que no habían sido negligentes con su PIN antes de obtener una compensación, pero las regulaciones del Reino Unido en vigor desde el 1 de noviembre de 2009 hicieron que los bancos tuvieran la responsabilidad de demostrar que un cliente había sido negligente en cualquier disputa, y el cliente tenía 13 meses para presentar una reclamación. ^[58] Murdoch dijo que "[los bancos] deberían revisar transacciones anteriores en las que el cliente dijo que su PIN no había sido utilizado y el registro bancario mostraba que sí, y considerar la posibilidad de reembolsar a estos clientes porque podría ser que sean víctimas de este tipo de fraude". ^[54]

2011: La degradación de CVM permite la recolección arbitraria de PIN

En la conferencia CanSecWest en marzo de 2011, Andrea Barisani y Daniele Bianco presentaron una investigación que descubrió una vulnerabilidad en EMV que permitiría la recolección de PIN arbitrarios a pesar de la configuración de verificación del titular de la tarjeta, incluso cuando los datos CVM compatibles están firmados. ^[59]

La recolección de PIN se puede realizar con un escáner de chip. En esencia, una lista CVM que se ha modificado para degradar el CVM a PIN sin conexión aún es respetada por los terminales POS, a pesar de que su firma no sea válida. ^[60]

Anulación del PIN

En 2020, los investigadores David Basin, Ralf Sasse y Jorge Toro de ETH Zurich informaron ^{[61] [62]} de un problema de seguridad que afectaba a las tarjetas sin contacto Visa : la falta de protección criptográfica de los datos críticos enviados por la tarjeta al terminal durante una transacción EMV. Los datos en cuestión determinan el método de verificación del titular de la tarjeta (como la verificación del PIN) que se utilizará para la transacción. El equipo demostró que es posible modificar estos datos para engañar al terminal y hacerle creer que no se requiere PIN porque el titular de la tarjeta fue verificado usando su dispositivo (por ejemplo, un teléfono inteligente). Los investigadores desarrollaron una aplicación de Android de prueba de concepto que convierte efectivamente una tarjeta Visa física en una aplicación de pago móvil (por ejemplo, Apple Pay , Google Pay ) para realizar compras de alto valor sin PIN. El ataque se lleva a cabo utilizando dos teléfonos inteligentes habilitados para NFC , uno cerca de la tarjeta física y el segundo cerca del terminal de pago. El ataque podría afectar a las tarjetas de Discover y UnionPay de China , pero esto no se demostró en la práctica, a diferencia de las tarjetas Visa.

A principios de 2021, el mismo equipo reveló que las tarjetas Mastercard también son vulnerables a un ataque de omisión de PIN. Demostraron que los delincuentes pueden engañar a una terminal para que realice una transacción con una tarjeta sin contacto Mastercard creyendo que se trata de una tarjeta Visa. Esta confusión de marcas de tarjetas tiene consecuencias críticas, ya que se puede utilizar en combinación con la omisión de PIN para Visa para omitir también el PIN de las tarjetas Mastercard. ^[62]

Implementación

Un paquete de semiconductores de chip EMV en el lado opuesto a sus almohadillas de contacto

Vista del chip, una foto del troquel

EMV son las siglas de " Europay , Mastercard y Visa ", las tres empresas que crearon el estándar. El estándar ahora lo gestiona EMVCo , un consorcio de empresas financieras. ^[1] Otros chips del estándar EMV ampliamente conocidos son:

• AEIPS: American Express
• UICS: Pago de los sindicatos de China
• J inteligente: JCB
• D-PAS: Discover/Diners Club Internacional
• Rupay: NPCI
• Brío

Visa y Mastercard también han desarrollado estándares para el uso de tarjetas EMV en dispositivos que admitan transacciones sin presencia de tarjeta (CNP) por teléfono e Internet. Mastercard tiene el Programa de Autenticación con Chip (CAP) para el comercio electrónico seguro. Su implementación se conoce como EMV-CAP y admite varios modos. Visa tiene el esquema de Autenticación de Código de Acceso Dinámico (DPA), que es su implementación del CAP utilizando diferentes valores predeterminados.

En muchos países del mundo, las redes de pago con tarjetas de débito y/o crédito han implementado cambios de responsabilidad. ^{[ cita requerida ]} Normalmente, el emisor de la tarjeta es responsable de las transacciones fraudulentas. Sin embargo, después de que se implementa un cambio de responsabilidad, si el cajero automático o la terminal de punto de venta del comerciante no admite EMV, el propietario del cajero automático o el comerciante son responsables de la transacción fraudulenta.

