EMV es un método de pago basado en un estándar técnico para tarjetas de pago inteligentes y para terminales de pago y cajeros automáticos que puedan aceptarlas. EMV significa " Europay , Mastercard y Visa ", las tres empresas que crearon el estándar. [1]
Las tarjetas EMV son tarjetas inteligentes , también llamadas tarjetas con chip, tarjetas de circuitos integrados o tarjetas IC, que almacenan sus datos en chips de circuitos integrados , además de bandas magnéticas para compatibilidad con versiones anteriores . Estas incluyen tarjetas que deben insertarse o "sumergirse" físicamente en un lector, así como tarjetas sin contacto que pueden leerse a corta distancia utilizando tecnología de comunicación de campo cercano . Las tarjetas de pago que cumplen con el estándar EMV suelen denominarse tarjetas con chip y PIN o tarjetas con chip y firma , según los métodos de autenticación empleados por el emisor de la tarjeta, como un número de identificación personal (PIN) o una firma electrónica . Existen estándares, basados en ISO/IEC 7816 , para tarjetas de contacto, y basados en ISO/IEC 14443 para tarjetas sin contacto ( Mastercard Contactless , Visa PayWave , American Express ExpressPay ). [2] [ se necesita una mejor fuente ]
Hasta la introducción del chip y el PIN, todas las transacciones cara a cara con tarjeta de crédito o débito implicaban el uso de una banda magnética o impresión mecánica para leer y registrar datos de la cuenta, y una firma para fines de verificación de identidad. El cliente entrega su tarjeta al cajero en el punto de venta , quien luego la pasa a través de un lector magnético o imprime el texto en relieve de la tarjeta. En el primer caso, el sistema verifica los detalles de la cuenta e imprime un comprobante para que el cliente lo firme. En el caso de una impresión mecánica, se completan los detalles de la transacción, se consulta una lista de números robados y el cliente firma el comprobante impreso. En ambos casos el cajero deberá verificar que la firma del cliente coincida con la del reverso de la tarjeta para autenticar la transacción.
El uso de la firma en la tarjeta como método de verificación tiene una serie de fallas de seguridad, la más obvia es la relativa facilidad con la que las tarjetas pueden perderse antes de que sus legítimos propietarios puedan firmarlas. Otro implica el borrado y reemplazo de la firma legítima, y otro más implica la falsificación de la firma correcta.
La invención del chip de circuito integrado de silicio en 1959 llevó a la idea de incorporarlo en una tarjeta inteligente de plástico a finales de la década de 1960 por parte de dos ingenieros alemanes, Helmut Gröttrup y Jürgen Dethloff . [3] Las primeras tarjetas inteligentes se introdujeron como tarjetas telefónicas en la década de 1970, antes de ser adaptadas para su uso como tarjetas de pago . [4] [5] Desde entonces, las tarjetas inteligentes han utilizado chips de circuitos integrados MOS , junto con tecnologías de memoria MOS como la memoria flash y EEPROM ( memoria de sólo lectura programable y borrable eléctricamente ). [6]
El primer estándar para tarjetas de pago inteligentes fue la Carte Bancaire B0M4 de Bull-CP8 implementada en Francia en 1986, seguida por la B4B0' (compatible con la M4) implementada en 1989. Geldkarte en Alemania también es anterior a EMV. EMV fue diseñado para permitir que las tarjetas y terminales sean compatibles con estos estándares. Desde entonces, Francia ha migrado toda su infraestructura de tarjetas y terminales a EMV.
EMV significa Europay, Mastercard y Visa, las tres empresas que crearon el estándar. El estándar ahora es administrado por EMVCo , un consorcio con el control dividido en partes iguales entre Visa, Mastercard, JCB , American Express , China UnionPay y Discover. [7] EMVCo acepta comentarios públicos sobre sus borradores de estándares y procesos, pero también permite que otras organizaciones se conviertan en "Asociados" y "Suscriptores" para una colaboración más profunda. [8] JCB se unió al consorcio en febrero de 2009, China UnionPay en mayo de 2013, [9] y Discover en septiembre de 2013. [10]
Los principales proveedores de tarjetas y chips EMV son: ABnote (American Bank Corp), CPI Card Group, IDEMIA (de la fusión de Oberthur Technologies y Safran Identity & Security (Morpho) en 2017), Gemalto (adquirida por Thales Group en 2019 ) Giesecke & Devrient y tecnología de tarjetas versátil. [11]
Hay dos beneficios principales al pasar a sistemas de pago con tarjetas de crédito basados en tarjetas inteligentes: mayor seguridad (con la consiguiente reducción del fraude) y la posibilidad de un control más preciso de las aprobaciones de transacciones con tarjetas de crédito "fuera de línea". Uno de los objetivos originales de EMV era ofrecer múltiples aplicaciones en una tarjeta: para una solicitud de tarjeta de crédito y débito o un monedero electrónico. Tarjetas de débito de nueva emisión en EE. UU. [ ¿cuándo? ] contiene dos aplicaciones: una aplicación de asociación de tarjetas (Visa, Mastercard, etc.) y una aplicación de débito común. El ID de la aplicación de débito común es un nombre inapropiado ya que cada aplicación de débito "común" en realidad utiliza la aplicación de asociación de tarjeta de residente. [12]
Las transacciones con tarjetas con chip EMV mejoran la seguridad contra el fraude en comparación con las transacciones con tarjetas de banda magnética que dependen de la firma del titular y de la inspección visual de la tarjeta para verificar características como el holograma . El uso de un PIN y algoritmos criptográficos como Triple DES , RSA y SHA proporcionan autenticación de la tarjeta al terminal de procesamiento y al sistema host del emisor de la tarjeta. El tiempo de procesamiento es comparable al de las transacciones en línea, en las que el retraso en las comunicaciones representa la mayor parte del tiempo, mientras que las operaciones criptográficas en el terminal toman comparativamente poco tiempo. La supuesta mayor protección contra el fraude ha permitido a los bancos y emisores de tarjetas de crédito impulsar un "cambio de responsabilidad", de modo que los comerciantes ahora son responsables (a partir del 1 de enero de 2005 en la región de la UE y el 1 de octubre de 2015 en los EE. UU.) de cualquier fraude que resulta de transacciones en sistemas que no son compatibles con EMV. [1] [13] [14] La mayoría de las implementaciones de tarjetas y terminales EMV confirman la identidad del titular de la tarjeta al requerir el ingreso de un número de identificación personal (PIN) en lugar de firmar un recibo en papel. Que se realice o no la autenticación mediante PIN depende de las capacidades del terminal y de la programación de la tarjeta.
