Número de identificación personal

Código PIN

Un número de identificación personal enviado a su usuario en una carta. La solapa de papel oscurecido impide que se lea el número al sostener el sobre sin abrir a la luz.

Un número de identificación personal ( PIN ), o a veces de manera redundante un número PIN o código PIN , es un código de acceso numérico (a veces alfanumérico ) que se utiliza en el proceso de autenticación de un usuario que accede a un sistema.

El PIN ha sido la clave para facilitar el intercambio privado de datos entre diferentes centros de procesamiento de datos en redes informáticas para instituciones financieras, gobiernos y empresas. ^[1] Los PIN pueden usarse para autenticar sistemas bancarios con titulares de tarjetas, gobiernos con ciudadanos, empresas con empleados y computadoras con usuarios, entre otros usos.

En el uso común, los PIN se utilizan en transacciones en cajeros automáticos o puntos de venta, ^[2] control de acceso seguro (por ejemplo, acceso a computadoras, acceso a puertas, acceso a automóviles), ^[3] transacciones por Internet, ^[4] o para iniciar sesión en un sitio web restringido.

Historia

El PIN se originó con la introducción del cajero automático (ATM) en 1967, como una forma eficiente para que los bancos dispensaran efectivo a sus clientes. El primer sistema de cajero automático fue el de Barclays en Londres, en 1967; aceptó cheques con codificación legible por máquina, en lugar de tarjetas, y cotejó el PIN con el cheque. ^{[5] [6] [7]} 1972, Lloyds Bank emitió la primera tarjeta bancaria que incluía una banda magnética que codificaba información, utilizando un PIN por seguridad. ^[8] James Goodfellow , el inventor que patentó el primer número de identificación personal, recibió un OBE en los Honores del Cumpleaños de la Reina de 2006 . ^{[9] [10]}

Mohamed M. Atalla inventó el primer módulo de seguridad de hardware (HSM) basado en PIN , ^[11] denominado "Atalla Box", un sistema de seguridad que cifraba mensajes PIN y de cajeros automáticos y protegía dispositivos fuera de línea con una clave generadora de PIN imposible de adivinar. ^[12] En 1972, Atalla presentó la patente estadounidense 3.938.091 para su sistema de verificación de PIN, que incluía un lector de tarjetas codificadas y describía un sistema que utilizaba técnicas de encriptación para garantizar la seguridad del enlace telefónico al ingresar información de identificación personal que se transmitía a una ubicación remota para su verificación. . ^[13]

Fundó Atalla Corporation (ahora Utimaco Atalla ) en 1972, ^[14] y lanzó comercialmente "Atalla Box" en 1973. ^[12] El producto se lanzó como Identikey. Era un lector de tarjetas y un sistema de identificación de clientes , que proporcionaba un terminal con capacidades de tarjeta plástica y PIN. El sistema fue diseñado para permitir que los bancos y las instituciones de ahorro pasen de un programa de libretas a un entorno de tarjetas plásticas . El sistema Identikey constaba de una consola lectora de tarjetas, dos teclados PIN para el cliente , un controlador inteligente y un paquete de interfaz electrónica incorporado. ^[15] El dispositivo constaba de dos teclados , uno para el cliente y otro para el cajero. Permitía al cliente introducir un código secreto, que el dispositivo transforma, mediante un microprocesador , en otro código para el cajero. ^[16] Durante una transacción , el lector de tarjetas leyó el número de cuenta del cliente . Este proceso reemplazó la entrada manual y evitó posibles errores al pulsar las teclas. Permitió a los usuarios reemplazar los métodos tradicionales de verificación de clientes, como la verificación de firmas y las preguntas de prueba, por un sistema PIN seguro. ^[15] En reconocimiento a su trabajo en el sistema PIN de gestión de seguridad de la información , Atalla ha sido denominado el "Padre del PIN". ^{[17] [18] [19]}

El éxito de "Atalla Box" llevó a la amplia adopción de módulos de seguridad de hardware basados ​​en PIN. ^[20] Su proceso de verificación de PIN era similar al del IBM 3624 posterior . ^[21] En 1998, se estima que el 70% de todas las transacciones en cajeros automáticos en los Estados Unidos se enrutaban a través de módulos de hardware especializados de Atalla, ^[22] y en 2003, Atalla Box aseguraba el 80% de todos los cajeros automáticos del mundo, ^[17] aumentando a 85% en 2006. ^[23] Los productos HSM de Atalla protegen 250  millones de transacciones con tarjeta todos los días en 2013, ^[14] y aún protegen la mayoría de las transacciones en cajeros automáticos del mundo en 2014. ^[11]