Los sistemas de chip y PIN pueden causar problemas a los viajeros de países que no emiten tarjetas con chip y PIN, ya que algunos comercios pueden negarse a aceptar sus tarjetas sin chip. ^[63] Aunque la mayoría de terminales todavía aceptan tarjetas con banda magnética y las principales marcas de tarjetas de crédito exigen a los vendedores que las acepten, ^[64] algunos empleados pueden negarse a aceptar la tarjeta, bajo la creencia de que son responsables de cualquier fraude si la tarjeta no puede verificar un PIN. Las tarjetas sin chip y PIN también pueden no funcionar en algunas máquinas expendedoras sin supervisión en, por ejemplo, estaciones de tren o cajas de autoservicio en supermercados. ^[65]

África

• El traslado de responsabilidad de Mastercard entre países de esta región tuvo lugar el 1 de enero de 2006. ^[66] Para el 1 de octubre de 2010, se había producido un traslado de responsabilidad para todas las transacciones en puntos de venta. ^[67]
• El traspaso de responsabilidad de Visa en los puntos de venta tuvo lugar el 1 de enero de 2006. En el caso de los cajeros automáticos, el traspaso de responsabilidad tuvo lugar el 1 de enero de 2008. ^[68]

Sudáfrica

• El cambio de responsabilidad de Mastercard tuvo lugar el 1 de enero de 2005. ^[66]

Países de Asia y el Pacífico

• El traslado de responsabilidad de Mastercard entre países de esta región tuvo lugar el 1 de enero de 2006. ^[66] Para el 1 de octubre de 2010, se había producido un traslado de responsabilidad para todas las transacciones en puntos de venta, excepto las transacciones nacionales en China y Japón. ^[67]
• El cambio de responsabilidad de Visa para los puntos de venta tuvo lugar el 1 de octubre de 2010. ^[68] Para los cajeros automáticos, la fecha de cambio de responsabilidad tuvo lugar el 1 de octubre de 2015, excepto en China, India, Japón y Tailandia, donde el cambio de responsabilidad fue el 1 de octubre de 2017. ^[69] Las transacciones nacionales en cajeros automáticos en China actualmente no están sujetas a una fecha límite de cambio de responsabilidad.

Australia

• Mastercard exigió que todos los terminales de punto de venta fueran compatibles con EMV para abril de 2013. En el caso de los cajeros automáticos, el cambio de responsabilidad se produjo en abril de 2012. Los cajeros automáticos deben ser compatibles con EMV para finales de 2015. ^[70]
• El cambio de responsabilidad de Visa respecto de los cajeros automáticos tuvo lugar el 1 de abril de 2013. ^[68]

Malasia

• Malasia es el primer país del mundo en migrar completamente a tarjetas inteligentes compatibles con EMV dos años después de su implementación en 2005. ^{[71] [72]}

Nueva Zelanda

• Mastercard exigió que todos los terminales de punto de venta cumplieran con la normativa EMV a partir del 1 de julio de 2011. En el caso de los cajeros automáticos, el cambio de responsabilidad se produjo en abril de 2012. Los cajeros automáticos deben cumplir con la normativa EMV a finales de 2015. ^[70]
• El cambio de responsabilidad de Visa respecto de los cajeros automáticos se produjo el 1 de abril de 2013. ^[68]

Europa

• El cambio de responsabilidad de Mastercard tuvo lugar el 1 de enero de 2005. ^[66]
• El traspaso de responsabilidad de Visa en los puntos de venta tuvo lugar el 1 de enero de 2006. En el caso de los cajeros automáticos, el traspaso de responsabilidad tuvo lugar el 1 de enero de 2008. ^[68]
• Francia ha reducido el fraude con tarjetas en más de un 80% desde su introducción en 1992 (véase Carte Bleue ).

Reino Unido

Logotipo de Chip y PIN en Reino Unido

El chip y el PIN se probaron en Northampton , Inglaterra , a partir de mayo de 2003 ^[73] y, como resultado, se implementó a nivel nacional en el Reino Unido el 14 de febrero de 2006 ^[74] con anuncios en la prensa y la televisión nacional que promocionaban el eslogan "Seguridad en números". Durante las primeras etapas de implementación, si se consideraba que se había producido una transacción fraudulenta con tarjeta magnética, el banco emisor reembolsaba al minorista, como sucedía antes de la introducción del chip y el PIN. El 1 de enero de 2005, la responsabilidad de dichas transacciones se trasladó al minorista; esto actuó como un incentivo para que los minoristas actualizaran sus sistemas de punto de venta (PoS), y la mayoría de las principales cadenas de tiendas minoristas lo actualizaron a tiempo para la fecha límite EMV. Muchas empresas más pequeñas inicialmente se mostraron reacias a actualizar su equipo, ya que requería un sistema PoS completamente nuevo, una inversión significativa.