Cuando se introdujeron las tarjetas de crédito por primera vez, los comerciantes utilizaban impresoras de tarjetas portátiles mecánicas en lugar de magnéticas que requerían papel carbón para realizar una impresión. No se comunicaron electrónicamente con el emisor de la tarjeta y la tarjeta nunca desapareció de la vista del cliente. El comerciante tenía que verificar las transacciones por encima de un determinado límite de moneda llamando por teléfono al emisor de la tarjeta. Durante la década de 1970 en los Estados Unidos, muchos comerciantes se suscribieron a una lista actualizada periódicamente de números de tarjetas de crédito robadas o inválidas. Esta lista se imprimió comúnmente en forma de folleto en papel de periódico, en orden numérico, muy parecido a una guía telefónica delgada, pero sin ningún dato aparte de la lista de números no válidos. Se esperaba que los cajeros hojearan este folleto cada vez que se presentaba una tarjeta de crédito para el pago de cualquier monto, antes de aprobar la transacción, lo que provocaba un breve retraso. [15]
Posteriormente, el equipo contactó electrónicamente al emisor de la tarjeta, utilizando la información de la banda magnética para verificar la tarjeta y autorizar la transacción. Esto era mucho más rápido que antes, pero requería que la transacción se realizara en una ubicación fija. En consecuencia, si la transacción no se realizaba cerca de una terminal (en un restaurante, por ejemplo) el dependiente o camarero tenía que retirar la tarjeta al cliente y llevarla al cajero automático. Era fácilmente posible en cualquier momento que un empleado deshonesto pasara la tarjeta subrepticiamente a través de una máquina barata que registraba instantáneamente la información en la tarjeta y la banda; de hecho, incluso en la terminal, un ladrón podría agacharse delante del cliente y pasar la tarjeta por un lector oculto. Esto hizo que la clonación ilegal de tarjetas fuera relativamente fácil y un hecho más común que antes. [ cita necesaria ]
Desde la introducción del chip y el PIN de las tarjetas de pago, la clonación del chip no es factible; sólo se puede copiar la banda magnética y una tarjeta copiada no se puede utilizar por sí sola en un terminal que requiera un PIN. La introducción del chip y el PIN coincidió con el hecho de que la tecnología de transmisión inalámbrica de datos se volvió económica y generalizada. Además de los lectores magnéticos basados en teléfonos móviles, el personal de los comerciantes ahora puede llevar teclados de PIN inalámbricos al cliente, de modo que la tarjeta nunca esté fuera de la vista del titular. Por lo tanto, se pueden utilizar tanto chip como PIN y tecnologías inalámbricas para reducir los riesgos de robo no autorizado y clonación de tarjetas. [dieciséis]
Chip y PIN es uno de los dos métodos de verificación que pueden emplear las tarjetas habilitadas para EMV. [15] En lugar de firmar físicamente un recibo con fines de identificación, el usuario ingresa un número de identificación personal (PIN), generalmente de cuatro a seis dígitos de longitud. Este número debe corresponder a la información almacenada en el chip o PIN del Host. La tecnología de chip y PIN hace que a los estafadores les resulte mucho más difícil utilizar una tarjeta encontrada, ya que si alguien roba una tarjeta, no podrá realizar compras fraudulentas a menos que conozca el PIN.
Chip y firma, por otro lado, se diferencia del chip y PIN al verificar la identidad del consumidor con una firma. [17]
A partir de 2015, las tarjetas con chip y firma son más comunes en EE. UU., México, partes de América del Sur (como Argentina, Colombia, Perú) y algunos países asiáticos (como Taiwán, Hong Kong, Tailandia, Corea del Sur, Singapur y Indonesia), mientras que las tarjetas con chip y PIN son más comunes en la mayoría de los países europeos (por ejemplo, el Reino Unido, Irlanda, Francia, Portugal, Finlandia y los Países Bajos), así como en Irán, Brasil, Venezuela, India, Sri Lanka, Canadá y Australia. y Nueva Zelanda. [18] [19]
Si bien la tecnología EMV ha ayudado a reducir la delincuencia en el punto de venta, las transacciones fraudulentas se han trasladado a transacciones más vulnerables por teléfono , Internet y pedidos por correo , conocidas en la industria como transacciones con tarjeta no presente o CNP. [20] Las transacciones del CNP representaron al menos el 50% de todos los fraudes con tarjetas de crédito. [21] Debido a la distancia física, no es posible que el comerciante presente un teclado al cliente en estos casos, por lo que se han ideado alternativas, que incluyen
En cuanto a cuál es más rápido, The New York Times explicó que es una cuestión de percepción: mientras que el método del chip requiere que el chip permanezca en la máquina hasta que se complete la transacción y el proceso de autorización, el método de deslizar el teléfono realiza la autorización en segundo plano. ; un recibo comienza a salir de inmediato. [23]
ISO/IEC 7816 -3 define el protocolo de transmisión entre tarjetas con chip y lectores. Utilizando este protocolo, los datos se intercambian en unidades de datos de protocolo de aplicación (APDU). Esto comprende enviar un comando a una tarjeta, la tarjeta lo procesa y envía una respuesta. EMV utiliza los siguientes comandos:
Los comandos seguidos de "7816-4" se definen en ISO/IEC 7816-4 y son comandos interindustriales utilizados para muchas aplicaciones de tarjetas con chip, como las tarjetas SIM GSM .