Servicios financieros

Uso de PIN

En el contexto de una transacción financiera, normalmente se requieren tanto un "código PIN" privado como un identificador de usuario público para autenticar a un usuario en el sistema. En estas situaciones, normalmente se solicita al usuario que proporcione un identificador o token de usuario no confidencial (el ID de usuario ) y un PIN confidencial para obtener acceso al sistema. Al recibir la ID de usuario y el PIN, el sistema busca el PIN basándose en la ID de usuario y compara el PIN buscado con el PIN recibido. Al usuario se le otorga acceso solo cuando el número ingresado coincide con el número almacenado en el sistema. Por tanto, a pesar del nombre, un PIN no identifica personalmente al usuario. ^[24] El PIN no está impreso ni incrustado en la tarjeta, sino que el titular de la tarjeta lo ingresa manualmente durante las transacciones en cajeros automáticos (ATM) y puntos de venta (POS) (como aquellos que cumplen con EMV ), y en la tarjeta no presente. transacciones, como por Internet o para banca telefónica.

Longitud del PIN

El estándar internacional para la gestión de PIN de servicios financieros, ISO 9564 -1, permite PIN de cuatro a doce dígitos, pero recomienda que, por razones de usabilidad, el emisor de la tarjeta no asigne un PIN de más de seis dígitos. ^[25] El inventor del cajero automático, John Shepherd-Barron , había imaginado al principio un código numérico de seis dígitos, pero su esposa sólo podía recordar cuatro dígitos, y esa longitud se ha convertido en la longitud más utilizada en muchos lugares, ^[6] aunque los bancos de Suiza y de muchos otros países exigen un PIN de seis dígitos.

Validación de PIN

Existen varios métodos principales para validar los PIN. Las operaciones que se describen a continuación generalmente se realizan dentro de un módulo de seguridad de hardware (HSM).

Método IBM 3624

Uno de los primeros modelos de cajero automático fue el IBM 3624 , que utilizaba el método de IBM para generar lo que se denomina PIN natural . El PIN natural se genera cifrando el número de cuenta principal (PAN), utilizando una clave de cifrado generada específicamente para ese fin. ^[26] Esta clave a veces se denomina clave de generación de PIN (PGK). Este PIN está directamente relacionado con el número de cuenta principal. Para validar el PIN, el banco emisor vuelve a generar el PIN utilizando el método anterior y lo compara con el PIN ingresado.

Los PIN naturales no pueden ser seleccionables por el usuario porque se derivan del PAN. Si la tarjeta se reemite con un nuevo PAN, se deberá generar un nuevo PIN.

Los PIN naturales permiten a los bancos emitir cartas de recordatorio de PIN a medida que se puede generar el PIN.

IBM 3624 + método de compensación

Para permitir PIN seleccionables por el usuario, es posible almacenar un valor de compensación de PIN. La compensación se encuentra restando el PIN natural del PIN seleccionado por el cliente usando el módulo 10. ^[27] Por ejemplo, si el PIN natural es 1234 y el usuario desea tener un PIN de 2345, la compensación es 1111.

La compensación se puede almacenar en los datos de seguimiento de la tarjeta, ^[28] o en una base de datos del emisor de la tarjeta.

Para validar el PIN, el banco emisor calcula el PIN natural como en el método anterior, luego suma la compensación y compara este valor con el PIN ingresado.

método VISA

Al utilizar este terminal de tarjeta de crédito, el titular de una tarjeta VISA desliza o inserta su tarjeta de crédito e ingresa su PIN en el teclado.

El método VISA es utilizado por muchos sistemas de tarjetas y no es específico de VISA. El método VISA genera un valor de verificación de PIN (PVV). De manera similar al valor de compensación, se puede almacenar en los datos de seguimiento de la tarjeta o en una base de datos del emisor de la tarjeta. Esto se llama PVV de referencia.

El método VISA toma los once dígitos más a la derecha del PAN, excluyendo el valor de la suma de verificación, un índice de clave de validación del PIN (PVKI, elegido del uno al seis, un PVKI de 0 indica que el PIN no se puede verificar a través de PVS ^[29] ) y el código requerido. Valor PIN para formar un número de 64 bits, el PVKI selecciona una clave de validación (PVK, de 128 bits) para cifrar este número. A partir de este valor cifrado, se encuentra el PVV. ^[30]

Para validar el PIN, el banco emisor calcula un valor PVV a partir del PIN y PAN ingresados ​​y compara este valor con el PVV de referencia. Si el PVV de referencia y el PVV calculado coinciden, se ingresó el PIN correcto.