En la actualidad, todos los bancos importantes emiten nuevas tarjetas que incorporan tanto bandas magnéticas como chips. La sustitución de las tarjetas que no incorporaban chip ni PIN fue un problema importante, ya que los bancos simplemente afirmaron que los consumidores recibirían sus nuevas tarjetas "cuando caduque su tarjeta anterior", a pesar de que muchas personas habían tenido tarjetas con fechas de caducidad tan tardías como 2007. El emisor de tarjetas Switch perdió un importante contrato con HBOS ante Visa , ya que no estaba preparado para emitir las nuevas tarjetas tan pronto como quería el banco.

La implementación del chip y el PIN fue criticada por estar diseñada para reducir la responsabilidad de los bancos en casos de supuestos fraudes con tarjetas, al exigir al cliente que demostrara que había actuado "con un cuidado razonable" para proteger su PIN y su tarjeta, en lugar de que el banco tuviera que demostrar que la firma coincidía. Antes de la implementación del chip y el PIN, si se falsificaba la firma de un cliente, los bancos eran legalmente responsables y tenían que reembolsar al cliente. Hasta el 1 de noviembre de 2009 no existía una ley de ese tipo que protegiera a los consumidores del uso fraudulento de sus transacciones con chip y PIN, solo el Código Bancario voluntario . Hubo muchos informes de que los bancos se negaron a reembolsar a las víctimas del uso fraudulento de tarjetas, alegando que sus sistemas no podían fallar en las circunstancias denunciadas, a pesar de varios ataques a gran escala documentados y exitosos. ^{[ cita requerida ]}

El Reglamento de Servicios de Pago de 2009 entró en vigor el 1 de noviembre de 2009 ^[75] y trasladó a los bancos la carga de la prueba, en lugar de suponer, que el titular de la tarjeta es culpable. ^[58] La Autoridad de Servicios Financieros (FSA) dijo que "es responsabilidad del banco, la sociedad de crédito o la compañía de tarjetas de crédito demostrar que la transacción fue realizada por usted y que no hubo fallas en los procedimientos ni dificultades técnicas" antes de rechazar la responsabilidad.

América Latina y el Caribe

• El traslado de responsabilidad de Mastercard entre países de esta región tuvo lugar el 1 de enero de 2005. ^[66]
• La transferencia de responsabilidad de Visa para los puntos de venta se llevó a cabo el 1 de octubre de 2012 para todos los países de esta región que aún no habían implementado una transferencia de responsabilidad. En el caso de los cajeros automáticos, la transferencia de responsabilidad se llevó a cabo el 1 de octubre de 2014 para todos los países de esta región que aún no habían implementado una transferencia de responsabilidad. ^[68]

Brasil

• El cambio de responsabilidad de Mastercard tuvo lugar el 1 de marzo de 2008. ^[66]
• El traspaso de responsabilidad de Visa en los puntos de venta tuvo lugar el 1 de abril de 2011. En el caso de los cajeros automáticos, el traspaso de responsabilidad tuvo lugar el 1 de octubre de 2012. ^[68]

Colombia

• El cambio de responsabilidad de Mastercard tuvo lugar el 1 de octubre de 2008. ^[66]

México

• Discover implementó un cambio de responsabilidad el 1 de octubre de 2015. En el caso del pago en el surtidor de las gasolineras, el cambio de responsabilidad se produjo el 1 de octubre de 2017. ^[76]
• El traspaso de responsabilidad de Visa en los puntos de venta tuvo lugar el 1 de abril de 2011. En el caso de los cajeros automáticos, el traspaso de responsabilidad tuvo lugar el 1 de octubre de 2012. ^[68]

Venezuela

• El cambio de responsabilidad de Mastercard tuvo lugar el 1 de julio de 2009. ^[66]

Oriente Medio

• El traslado de responsabilidad de Mastercard entre países de esta región tuvo lugar el 1 de enero de 2006. ^[66] Para el 1 de octubre de 2010, se había producido un traslado de responsabilidad para todas las transacciones en puntos de venta. ^[67]
• El traspaso de responsabilidad de Visa en los puntos de venta tuvo lugar el 1 de enero de 2006. En el caso de los cajeros automáticos, el traspaso de responsabilidad tuvo lugar el 1 de enero de 2008. ^[68]