Una transacción EMV tiene los siguientes pasos: [24] [ se necesita fuente de terceros ]
ISO/IEC 7816 define un proceso para la selección de aplicaciones. La intención de la selección de aplicaciones era permitir que las tarjetas contuvieran aplicaciones completamente diferentes, por ejemplo GSM y EMV. Sin embargo, los desarrolladores de EMV implementaron la selección de aplicaciones como una forma de identificar el tipo de producto, de modo que todos los emisores de productos (Visa, Mastercard, etc.) deben tener su propia aplicación. La forma en que se prescribe la selección de aplicaciones en EMV es una fuente frecuente de problemas de interoperabilidad entre tarjetas y terminales. El libro 1 [25] del estándar EMV dedica 15 páginas a describir el proceso de selección de solicitudes.
Se utiliza un identificador de aplicación (AID) para abordar una aplicación en la tarjeta o en la Emulación de tarjeta host (HCE) si se entrega sin tarjeta. Un AID consta de un identificador de proveedor de aplicaciones registrado (RID) de cinco bytes, emitido por la autoridad de registro ISO/IEC 7816-5. A esto le sigue una extensión de identificador de aplicación patentada (PIX), que permite al proveedor de la aplicación diferenciar entre las diferentes aplicaciones ofrecidas. El AID está impreso en todos los recibos de los titulares de tarjetas EMV. Los emisores de tarjetas pueden modificar el nombre de la aplicación a partir del nombre de la red de tarjetas.
Lista de aplicaciones:
El terminal envía el comando obtener opciones de procesamiento a la tarjeta. Al emitir este comando, el terminal proporciona a la tarjeta cualquier elemento de datos solicitado por la tarjeta en la lista de objetos de datos de opciones de procesamiento (PDOL). La tarjeta proporciona opcionalmente el PDOL (una lista de etiquetas y longitudes de elementos de datos) al terminal durante la selección de la aplicación. La tarjeta responde con el perfil de intercambio de aplicaciones (AIP), una lista de funciones a realizar en el procesamiento de la transacción. La tarjeta también proporciona el localizador de archivos de aplicaciones (AFL), una lista de archivos y registros que el terminal necesita leer de la tarjeta. [ cita necesaria ]
Las tarjetas inteligentes almacenan datos en archivos. El AFL contiene los archivos que contienen datos EMV. Todos estos deben leerse usando el comando de lectura de registro. EMV no especifica en qué archivos se almacenan los datos, por lo que se deben leer todos los archivos. Los datos de estos archivos se almacenan en formato BER TLV . EMV define valores de etiqueta para todos los datos utilizados en el procesamiento de tarjetas. [28]
El propósito de las restricciones de procesamiento es ver si se debe utilizar la tarjeta. Se comprueban tres elementos de datos leídos en el paso anterior: Número de versión de la aplicación, Control de uso de la aplicación (muestra si la tarjeta es sólo para uso doméstico, etc.), Comprobación de fechas de vigencia/caducidad de la aplicación. [ cita necesaria ]
Si alguna de estas comprobaciones falla, la tarjeta no necesariamente se rechaza. El terminal establece el bit apropiado en los resultados de verificación del terminal (TVR), cuyos componentes forman la base de una decisión de aceptación/rechazo más adelante en el flujo de transacción. Esta característica permite, por ejemplo, que los emisores de tarjetas permitan a los titulares de tarjetas seguir usando tarjetas vencidas después de su fecha de vencimiento, pero que todas las transacciones con una tarjeta vencida se realicen en línea. [ cita necesaria ]
La autenticación de datos fuera de línea es una verificación criptográfica para validar la tarjeta mediante criptografía de clave pública . Hay tres procesos diferentes que se pueden realizar según la tarjeta: [ cita necesaria ]
Para verificar la autenticidad de las tarjetas de pago se utilizan certificados EMV. La Autoridad de Certificación EMV [29] emite certificados digitales a emisores de tarjetas de pago. Cuando se solicita, el chip de la tarjeta de pago proporciona el certificado de clave pública del emisor de la tarjeta y el SSAD al terminal. El terminal recupera la clave pública de la CA del almacenamiento local y la utiliza para confirmar la confianza de la CA y, si es confiable, para verificar que la clave pública del emisor de la tarjeta fue firmada por la CA. Si la clave pública del emisor de la tarjeta es válida, el terminal utiliza la clave pública del emisor de la tarjeta para verificar que el SSAD de la tarjeta haya sido firmado por el emisor de la tarjeta. [30]
La verificación del titular de la tarjeta se utiliza para evaluar si la persona que presenta la tarjeta es el titular legítimo. Hay muchos métodos de verificación de titulares de tarjetas (CVM) compatibles con EMV. Ellos son [ cita necesaria ]
El terminal utiliza una lista CVM leída de la tarjeta para determinar el tipo de verificación a realizar. La lista de CVM establece una prioridad de CVM a utilizar en relación con las capacidades del terminal. Diferentes terminales admiten diferentes CVM. Los cajeros automáticos generalmente admiten PIN en línea. Los terminales POS varían en su soporte CVM según el tipo y el país. [ cita necesaria ]
Para los métodos de PIN cifrado fuera de línea, el terminal cifra el bloque de PIN de texto sin cifrar con la clave pública de la tarjeta antes de enviarlo a la tarjeta con el comando Verificar. Para el método de PIN en línea, el terminal cifra el bloque de PIN de texto sin cifrar utilizando su clave de cifrado punto a punto antes de enviarlo al procesador del adquirente en el mensaje de solicitud de autorización.