A diferencia del método IBM, el método VISA no genera un PIN. El valor PVV se utiliza para confirmar el PIN ingresado en el terminal, también se utilizó para generar el PVV de referencia. El PIN utilizado para generar un PVV puede generarse aleatoriamente, seleccionarse por el usuario o incluso derivarse mediante el método de IBM.

PIN de seguridad

Los PIN financieros suelen ser números de cuatro dígitos en el rango 0000-9999, lo que da como resultado 10.000 combinaciones posibles. Suiza emite PIN de seis dígitos de forma predeterminada. ^[31]

Algunos sistemas configuran PIN predeterminados y la mayoría permite al cliente configurar un PIN o cambiar el predeterminado, y en algunos es obligatorio cambiar el PIN en el primer acceso. Por lo general, se recomienda a los clientes que no configuren un PIN basado en su cumpleaños o el de su cónyuge, en los números de licencia de conducir, en números consecutivos o repetitivos o en otros esquemas. Algunas instituciones financieras no dan ni permiten PIN donde todos los dígitos son idénticos (como 1111, 2222,...), consecutivos (1234, 2345,...), números que comienzan con uno o más ceros, o el último cuatro dígitos del número de seguro social o fecha de nacimiento del titular de la tarjeta. ^{[ cita necesaria ]}

Muchos sistemas de verificación de PIN permiten tres intentos, lo que le da al ladrón de tarjetas una probabilidad putativa del 0,03% de adivinar el PIN correcto antes de que se bloquee la tarjeta. Esto sólo es válido si todos los PIN son igualmente probables y el atacante no tiene más información disponible, lo que no ha sido el caso con algunos de los muchos algoritmos de generación y verificación de PIN que las instituciones financieras y los fabricantes de cajeros automáticos han utilizado en el pasado. ^[32]

Se han realizado investigaciones sobre los PIN de uso común. ^[33] El resultado es que, sin previsión, una parte considerable de los usuarios pueden encontrar su PIN vulnerable. "Armados con sólo cuatro posibilidades, los piratas informáticos pueden descifrar el 20% de todos los PIN. No les permitan más de quince números y podrán intervenir las cuentas de más de una cuarta parte de los titulares de tarjetas". ^[34]

Los PIN frágiles pueden empeorar con la longitud, a saber:

El problema con los PIN adivinables empeora sorprendentemente cuando los clientes se ven obligados a utilizar dígitos adicionales, pasando de aproximadamente un 25% de probabilidad con quince números a más del 30% (sin contar los 7 dígitos con todos esos números de teléfono). De hecho, aproximadamente la mitad de todos los PIN de 9 dígitos se pueden reducir a dos docenas de posibilidades, en gran parte porque más del 35% de todas las personas usan el tentador 123456789. En cuanto al 64% restante, es muy probable que estén usando su Número de Seguro Social , lo que los hace vulnerables. (Los números de seguro social contienen sus propios patrones conocidos). ^[34]

Defectos de implementación

En 2002, dos estudiantes de doctorado de la Universidad de Cambridge , Piotr Zieliński y Mike Bond, descubrieron una falla de seguridad en el sistema de generación de PIN del IBM 3624 , que estaba duplicado en la mayoría del hardware posterior. Conocido como el ataque de la tabla de decimalización, el fallo permitiría a alguien que tenga acceso al sistema informático de un banco determinar el PIN de una tarjeta de cajero automático en un promedio de 15 intentos. ^{[35] [36]}

Engaño de PIN inverso

Han circulado rumores por correo electrónico e Internet que afirman que en caso de ingresar un PIN en un cajero automático al revés, las autoridades serán alertadas instantáneamente y el dinero normalmente se emitirá como si el PIN se hubiera ingresado correctamente. ^[37] La ​​intención de este plan sería proteger a las víctimas de atracos; sin embargo, a pesar de que el sistema se propone para su uso en algunos estados de EE. UU., ^{[38] [39]} actualmente no existen cajeros automáticos que empleen este software. ^[40]

Contraseñas de teléfonos móviles

Un teléfono móvil puede estar protegido con PIN. Si está habilitado, el PIN (también llamado código de acceso) para teléfonos móviles GSM puede tener entre cuatro y ocho dígitos ^[41] y se registra en la tarjeta SIM . Si dicho PIN se ingresa incorrectamente tres veces, la tarjeta SIM se bloquea hasta que se ingresa un código de desbloqueo personal (PUC o PUK), proporcionado por el operador del servicio. Si la PUC se ingresa incorrectamente diez veces, la tarjeta SIM se bloquea permanentemente y se requiere una nueva tarjeta SIM del servicio del operador de telefonía móvil.