América del norte

Canadá

• American Express implementó un cambio de responsabilidad el 31 de octubre de 2012. ^{[1] [77]}
• Discover implementó un cambio de responsabilidad el 1 de octubre de 2015 para todas las transacciones, excepto el pago en el surtidor de combustible en las estaciones de servicio; esas transacciones se trasladaron el 1 de octubre de 2017. ^{[76] [ se necesita una fuente de terceros ]}
• Interac (la red de tarjetas de débito de Canadá) dejó de procesar transacciones no EMV en cajeros automáticos el 31 de diciembre de 2012 y exigió transacciones EMV en terminales de puntos de venta el 30 de septiembre de 2016, con un cambio de responsabilidad que tuvo lugar el 31 de diciembre de 2015. ^{[78] [ verificación fallida ] [ fuente de terceros necesaria ]}
• Mastercard implementó el cambio de responsabilidad en las transacciones nacionales el 31 de marzo de 2011, y el cambio de responsabilidad internacional el 15 de abril de 2011. Para el pago en las estaciones de servicio, el cambio de responsabilidad se implementó el 31 de diciembre de 2012. ^[77]
• Visa implementó el cambio de responsabilidad en las transacciones nacionales el 31 de marzo de 2011, y el cambio de responsabilidad internacional el 31 de octubre de 2010. Para el pago en las estaciones de servicio, el cambio de responsabilidad se implementó el 31 de diciembre de 2012. ^[77]
• En un período de cinco años posterior a la migración a EMV, las transacciones fraudulentas entre tarjetas de crédito se redujeron significativamente en Canadá. Según los informes de Helcim, el fraude con tarjetas de débito se redujo en un 89,49% y el fraude con tarjetas de crédito en un 68,37%. ^{[1] [79]}

Estados Unidos

Después del robo de identidad generalizado debido a la débil seguridad en las terminales de puntos de venta en Target , Home Depot y otros grandes minoristas, Visa, Mastercard y Discover ^[80] en marzo de 2012 - y American Express ^[81] en junio de 2012 - anunciaron sus planes de migración a EMV para los Estados Unidos. ^[82] Desde el anuncio, varios bancos y emisores de tarjetas han anunciado tarjetas con tecnología de chip y firma EMV, incluidos American Express, Bank of America, Citibank, Wells Fargo , ^[83] JPMorgan Chase, US Bank y varias cooperativas de crédito.

En 2010, varias empresas comenzaron a emitir tarjetas de débito prepagas que incorporan Chip y PIN y permiten a los estadounidenses cargar efectivo en euros o libras esterlinas . ^{[84] [1]} United Nations Federal Credit Union fue el primer emisor de los Estados Unidos en ofrecer tarjetas de crédito con Chip y PIN. ^[85] En mayo de 2010, un comunicado de prensa de Gemalto (un productor global de tarjetas EMV) indicó que United Nations Federal Credit Union en Nueva York se convertiría en el primer emisor de tarjetas EMV en los Estados Unidos, ofreciendo una tarjeta de crédito Visa EMV a sus clientes. ^[86] JPMorgan fue el primer banco importante en introducir una tarjeta con tecnología EMV, a saber, su tarjeta Palladium , a mediados de 2012. ^[87]

En abril de 2016, el 70% de los consumidores estadounidenses tenían tarjetas EMV y en diciembre de 2016 aproximadamente el 50% de los comerciantes cumplían con la normativa EMV. ^{[88] [89]} Sin embargo, la implementación ha sido lenta e inconsistente entre los proveedores. Incluso los comerciantes con hardware EMV pueden no ser capaces de procesar transacciones con chip debido a deficiencias de software o de cumplimiento. ^[90] Bloomberg también ha citado problemas con la implementación del software, incluidos los cambios en las indicaciones de audio para las máquinas Verifone que pueden tardar varios meses en publicarse e implementarse. Sin embargo, los expertos de la industria esperan una mayor estandarización en los Estados Unidos para la implementación y los estándares de software. Visa y Mastercard han implementado estándares para acelerar las transacciones con chip con el objetivo de reducir el tiempo para que estas sean inferiores a tres segundos. Estos sistemas se denominan Visa Quick Chip y Mastercard M/Chip Fast. ^[91]