Todos los métodos fuera de línea son vulnerables a ataques de intermediario. En 2017, EMVCo agregó soporte para métodos de verificación biométrica en la versión 4.3 de las especificaciones EMV. [31]
La gestión de riesgos de terminales solo se realiza en dispositivos donde hay que tomar una decisión sobre si una transacción debe autorizarse en línea o fuera de línea. Si las transacciones siempre se realizan en línea (por ejemplo, cajeros automáticos) o siempre fuera de línea, se puede omitir este paso. La gestión de riesgos de terminal compara el monto de la transacción con un límite máximo fuera de línea (por encima del cual las transacciones deben procesarse en línea). También es posible tener un 1 en un contador en línea y compararlo con una lista de tarjetas activas (que solo es necesaria para transacciones fuera de línea). Si el resultado de cualquiera de estas pruebas es positivo, el terminal establece el bit apropiado en los resultados de verificación del terminal (TVR). [32]
Los resultados de los pasos de procesamiento anteriores se utilizan para determinar si una transacción debe aprobarse fuera de línea, enviarse en línea para autorización o rechazarse fuera de línea. Esto se hace utilizando una combinación de objetos de datos conocidos como códigos de acción del terminal (TAC) guardados en el terminal y códigos de acción del emisor (IAC) leídos en la tarjeta. El TAC está lógicamente en OR con el IAC, para darle al adquirente de la transacción un nivel de control sobre el resultado de la transacción. Ambos tipos de código de acción toman los valores Denegación, En línea y Predeterminado. Cada código de acción contiene una serie de bits que corresponden a los bits de los resultados de verificación del terminal (TVR) y se utilizan en la decisión del terminal de aceptar, rechazar o conectarse en línea para una transacción de pago. El TAC lo establece el adquirente de la tarjeta; en la práctica, los esquemas de tarjetas recomiendan la configuración de TAC que se debe utilizar para un tipo de terminal particular dependiendo de sus capacidades. El IAC lo establece el emisor de la tarjeta; Algunos emisores de tarjetas pueden decidir que las tarjetas caducadas deben rechazarse estableciendo el bit apropiado en el IAC de denegación. Es posible que otros emisores deseen que la transacción se realice en línea para poder, en algunos casos, permitir que se lleven a cabo estas transacciones. [33] [ se necesita una mejor fuente ]
Cuando un dispositivo solo en línea realiza el procesamiento IAC-Online y TAC-Online, el único bit TVR relevante es "El valor de la transacción excede el límite mínimo". Debido a que el límite mínimo se establece en cero, la transacción siempre debe realizarse en línea y todos los demás valores en TAC-Online o IAC-Online son irrelevantes. Los dispositivos solo en línea no necesitan realizar el procesamiento predeterminado de IAC. Un dispositivo solo en línea, como un cajero automático, siempre intenta conectarse con la solicitud de autorización, a menos que se rechace fuera de línea debido a la configuración de denegación de IAC. Durante el procesamiento de denegación de IAC y de denegación de TAC, para un dispositivo solo en línea, el único bit de resultados de verificación de terminal relevante es "Servicio no permitido". [34]
Uno de los objetos de datos leídos de la tarjeta en la etapa Leer datos de la aplicación es CDOL1 (Lista de objetos de datos de la tarjeta). Este objeto es una lista de etiquetas que la tarjeta desea que se le envíe para tomar una decisión sobre si aprobar o rechazar una transacción (incluido el monto de la transacción, pero también muchos otros objetos de datos). El terminal envía estos datos y solicita un criptograma utilizando el comando generar criptograma de aplicación. Dependiendo de la decisión del terminal (fuera de línea, en línea, rechazar), el terminal solicita uno de los siguientes criptogramas de la tarjeta: [ cita necesaria ]
Este paso le da a la tarjeta la oportunidad de aceptar el análisis de acción del terminal o de rechazar una transacción o forzar una transacción en línea. La tarjeta no puede devolver un TC cuando se ha solicitado un ARQC, pero puede devolver un ARQC cuando se ha solicitado un TC. [34]
Las transacciones se realizan en línea cuando se solicita un ARQC. El ARQC se envía en el mensaje de autorización. La tarjeta genera el ARQC. Su formato depende de la aplicación de la tarjeta. EMV no especifica el contenido del ARQC. El ARQC creado por la aplicación de la tarjeta es una firma digital de los detalles de la transacción, que el emisor de la tarjeta puede verificar en tiempo real. Esto proporciona una sólida verificación criptográfica de que la tarjeta es genuina. El emisor responde a una solicitud de autorización con un código de respuesta (aceptando o rechazando la transacción), un criptograma de respuesta de autorización (ARPC) y, opcionalmente, un script del emisor (una cadena de comandos que se enviarán a la tarjeta). [34]
El procesamiento ARPC no se realiza en transacciones con contacto procesadas con Visa Quick Chip [35] para EMV y Mastercard M/Chip Fast, [36] y en transacciones sin contacto entre esquemas porque la tarjeta se retira del lector después de que se haya generado el ARQC.