Los PIN también se utilizan comúnmente en los teléfonos inteligentes, como una forma de autenticación personal, de modo que sólo aquellos que conocen el PIN podrán desbloquear el dispositivo. Después de varios intentos fallidos de ingresar el PIN correcto, es posible que se impida al usuario volver a intentarlo durante un período de tiempo asignado, que se eliminen todos los datos almacenados en el dispositivo o que se le solicite al usuario que ingrese información alternativa que Sólo se espera que el propietario sepa cómo autenticarse. Si alguno de los fenómenos mencionados anteriormente ocurre después de intentos fallidos de ingresar el PIN depende en gran medida del dispositivo y de las preferencias elegidas por el propietario en su configuración.

Ver también

• Software PIN de seguridad para cajeros automáticos
• tarjeta universitaria
• Número de autenticación de transacción

Referencias

1. Higgs, Edward (1998). Historia y artefactos electrónicos . Prensa de la Universidad de Oxford. ISBN 0198236336.
2. Martín, Keith (2012). Criptografía cotidiana: principios fundamentales y aplicaciones . Prensa de la Universidad de Oxford. ISBN 9780199695591.
3. Cale, Stéphane (2013). Seguridad del acceso móvil: más allá de BYOD . Publicación Wiley. ISBN 978-1-84821-435-4.
4. "Comercio electrónico: una red enredada para el débito con PIN". Transacciones Digitales . 1 de febrero de 2013 - vía Associated Press.
5. Jarunee Wonglimpiyara, Estrategias de competencia en el negocio de las tarjetas bancarias (2005), pág. 1-3.
6. "El hombre que inventó el cajero automático". BBC. 25 de junio de 2007 . Consultado el 15 de junio de 2014 .
7. "El inventor de los cajeros automáticos John Shepherd-Barron muere a los 84 años". Los Ángeles Times . 19 de mayo de 2010 - vía Associated Press.
8. Jarunee Wonglimpiyara, Estrategias de competencia en el negocio de las tarjetas bancarias (2005), pág. 5.
9. "Honor real para el inventor de Pin". BBC. 2006-06-16 . Consultado el 5 de noviembre de 2007 .
10. GB 1197183  "Mejoras en los sistemas dispensadores operados por el cliente o en relación con ellos" - Ivan Oliveira, Anthony Davies, James Goodfellow
11. Stiennon, Richard (17 de junio de 2014). "La gestión de claves es un espacio de rápido crecimiento". SeguridadActual . TI-Cosecha . Consultado el 21 de agosto de 2019 .
12. Bátiz-Lazo, Bernardo (2018). Cash and Dash: cómo los cajeros automáticos y las computadoras cambiaron la banca. Prensa de la Universidad de Oxford . págs.284 y 311. ISBN 9780191085574.
13. "Los impactos económicos del programa del estándar de cifrado de datos (DES) del NIST" (PDF) . Instituto Nacional de Estándares y Tecnología . Departamento de Comercio de Estados Unidos . Octubre de 2001. Archivado desde el original (PDF) el 30 de agosto de 2017 . Consultado el 21 de agosto de 2019 .
14. Langford, Susan (2013). "Ataques de retiro de efectivo en cajeros automáticos" (PDF) . Empresa Hewlett Packard . Hewlett Packard . Consultado el 21 de agosto de 2019 .
15. "Sistema de identificación diseñado como actualización NCR 270". Mundo de la informática . Empresa IDG. 12 (7): 49. 13 de febrero de 1978.
16. "Revelados cuatro productos para transacciones en línea". Mundo de la informática . Empresa IDG. 10 (4): 3. 26 de enero de 1976.
17. "Martín M. (Juan) Atalla". Universidad de Purdue . 2003 . Consultado el 2 de octubre de 2013 .
18. "El gurú de la seguridad aborda Net: el padre de PIN 'se retira' para lanzar TriStrata". Las revistas de negocios . Revistas de negocios de ciudades estadounidenses . 2 de mayo de 1999 . Consultado el 23 de julio de 2019 .
19. "Las Escuelas de Ingeniería de Purdue honran a 10 alumnos distinguidos". Diario y mensajería . 5 de mayo de 2002. p. 33.