• American Express implementó el cambio de responsabilidad para las terminales de punto de venta el 1 de octubre de 2015. ^{[92] [¿ Fuente promocional? ]} Para el pago en el surtidor, en las estaciones de servicio, el cambio de responsabilidad fue el 16 de abril de 2021. Esto se extendió a partir del 1 de octubre de 2020 debido a la pandemia de COVID-19 . ^[93]
• Discover implementó el cambio de responsabilidad el 1 de octubre de 2015. En el caso del pago en el surtidor, en las estaciones de servicio, el cambio de responsabilidad se produjo el 1 de octubre de 2020. ^[76]
• Maestro implementó el cambio de responsabilidad el 19 de abril de 2013 para las tarjetas internacionales utilizadas en los Estados Unidos. ^[94]
• Mastercard implementó el cambio de responsabilidad para las terminales de punto de venta el 1 de octubre de 2015. ^[92] Para el pago en el surtidor, en las estaciones de servicio, el cambio de responsabilidad se produjo formalmente el 1 de octubre de 2020. ^[95] Para los cajeros automáticos, la fecha de cambio de responsabilidad fue el 1 de octubre de 2016. ^{[96] [97]}
• Visa implementó el cambio de responsabilidad para las terminales de punto de venta el 1 de octubre de 2015. Para el pago en el surtidor, en las estaciones de servicio, el cambio de responsabilidad se produjo formalmente el 1 de octubre de 2020. ^{[95] [98]} Para los cajeros automáticos, la fecha de cambio de responsabilidad fue el 1 de octubre de 2017. ^{[69] [1]}

Notas

1. autorizado por Mastercard NetsUnion, también conocida como Mastercard NetsUnion Information Technology (Beijing) Co., Ltd., una empresa conjunta de Mastercard y la red bancaria china
2. Aprobado por la empresa conjunta de American Express, Express (Hangzhou) Technology Services Company Limited

Véase también

• Pago sin contacto
• Ataque a la cadena de suministro
• Autenticación de dos factores
• Código MM