CDOL2 (Lista de objetos de datos de la tarjeta) contiene una lista de etiquetas que la tarjeta deseaba enviar después de la autorización de la transacción en línea (código de respuesta, ARPC, etc.). Incluso si por alguna razón el terminal no pudiera conectarse (por ejemplo, falla de comunicación), el terminal debería enviar estos datos a la tarjeta nuevamente usando el comando generar criptograma de autorización. Esto le permite a la tarjeta conocer la respuesta del emisor. Luego, la aplicación de la tarjeta puede restablecer los límites de uso fuera de línea.
Si el emisor de una tarjeta desea actualizar la publicación de una tarjeta, puede enviar comandos a la tarjeta mediante el procesamiento de secuencias de comandos del emisor. Los scripts del emisor no tienen significado para el terminal y pueden cifrarse entre la tarjeta y el emisor para proporcionar seguridad adicional. El script del emisor se puede utilizar para bloquear tarjetas o cambiar los parámetros de la tarjeta. [37]
El procesamiento de secuencias de comandos del emisor no está disponible en transacciones de contacto procesadas con Visa Quick Chip [35] para EMV y Mastercard M/Chip Fast, [36] y para transacciones sin contacto entre esquemas.
La primera versión del estándar EMV se publicó en 1995. Ahora el estándar lo define y gestiona la corporación de propiedad privada EMVCo LLC. Los miembros actuales de EMVCo [38] son American Express , Discover Financial , JCB International , Mastercard , China UnionPay y Visa Inc. Cada una de estas organizaciones posee una parte igual de EMVCo y tiene representantes en la organización EMVCo y en los grupos de trabajo de EMVCo.
EMVCo emite el reconocimiento del cumplimiento del estándar EMV (es decir, certificación de dispositivo) luego de la presentación de los resultados de las pruebas realizadas por un organismo de pruebas acreditado. [ cita necesaria ]
Las pruebas de cumplimiento EMV tienen dos niveles: EMV Nivel 1, que cubre interfaces a nivel físico, eléctrico y de transporte, y EMV Nivel 2, que cubre la selección de aplicaciones de pago y el procesamiento de transacciones financieras de crédito. [ cita necesaria ]
Después de pasar las pruebas comunes de EMVCo, el software debe estar certificado por marcas de pago para cumplir con implementaciones EMV patentadas, como Visa VSDC, American Express AEIPS, Mastercard MChip, JCB JSmart o implementaciones compatibles con EMV de miembros que no son miembros de EMVCo, como LINK en el Reino Unido o Interac en Canadá. [ cita necesaria ]
A partir de 2011, desde la versión 4.0, los documentos estándar oficiales EMV que definen todos los componentes de un sistema de pago EMV se publican en cuatro "libros" y algunos documentos adicionales:
El primer estándar EMV apareció en 1995 como EMV 2.0. Se actualizó a EMV 3.0 en 1996 (a veces denominado EMV '96) con modificaciones posteriores a EMV 3.1.1 en 1998. Se modificó posteriormente a la versión 4.0 en diciembre de 2000 (a veces denominado EMV 2000). La versión 4.0 entró en vigor en junio de 2004. La versión 4.1 entró en vigor en junio de 2007. La versión 4.2 está en vigor desde junio de 2008. La versión 4.3 está en vigor desde noviembre de 2011. [44]
Además de los datos de la pista dos en la banda magnética, las tarjetas EMV generalmente tienen datos idénticos codificados en el chip, que se leen como parte del proceso normal de transacción EMV. Si un lector EMV se ve comprometido hasta el punto de que se intercepta la conversación entre la tarjeta y el terminal, entonces el atacante puede recuperar tanto los datos de la pista dos como el PIN, lo que permitirá la construcción de una tarjeta de banda magnética que, si bien no utilizable en un terminal con chip y PIN, puede usarse, por ejemplo, en dispositivos terminales que permiten recurrir al procesamiento con banda magnética para clientes extranjeros sin tarjetas con chip y con tarjetas defectuosas. Este ataque solo es posible cuando (a) el PIN fuera de línea se presenta en texto sin formato mediante el dispositivo de ingreso de PIN a la tarjeta, donde (b) el emisor de la tarjeta permite el respaldo de banda magnética y (c) donde no se pueden realizar comprobaciones geográficas y de comportamiento. realizado por el emisor de la tarjeta. [ cita necesaria ]
APACS , que representa a la industria de pagos del Reino Unido, afirmó que los cambios especificados en el protocolo (donde los valores de verificación de la tarjeta difieren entre la banda magnética y el chip – el iCVV) hicieron que este ataque fuera ineficaz y que tales medidas estarían vigentes a partir de enero de 2008. [45 ] Las pruebas realizadas con tarjetas en febrero de 2008 indicaron que esto podría haberse retrasado. [46]
La captura de conversaciones es una forma de ataque que, según se informó, tuvo lugar contra terminales Shell en mayo de 2006, cuando se vieron obligados a desactivar toda la autenticación EMV en sus gasolineras después de que se robara más de un millón de libras esterlinas a los clientes. [47]