20. Bátiz-Lazo, Bernardo (2018). Cash and Dash: cómo los cajeros automáticos y las computadoras cambiaron la banca. Prensa de la Universidad de Oxford . pag. 311.ISBN​ 9780191085574.
21. Konheim, Alan G. (1 de abril de 2016). "Cajeros automáticos: su historial y protocolos de autenticación". Revista de ingeniería criptográfica . 6 (1): 1–29. doi :10.1007/s13389-015-0104-3. ISSN  2190-8516. S2CID  1706990. Archivado desde el original el 22 de julio de 2019 . Consultado el 22 de julio de 2019 .
22. Grant, Gail L. (1998). Comprensión de las firmas digitales: establecimiento de confianza en Internet y otras redes. McGraw-Hill . pag. 163.ISBN​ 9780070125544. De hecho, se estima que el 70 por ciento de todas las transacciones en cajeros automáticos bancarios en EE. UU. se enrutan a través de módulos de seguridad de hardware especializados de Atalla.
23. "Descripción general de la cartera de pagos y HSM GP" (PDF) . Utimaco . Archivado desde el original (PDF) el 21 de julio de 2021 . Consultado el 22 de julio de 2019 .
24. Su número de identificación no es una contraseña, Webb-site.com, 8 de noviembre de 2010
25. ISO 9564-1: 2011 Servicios financieros - Gestión y seguridad del número de identificación personal (PIN) - Parte 1: Principios y requisitos básicos para los PIN en sistemas basados ​​en tarjetas, cláusula 8.1 Longitud del PIN
26. "Algoritmo de generación de PIN 3624". IBM.
27. "Algoritmo de generación de compensación de PIN". IBM.
28. "Formato de seguimiento de tarjetas de banda magnética". Gae.ucm.es. Archivado desde el original el 28 de septiembre de 2014 . Consultado el 25 de abril de 2010 .
29. "Guía del usuario de la placa Sun Crypto Accelerator 6000 para la versión 1.0". docs.oracle.com . Consultado el 22 de junio de 2021 .
30. "Algoritmo de generación PVV". IBM.
31. Wang, Ding; Gu, Qianchen; Huang, Xinyi; Wang, Ping (2 de abril de 2017). "Comprensión de los PIN elegidos por humanos". Actas de la Conferencia ACM de Asia de 2017 sobre seguridad informática y de las comunicaciones . Asia CCS '17. Abu Dabi, Emiratos Árabes Unidos: ACM. págs. 372–385. doi :10.1145/3052973.3053031. ISBN 978-1-4503-4944-4. S2CID  14259782.
32. Kuhn, Markus (julio de 1997). "Teoría de la probabilidad para carteristas: adivinanzas con ec-PIN" (PDF) . Consultado el 24 de noviembre de 2006 . {{cite journal}}: Citar diario requiere |journal=( ayuda )
33. Nick Berry (28 de septiembre de 2012). "Los PIN más comunes: ¿tu cuenta bancaria es vulnerable?". Sitio web del periódico Guardian . Consultado el 25 de febrero de 2013 .
34. Lundin, Leigh (4 de agosto de 2013). "PIN y contraseñas, parte 1". Contraseñas . Orlando : SleuthSayers. Armados con sólo cuatro posibilidades, los piratas informáticos pueden descifrar el 20% de todos los PIN.
35. Zieliński, P y Bond, M (febrero de 2003). "Ataques a la tabla de decimales para descifrar PIN" (PDF) . 02453. Laboratorio de Computación de la Universidad de Cambridge . Consultado el 24 de noviembre de 2006 . {{cite journal}}: Citar diario requiere |journal=( ayuda )
36. "Cobertura de los medios". Laboratorio de Computación de la Universidad de Cambridge. Archivado desde el original el 2018-10-20 . Consultado el 24 de noviembre de 2006 .
37. "Código de pánico PIN inverso". 7 de octubre de 2006 . Consultado el 2 de marzo de 2007 .
38. Texto completo de la Asamblea General de Illinois SB0562, consultado el 20 de julio de 2011.
39. sb379_SB_379_PF_2.html Proyecto de ley del Senado 379 Archivado el 23 de marzo de 2012 en la Asamblea General de Wayback Machine Georgia, publicado en 2006, consultado el 20 de julio de 2011.
40. "¿Ingresar el PIN de su cajero automático al revés activará a la policía?". Extraño . 2020-12-15 . Consultado el 27 de febrero de 2021 .
41. 082251615790 GSM 02.17 Módulos de identidad de abonado, características funcionales, versión 3.2.0, febrero de 1992, cláusula 3.1.3