Referencias

1. Stacy Cowley (23 de septiembre de 2015). «Próximamente en las cajas registradoras: sistemas de pago con tarjeta microchip». The New York Times . Consultado el 31 de julio de 2022 .
2. Normas importantes de la industria de las tarjetas inteligentes. ISO 7816, Cardwerk Technologies
3. Chen, Zhiqun (2000). Tecnología de tarjetas Java para tarjetas inteligentes: arquitectura y guía del programador . Addison-Wesley Professional . págs. 3-4. ISBN. 9780201703290.
4. "Breve reseña de las tarjetas inteligentes (actualización de 2019)". Gemalto . 7 de octubre de 2019 . Consultado el 27 de octubre de 2019 .
5. Sorensen, Emily (26 de julio de 2019). "La historia detallada de las máquinas de tarjetas de crédito". Transacción móvil . Consultado el 27 de octubre de 2019 .
6. Veendrick, Harry JM (2017). Circuitos integrados CMOS nanométricos: desde los conceptos básicos hasta los circuitos integrados de aplicación específica (ASIC). Springer. pág. 315. ISBN 9783319475974.
7. "Miembros de EMVCo". EMVCo. Archivado desde el original el 15 de febrero de 2016. Consultado el 10 de mayo de 2015 .
8. "Formas de participar" . Consultado el 31 de enero de 2023 .
9. "China UnionPay se une a EMVCo" (Nota de prensa). Finextra Research. 20 de mayo de 2013. Consultado el 10 de mayo de 2015 .
10. "Discover se une a EMVCo para ayudar a impulsar los estándares EMV globales". Discover Network News. 3 de septiembre de 2013. Consultado el 10 de mayo de 2015 .
11. Los 7 principales proveedores del mercado mundial de tarjetas EMV de 2016 a 2020, comunicado de prensa de Technavio, 24 de agosto de 2016
12. "Visa y MasterCard apoyan soluciones comunes para permitir el enrutamiento de débito con chip en EE. UU." Mastercard. Archivado desde el original el 14 de junio de 2021. Consultado el 7 de octubre de 2020 .
13. "Transferencia de responsabilidad por transacciones fraudulentas". The UK Cards Association . Consultado el 10 de mayo de 2015 .
14. "Entender los cambios en la responsabilidad por fraude en EE. UU. en 2015" (PDF) . www.emv-connection.com . Foro de migración a EMV. Archivado desde el original (PDF) el 19 de septiembre de 2015 . Consultado el 15 de noviembre de 2015 .
15. Mark Scott (2 de diciembre de 2014). "Preparación para las tarjetas con chip y PIN en Estados Unidos". The New York Times . Consultado el 31 de julio de 2022 .
16. "Por qué aún no estás a salvo del fraude si tienes una tarjeta de crédito con chip". ABC News .
17. Ann Carrns (20 de junio de 2011). «US Bank y Chase añaden tarjetas con chip EMV para viajeros» . Consultado el 31 de julio de 2022 .
18. Chip y PIN frente a chip y firma, CardHub.com (ahora wallethub) , consultado el 31 de julio de 2012 {{citation}}: Verificar |url=valor ( ayuda )
19. "Actualización EMV: Discusión con la Reserva Federal" (PDF) . Visa . Consultado el 2 de enero de 2017 .
20. Carlin, Patricia (15 de febrero de 2017). "Cómo reducir las devoluciones de cargos sin afectar las ventas en línea". Forbes .
21. "BBC NEWS – Tecnología – Código de tarjeta de crédito para combatir el fraude". bbc.co.uk .
22. "Visa prueba tarjetas con lector de PIN incorporado". IT PRO . 11 de noviembre de 2008.
23. Brian X. Chen (4 de mayo de 2016). «Por qué Apple Pay y otros monederos móviles superan a las tarjetas con chip». The New York Times . Consultado el 31 de julio de 2022 .
24. "Cómo funciona EMV (Chip & PIN) – Diagrama de flujo de transacciones". Creditcall Ltd. Recuperado el 10 de mayo de 2015 .
25. "Libro 1: Requisitos de interfaz de terminal para ICC independientes de la aplicación" (PDF) . 4.3. EMVCo. 30 de noviembre de 2011 . Consultado el 20 de septiembre de 2018 .^{[ enlace muerto permanente ]}
26. Warming, Jan Bigum (21 de agosto de 2022). Pagos: de las conchas de cauri a los bitcoins. Publicado de forma independiente. ISBN 979-8-8405-4325-2.
27. "MasterCard Product & Services - Documentation" (Productos y servicios de MasterCard: documentación) . Consultado el 17 de abril de 2017 .
28. "A Guide to EMV Chip Technology" (PDF). EMVCo. November 2014. Archived from the original (PDF) on 16 February 2021. Retrieved 7 October 2020.
29. "EMV CA". EMV Certificate Authority Worldwide. 20 November 2010. Archived from the original on 4 July 2020. Retrieved 20 March 2020.
30. "Book 2: Security and Key Management (PDF). 4.3" (PDF). EMVCo. 29 November 2011. Retrieved 20 September 2018.^{[permanent dead link]}
31. Contact Chip – General Frequently Asked Questions (FAQ) Archived 15 June 2021 at the Wayback Machine
32. "ContactlessSpecifications for Payment Systems" (PDF). EMVCo. Archived from the original (PDF) on 15 June 2021. Retrieved 7 October 2020.
33. TAC Definition: Terminal Action Code
34. "Visa technology partner: Terminal Action Code (VISA Minimum)".
35. "Quick Chip".
36. "M/Chip Fast from MasterCard Speeds EMV Transactions and Shoppers Through Checkout". Archived from the original on 28 October 2020. Retrieved 30 November 2020.