En octubre de 2008, se informó que cientos de lectores de tarjetas EMV destinados a ser utilizados en Gran Bretaña, Irlanda, Países Bajos, Dinamarca y Bélgica habían sido manipulados en China durante o poco después de su fabricación. Durante nueve meses, se enviaron detalles y PIN de tarjetas de crédito y débito a través de redes de telefonía móvil a delincuentes en Lahore , Pakistán. El ejecutivo de contrainteligencia nacional de Estados Unidos, Joel Brenner, dijo: "Anteriormente sólo la agencia de inteligencia de un estado nación habría sido capaz de llevar a cabo este tipo de operación. Da miedo". Los datos generalmente se usaban un par de meses después de las transacciones con tarjeta para que a los investigadores les resultara más difícil identificar la vulnerabilidad. Después de que se descubrió el fraude, se descubrió que los terminales manipulados podían identificarse ya que los circuitos adicionales aumentaban su peso en unos 100 gramos. Se cree que se robaron decenas de millones de libras. [48] Esta vulnerabilidad estimuló esfuerzos para implementar un mejor control de los dispositivos POS durante todo su ciclo de vida, una práctica respaldada por estándares de seguridad de pagos electrónicos como los que está desarrollando Secure POS Vendor Alliance (SPVA). [49]
En un programa Newsnight de la BBC de febrero de 2008, los investigadores de la Universidad de Cambridge , Steven Murdoch y Saar Drimer, demostraron un ejemplo de ataque para ilustrar que el chip y el PIN no son lo suficientemente seguros como para justificar la transferencia de la responsabilidad de demostrar el fraude de los bancos a los clientes. [50] [51] El exploit de la Universidad de Cambridge permitió a los experimentadores obtener datos de la tarjeta para crear una banda magnética y el PIN.
APACS , la asociación de pagos del Reino Unido, no estuvo de acuerdo con la mayor parte del informe y dijo que "los tipos de ataques a dispositivos de entrada de PIN detallados en este informe son difíciles de llevar a cabo y actualmente no son económicamente viables para que los lleve a cabo un estafador". [52] También dijeron que los cambios en el protocolo (especificando diferentes valores de verificación de tarjeta entre el chip y la banda magnética – el iCVV) harían que este ataque fuera ineficaz a partir de enero de 2008.
En agosto de 2016, los investigadores de seguridad de NCR Corporation mostraron cómo los ladrones de tarjetas de crédito pueden reescribir el código de una banda magnética para que parezca una tarjeta sin chip, lo que permite la falsificación. [ cita necesaria ]
El 11 de febrero de 2010, el equipo de Murdoch y Drimer en la Universidad de Cambridge anunció que habían encontrado "un defecto en el chip y el PIN tan grave que creen que muestra que todo el sistema necesita una reescritura" que era "tan simple que los sorprendió". Una tarjeta robada se conecta a un circuito electrónico y a una tarjeta falsa que se inserta en el terminal (" ataque de intermediario "). Se pueden escribir cuatro dígitos cualesquiera y aceptarlos como PIN válido. [53] [54]
Un equipo del programa Newsnight de la BBC visitó una cafetería de la Universidad de Cambridge (con permiso) con el sistema, y pudieron pagar con sus propias tarjetas (un ladrón usaría tarjetas robadas) conectadas al circuito, insertando una tarjeta falsa y tecleando " 0000" como PIN. Las transacciones se registraron con normalidad y no fueron detectadas por los sistemas de seguridad de los bancos. Un miembro del equipo de investigación dijo: "Incluso los sistemas criminales de pequeña escala tienen mejores equipos que nosotros. La cantidad de sofisticación técnica necesaria para llevar a cabo este ataque es realmente bastante baja". El anuncio de la vulnerabilidad decía: "La experiencia requerida no es alta (nivel universitario en electrónica). Discutimos la afirmación del sector bancario de que los delincuentes no son lo suficientemente sofisticados, porque ya han demostrado un nivel de habilidad mucho mayor que el necesario para este ataque en sus skimmers miniaturizados de dispositivos de entrada de PIN". No se sabía si esta vulnerabilidad había sido aprovechada, pero podría explicar casos no resueltos de presunto fraude. [54]
EMVCo no estuvo de acuerdo y publicó una respuesta diciendo que, si bien un ataque de este tipo podría ser teóricamente posible, sería extremadamente difícil y costoso llevarlo a cabo con éxito, que los controles compensatorios actuales probablemente detecten o limiten el fraude, y que las posibles ganancias financieras de el ataque es mínimo, mientras que el riesgo de que se rechace una transacción o de que el defraudador quede expuesto es significativo. [55] El equipo de Cambridge no está de acuerdo: lo llevaron a cabo sin que los bancos se dieran cuenta, con equipos disponibles en el mercado y con algunas adiciones no sofisticadas. Se podrían fabricar fácilmente versiones menos voluminosas. Quienes producen estos equipos para el ataque no necesitan correr ningún riesgo, sino que pueden venderlos a cualquiera a través de Internet. [54]
Cuando se les pidió comentarios, varios bancos (Co-operative Bank, Barclays y HSBC) dijeron que se trataba de un problema que afectaba a toda la industria y remitieron al equipo de Newsnight a la asociación comercial bancaria para obtener más comentarios. [56] Según Phil Jones de la Asociación de Consumidores , Chip y PIN han ayudado a reducir los casos de delitos con tarjetas, pero muchos casos siguen sin explicación. "Lo que sí sabemos es que tenemos casos presentados por individuos que parecen bastante persuasivos". [ cita necesaria ]
El ataque aprovecha el hecho de que la elección del método de autenticación no está autenticada, lo que permite al intermediario. El terminal solicita un PIN, lo obtiene y la tarjeta confirma la transacción, que cree que está realizando una transacción con tarjeta y firma, que de hecho podría tener éxito sin conexión. También funciona online, quizás por falta de controles. [57]