37. "Terms of Use" (PDF).^{[permanent dead link]}
38. EMVCo. "EMVCo Members". Retrieved 1 August 2020.
39. "Book 2: Security and Key Management" (PDF). 4.3. EMVCo. 29 November 2011. Retrieved 20 September 2018.^{[permanent dead link]}
40. "Book 3: Application Specification" (PDF). 4.3. EMVCo. 28 November 2011. Retrieved 20 September 2018.^{[permanent dead link]}
41. "Book 4: Cardholder, Attendant, and Acquirer Interface Requirements" (PDF). 4.3. EMVCo. 27 November 2011. Retrieved 20 September 2018.^{[permanent dead link]}
42. "SB CPA Specification v1 Plus Bulletins" (PDF). EMVCo. 1 March 2008. Retrieved 20 September 2018.^{[permanent dead link]}
43. "EMV® Card Personalization Specification" (PDF). EMVCo. 1 July 2007. Retrieved 20 September 2018.^{[permanent dead link]}
44. "Especificaciones de tarjetas de circuito integrado para sistemas de pago". EMVCo. Archivado desde el original el 2 de abril de 2012. Consultado el 26 de marzo de 2012 .
45. "¿Qué tan seguros son el chip y el PIN?". BBC Newsnight. 26 de febrero de 2008.
46. Saar Drimer; Steven J. Murdoch; Ross Anderson. "Vulnerabilidades de los dispositivos de entrada de PIN (PED)". Laboratorio de Computación de la Universidad de Cambridge . Consultado el 10 de mayo de 2015 .
47. "Empresa petrolera suspende el chip y el PIN". BBC News . 6 de mayo de 2006 . Consultado el 13 de marzo de 2015 .
48. "El crimen organizado manipula los dispositivos de lectura de tarjetas europeos". The Register. 10 de octubre de 2008.
49. "Grupos de trabajo técnicos, Secure POS Vendor Alliance". 2009. Archivado desde el original el 15 de abril de 2010.
50. "¿Son realmente seguros los sistemas Chip y PIN?". BBC News . 26 de febrero de 2008. Consultado el 2 de mayo de 2010 .
51. "Chip y PIN". 6 de febrero de 2007. Archivado desde el original el 5 de julio de 2007.
52. John Leyden (27 de febrero de 2008). "Ataque con clip de papel ataca a Chip y PIN". The Channel . Consultado el 10 de mayo de 2015 .
53. Steven J. Murdoch; Saar Drimer; Ross Anderson; Mike Bond. "Vulnerabilidad de "cuña" en la verificación de PIN EMV". Laboratorio de Computación, Universidad de Cambridge . Consultado el 12 de febrero de 2010 .
54. Susan Watts (11 de febrero de 2010). «Revelan nuevas fallas en el sistema de chip y PIN». BBC News . Consultado el 12 de febrero de 2010 .
55. "Respuesta de EMVCo al informe de la Universidad de Cambridge sobre las vulnerabilidades de los chips y los PIN ('Chip and PIN is Broken' – febrero de 2010)" (PDF) . EMVCo. Archivado desde el original (PDF) el 8 de mayo de 2010 . Consultado el 26 de marzo de 2010 .
56. Susan, Watts. "Revelan nuevas fallas en el sistema de chip y PIN (11 de febrero de 2010)". Newsnight . BBC . Consultado el 9 de diciembre de 2015 .
57. Ross Anderson (11 de febrero de 2010). "El chip y el PIN están rotos". No es ninguna sorpresa para nosotros ni para los banqueros que este ataque funcione fuera de línea [...] lo realmente sorprendente es que también funciona en línea
58. Richard Evans (15 de octubre de 2009). «Fraude con tarjetas: los bancos ahora tienen que demostrar su culpabilidad». The Telegraph . Archivado desde el original el 21 de octubre de 2009. Consultado el 10 de mayo de 2015 .
59. Andrea Barisani; Daniele Bianco; Adam Laurie; Zac Franken (2011). "El sistema Chip & PIN está definitivamente roto" (PDF) . Aperture Labs. Archivado desde el original (PDF) el 19 de octubre de 2015. Consultado el 10 de mayo de 2015 .
60. Adam Laurie; Zac Franken; Andrea Barisani; Daniele Bianco. «EMV – Chip & PIN CVM Downgrade Attack». Aperture Labs e Inverse Path. Archivado desde el original el 19 de octubre de 2015. Consultado el 10 de mayo de 2015 .
61. D. Basin, R. Sasse, J. Toro-Pozo (2020). "El estándar EMV: romper, arreglar, verificar". Simposio IEEE sobre seguridad y privacidad de 2021 (SP) : 1766–1781. arXiv : 2006.08249 .{{cite journal}}: CS1 maint: varios nombres: lista de autores ( enlace )
62. "El estándar EMV: romper, arreglar, verificar".
63. "Las tarjetas de crédito estadounidenses están obsoletas y son menos útiles en el extranjero a medida que las tarjetas con 'Chip y PIN' se ponen de moda". creditcards.com .^{[ enlace muerto permanente ]}
64. "Visa Australia". visa-asia.com . Archivado desde el original el 22 de septiembre de 2013. Consultado el 29 de junio de 2015 .
65. Higgins, Michelle (29 de septiembre de 2009). "Para los estadounidenses, el plástico se compra menos en el extranjero". The New York Times . Consultado el 17 de abril de 2017 .
66. "Guía de contracargos" (PDF) . MasterCard Worldwide. 3 de noviembre de 2010 . Consultado el 10 de mayo de 2015 .
67. "Reglamento de funcionamiento" (PDF) . Visa Internacional. Archivado desde el original (PDF) el 3 de marzo de 2013.
68. "El viaje hacia los datos dinámicos". Visa. Archivado desde el original el 28 de junio de 2021.
69. "Visa amplía la hoja de ruta estadounidense para la adopción del chip EMV para incluir cajeros automáticos y una solución de débito común" (Comunicado de prensa). Foster City, California: Visa. 4 de febrero de 2013. Consultado el 10 de mayo de 2015 .
70. "MasterCard anuncia un plan quinquenal para cambiar la cara de la industria de pagos en Australia". Mastercard Australia. Archivado desde el original el 28 de enero de 2013.
71. "Malasia es el primer país en completar la migración a tarjetas con chip". The Star Online .
72. "Estados Unidos aprende de Malasia, 10 años después". The Rakyat Post. 14 de octubre de 2015. Archivado desde el original el 20 de marzo de 2019. Consultado el 30 de diciembre de 2016 .
73. "Tarjetas de crédito antifraude a prueba". BBC Business News . 11 de abril de 2003. Consultado el 27 de mayo de 2015 .
74. Asociación de Tarjetas del Reino Unido. "Guía de chip y PIN" (PDF) . Consultado el 27 de mayo de 2015 .
75. Fundación, Memoria de Internet. «[CONTENIDO ARCHIVADO] Archivo web del gobierno del Reino Unido: Archivos nacionales». Archivado desde el original el 12 de noviembre de 2008. Consultado el 17 de abril de 2017 .
76. "Discover implementará la transferencia de responsabilidad a EMV en 2015" (Nota de prensa). Finextra Research. 12 de noviembre de 2012. Consultado el 10 de mayo de 2015 .
77. "Cambio de responsabilidad de los chips". globalpayments. Archivado desde el original el 30 de julio de 2013.
78. "Interac - Para comerciantes" . Consultado el 17 de abril de 2017 .
79. "EMV reduce el fraude con tarjetas en Canadá (infografía) - The Official Helcim™ Blog" . Consultado el 17 de abril de 2017 .
80. "Discover implementa el mandato EMV para Estados Unidos, Canadá y México". Archivado desde el original el 10 de mayo de 2012.
81. "American Express anuncia la hoja de ruta EMV en EE. UU. para avanzar en los pagos con contacto, sin contacto y a través del móvil" (nota de prensa). Nueva York: American Express. 29 de junio de 2012. Archivado desde el original el 10 de mayo de 2015. Consultado el 10 de mayo de 2015 .
82. "El incierto destino de EMV en Estados Unidos". Protean Payment. Archivado desde el original el 29 de septiembre de 2013. Consultado el 22 de septiembre de 2012 .
83. Camhi, Jonathan (3 de agosto de 2012). "Wells Fargo presenta una nueva tarjeta EMV para consumidores". Bank Systems & Technology. Archivado desde el original el 5 de junio de 2014. Consultado el 10 de mayo de 2015 .
84. "Travelex ofrece la primera tarjeta prepaga en moneda extranjera con chip y PIN habilitado de Estados Unidos". Business Wire . 1 de diciembre de 2010 . Consultado el 6 de febrero de 2014 .
85. "UNFCU será el primer emisor en EE.UU. en ofrecer tarjetas de crédito con un chip de alta seguridad". United Nations Federal Credit Union .
86. Ray Wizbowski (13 de mayo de 2010). "United Nations Federal Credit Union Selects Gemalto for First US Issued Globally Compliant Payment Card" (Comunicado de prensa). Austin, Texas: Gemalto . Consultado el 10 de mayo de 2015 .
87. Paul Riegler (25 July 2013). "Chip-and-Pin and Chip-and-Signature Credit Card Primer for 2013". Frequent Business Traveler. Retrieved 10 May 2015.
88. Goldman, Sharon (20 March 2017). "Is the rocky road to EMV retail adoption getting smoother?". CIO magazine. Archived from the original on 27 March 2017. Retrieved 17 April 2017.
89. "EMV Credit Cards Poll". Archived from the original on 27 March 2017. Retrieved 26 March 2017.
90. "Retailers have chip card readers -- why aren't they using them?". Retrieved 22 November 2017.
91. "The Plan to Make Chip Credit Cards Less Annoying". Bloomberg.com. 17 July 2017. Retrieved 5 August 2017.
92. Cathy Medich (July 2012). "EMV Migration – Driven by Payment Brand Milestones". Retrieved 10 May 2015.
93. "Amex joins Visa in postponing US gas EMV migration". 5 May 2020.
94. David Heun (10 September 2012). "MasterCard Brings EMV Chip-Card Liability Policy to U.S. ATMs". SourceMedia. Archived from the original on 22 February 2014. Retrieved 10 May 2015.
95. "EMV Fuel Liability Delay Pumps Card Fraud Concerns". Credit Union Times. Retrieved 4 December 2016.
96. Beth Kitchener (10 September 2012). "MasterCard Extends U.S. EMV Migration Roadmap to ATM Channel" (Press release). Purchase, N.Y.: Mastercard. Archived from the original on 8 May 2015. Retrieved 10 May 2015.
97. "EMV For U.S. Acquirers: Seven Guiding Principles for EMV Readiness" (PDF). Archived from the original (PDF) on 5 July 2016. Retrieved 17 April 2017.
98. "Visa Announces U.S. Participation in Global Point-of-Sale Counterfeit Liability Shift" (PDF) (Press release). Visa. 9 August 2011. Archived from the original (PDF) on 23 May 2015. Retrieved 10 May 2015.

External links

• Official website
• BBC: What's inside a bank card, November 2022