Originalmente, los clientes de los bancos tenían que demostrar que no habían sido negligentes con su PIN antes de obtener reparación, pero las regulaciones del Reino Unido vigentes desde el 1 de noviembre de 2009 imponían a los bancos la responsabilidad de demostrar que un cliente había sido negligente en cualquier disputa, y se le otorgaba al cliente 13 meses para realizar una reclamación. [58] Murdoch dijo que "[los bancos] deberían revisar las transacciones anteriores en las que el cliente dijo que su PIN no había sido utilizado y el registro bancario mostró que sí, y considerar reembolsar a estos clientes porque podrían ser víctimas de este tipo de fraude." [54]
En la conferencia CanSecWest en marzo de 2011, Andrea Barisani y Daniele Bianco presentaron una investigación que descubre una vulnerabilidad en EMV que permitiría la recolección arbitraria de PIN a pesar de la configuración de verificación del titular de la tarjeta, incluso cuando los datos de CVM admitidos están firmados. [59]
La recolección de PIN se puede realizar con un skimmer de virutas. En esencia, los terminales POS aún respetan una lista CVM que se ha modificado para degradar el CVM a PIN fuera de línea, a pesar de que su firma no es válida. [60]
En 2020, los investigadores David Basin, Ralf Sasse y Jorge Toro de ETH Zurich informaron [61] [62] un problema de seguridad que afecta a las tarjetas sin contacto Visa : falta de protección criptográfica de los datos críticos enviados por la tarjeta al terminal durante una transacción EMV. Los datos en cuestión determinan el método de verificación del titular de la tarjeta (como la verificación del PIN) que se utilizará para la transacción. El equipo demostró que es posible modificar estos datos para engañar al terminal haciéndole creer que no se requiere ningún PIN porque el titular de la tarjeta fue verificado utilizando su dispositivo (por ejemplo, un teléfono inteligente). Los investigadores desarrollaron una aplicación de Android de prueba de concepto que convierte efectivamente una tarjeta Visa física en una aplicación de pago móvil (por ejemplo, Apple Pay , Google Pay ) para realizar compras de alto valor sin PIN. El ataque se lleva a cabo utilizando dos teléfonos inteligentes habilitados para NFC , uno cerca de la tarjeta física y el segundo cerca de la terminal de pago. El ataque podría afectar a las tarjetas de Discover y de UnionPay de China , pero esto no se demostró en la práctica, a diferencia de las tarjetas Visa.
A principios de 2021, el mismo equipo reveló que las tarjetas Mastercard también son vulnerables a un ataque de omisión de PIN. Demostraron que los delincuentes pueden engañar a una terminal para que realice transacciones con una tarjeta sin contacto Mastercard creyendo que es una tarjeta Visa. Esta confusión de marcas de tarjetas tiene consecuencias críticas, ya que se puede utilizar en combinación con la omisión del PIN de Visa para omitir también el PIN de las tarjetas Mastercard. [62]
EMV significa " Europay , Mastercard y Visa ", las tres empresas que crearon el estándar. La norma ahora está gestionada por EMVCo , un consorcio de empresas financieras. [1] Otros chips ampliamente conocidos del estándar EMV son:
Visa y Mastercard también han desarrollado estándares para el uso de tarjetas EMV en dispositivos para admitir transacciones con tarjeta sin presencia (CNP) por teléfono e Internet. Mastercard cuenta con el Programa de Autenticación de Chip (CAP) para un comercio electrónico seguro. Su implementación se conoce como EMV-CAP y admite varios modos. Visa tiene el esquema de autenticación dinámica de código de acceso (DPA), que es su implementación de CAP utilizando diferentes valores predeterminados.
En muchos países del mundo, las redes de pago con tarjetas de débito y/o crédito han implementado cambios de responsabilidad. [ cita necesaria ] Normalmente, el emisor de la tarjeta es responsable de las transacciones fraudulentas. Sin embargo, después de implementar un cambio de responsabilidad, si el cajero automático o la terminal de punto de venta del comerciante no admite EMV, el propietario del cajero automático o el comerciante es responsable de la transacción fraudulenta.
Los sistemas de chip y PIN pueden causar problemas a los viajeros de países que no emiten tarjetas con chip y PIN, ya que algunos minoristas pueden negarse a aceptar sus tarjetas sin chip. [63] Si bien la mayoría de las terminales todavía aceptan una tarjeta con banda magnética, y las principales marcas de tarjetas de crédito exigen que los proveedores las acepten, [64] algunos empleados pueden negarse a aceptar la tarjeta, bajo la creencia de que se les considera responsables de cualquier fraude si la La tarjeta no puede verificar un PIN. Es posible que las tarjetas sin chip y PIN tampoco funcionen en algunas máquinas expendedoras desatendidas en, por ejemplo, estaciones de tren o cajas de autoservicio en supermercados. [sesenta y cinco]
Chip y PIN se probaron en Northampton , Inglaterra , en mayo de 2003, [73] y, como resultado, se lanzaron a nivel nacional en el Reino Unido el 14 de febrero de 2006 [74] con anuncios en la prensa y la televisión nacional promocionando "La seguridad en los números". eslogan. Durante las primeras etapas de implementación, si se consideraba que se había producido una transacción fraudulenta con tarjeta magnética, el banco emisor reembolsaba al minorista, como ocurría antes de la introducción del chip y el PIN. El 1 de enero de 2005, la responsabilidad por dichas transacciones pasó al minorista; Esto actuó como un incentivo para que los minoristas actualizaran sus sistemas de punto de venta (PoS), y la mayoría de las principales cadenas comerciales actualizaron a tiempo para la fecha límite de EMV. Al principio, muchas empresas más pequeñas se mostraron reacias a actualizar sus equipos, ya que requería un sistema PoS completamente nuevo, una inversión significativa.
Actualmente, todos los grandes bancos emiten nuevas tarjetas con banda magnética y chip. El reemplazo de las tarjetas pre-Chip y PIN fue un problema importante, ya que los bancos simplemente declararon que los consumidores recibirían sus nuevas tarjetas "cuando la tarjeta anterior expire", a pesar de que muchas personas habían tenido tarjetas con fechas de vencimiento tan tardías como 2007. El emisor de la tarjeta Switch perdió un contrato importante con HBOS a favor de Visa , ya que no estaban listos para emitir las nuevas tarjetas tan pronto como quería el banco.
La implementación de chip y PIN fue criticada por estar diseñada para reducir la responsabilidad de los bancos en casos de fraude con tarjetas al exigir al cliente que demuestre que había actuado "con cuidado razonable" para proteger su PIN y su tarjeta, en lugar de que el banco tuviera que hacerlo. demostrar que la firma coincide. Antes de Chip y PIN, si se falsificaba la firma de un cliente, los bancos eran legalmente responsables y tenían que reembolsar al cliente. Hasta el 1 de noviembre de 2009 no existía ninguna ley que protegiera a los consumidores del uso fraudulento de sus transacciones con chip y PIN, sólo el Código Bancario voluntario . Hubo muchos informes de que los bancos se negaron a reembolsar a las víctimas del uso fraudulento de tarjetas, alegando que sus sistemas no podían fallar en las circunstancias informadas, a pesar de varios ataques exitosos a gran escala documentados. [ cita necesaria ]
El Reglamento de Servicios de Pago de 2009 entró en vigor el 1 de noviembre de 2009 [75] y transfirió a los bancos la responsabilidad de demostrar, en lugar de asumir, que el titular de la tarjeta tiene la culpa. [58] La Autoridad de Servicios Financieros (FSA) dijo: "Corresponde al banco, a la sociedad de construcción o a la compañía de tarjetas de crédito demostrar que la transacción fue realizada por usted y que no hubo fallas en los procedimientos o dificultades técnicas" antes de rechazar la responsabilidad.
Después del robo de identidad generalizado debido a la débil seguridad en las terminales de punto de venta de Target , Home Depot y otros minoristas importantes, Visa, Mastercard y Discover [80] en marzo de 2012 – y American Express [81] en junio de 2012 – anunciaron sus planes de migración EMV para los Estados Unidos. [82] Desde el anuncio, varios bancos y emisores de tarjetas han anunciado tarjetas con tecnología de chip y firma EMV, incluidos American Express, Bank of America, Citibank, Wells Fargo , [83] JPMorgan Chase, US Bank y varias cooperativas de crédito. .
En 2010, varias empresas comenzaron a emitir tarjetas de débito prepagas que incorporan chip y PIN y permiten a los estadounidenses cargar efectivo en euros o libras esterlinas . [84] [1] United Nations Federal Credit Union fue el primer emisor de los Estados Unidos en ofrecer tarjetas de crédito con chip y PIN. [85] En mayo de 2010, un comunicado de prensa de Gemalto (un productor mundial de tarjetas EMV) indicó que United Nations Federal Credit Union en Nueva York se convertiría en el primer emisor de tarjetas EMV en los Estados Unidos y ofrecería una tarjeta de crédito Visa EMV a sus clientes. . [86] JPMorgan fue el primer banco importante en introducir una tarjeta con tecnología EMV, concretamente su tarjeta Palladium , a mediados de 2012. [87]
En abril de 2016, el 70 % de los consumidores estadounidenses tenían tarjetas EMV y en diciembre de 2016, aproximadamente el 50 % de los comerciantes cumplían con EMV. [88] [89] Sin embargo, la implementación ha sido lenta e inconsistente entre los proveedores. Incluso los comerciantes con hardware EMV pueden no poder procesar transacciones con chips debido a deficiencias de software o cumplimiento. [90] Bloomberg también ha citado problemas con la implementación de software, incluidos cambios en las indicaciones de audio para las máquinas Verifone , que pueden tardar varios meses en lanzar e implementar el software. Sin embargo, los expertos de la industria esperan una mayor estandarización en los Estados Unidos para la implementación y los estándares de software. Visa y Mastercard han implementado estándares para acelerar las transacciones con chip con el objetivo de reducir el tiempo para que sean inferiores a tres segundos. Estos sistemas están etiquetados como Visa Quick Chip y Mastercard M/Chip Fast. [91]
{{citation}}: Comprobar |url=valor ( ayuda )No nos sorprende ni a nosotros ni a los banqueros que este ataque funcione fuera de línea [...] la verdadera sorpresa es que también funciona en línea
{{cite journal}}: Mantenimiento CS1: varios nombres: lista de autores ( enlace )