Número de identificación personal

Código PIN

Un número de identificación personal ( PIN ), código PIN o, a veces de manera redundante, un número PIN , es un código de acceso numérico (a veces alfanumérico) utilizado en el proceso de autenticación de un usuario que accede a un sistema.

El PIN ha sido la clave para facilitar el intercambio de datos privados entre diferentes centros de procesamiento de datos en redes informáticas para instituciones financieras, gobiernos y empresas. ^[1] Los PIN pueden utilizarse para autenticar sistemas bancarios con titulares de tarjetas, gobiernos con ciudadanos, empresas con empleados y computadoras con usuarios, entre otros usos.

En el uso común, los PIN se utilizan en transacciones en cajeros automáticos o puntos de venta, ^[2] control de acceso seguro (por ejemplo, acceso a computadoras, acceso a puertas, acceso a automóviles), ^[3] transacciones por Internet, ^[4] o para iniciar sesión en un sitio web restringido.

Historia

El PIN se originó con la introducción del cajero automático (ATM) en 1967, como una forma eficiente para que los bancos dispensaran efectivo a sus clientes. El primer sistema de cajero automático fue el de Barclays en Londres, en 1967; aceptaba cheques con codificación legible por máquina, en lugar de tarjetas, y hacía coincidir el PIN con el cheque. ^{[5] [6] [7]} En 1972, Lloyds Bank emitió la primera tarjeta bancaria que presentaba una banda magnética codificadora de información, utilizando un PIN para seguridad. ^[8] James Goodfellow , el inventor que patentó el primer número de identificación personal, fue galardonado con un OBE en los Honores del Cumpleaños de la Reina de 2006. ^{[9] [10]}

Mohamed M. Atalla inventó el primer módulo de seguridad de hardware basado en PIN (HSM), ^[11] denominado "Atalla Box", un sistema de seguridad que encriptaba los mensajes de PIN y de cajeros automáticos y protegía los dispositivos fuera de línea con una clave generadora de PIN imposible de adivinar. ^[12] En 1972, Atalla presentó la patente estadounidense 3.938.091 para su sistema de verificación de PIN, que incluía un lector de tarjetas codificado y describía un sistema que utilizaba técnicas de encriptación para asegurar la seguridad del enlace telefónico al ingresar información de identificación personal que se transmitía a una ubicación remota para su verificación. ^[13]

Fundó Atalla Corporation (ahora Utimaco Atalla ) en 1972, ^[14] y lanzó comercialmente la "Atalla Box" en 1973. ^[12] El producto fue lanzado como Identikey. Era un lector de tarjetas y un sistema de identificación de clientes , que proporcionaba una terminal con capacidades de tarjeta plástica y PIN. El sistema fue diseñado para permitir que los bancos e instituciones de ahorro cambiaran a un entorno de tarjeta plástica desde un programa de libreta . El sistema Identikey consistía en una consola de lectura de tarjetas, dos teclados PIN para clientes , un controlador inteligente y un paquete de interfaz electrónica incorporado. ^[15] El dispositivo constaba de dos teclados , uno para el cliente y otro para el cajero. Permitía al cliente escribir un código secreto, que es transformado por el dispositivo, utilizando un microprocesador , en otro código para el cajero. ^[16] Durante una transacción , el número de cuenta del cliente era leído por el lector de tarjetas . Este proceso reemplazó la entrada manual y evitó posibles errores de pulsación de teclas. Permitió a los usuarios reemplazar los métodos tradicionales de verificación de clientes, como la verificación de firma y las preguntas de prueba, con un sistema PIN seguro. ^[15] En reconocimiento a su trabajo en el sistema PIN de gestión de seguridad de la información , Atalla ha sido denominado el "Padre del PIN". ^{[17] [18] [19]}

El éxito de la "Atalla Box" condujo a la amplia adopción de módulos de seguridad de hardware basados ​​en PIN. ^[20] Su proceso de verificación de PIN era similar al posterior IBM 3624. [ ^21] Para 1998, se estima que el 70% de todas las transacciones de cajeros automáticos en los Estados Unidos se enrutaban a través de módulos de hardware especializados de Atalla, ^[22] y para 2003, la Atalla Box protegía el 80% de todos los cajeros automáticos del mundo, ^[17] aumentando al 85% a partir de 2006. ^[23] Los productos HSM de Atalla protegen 250  millones de transacciones de tarjetas todos los días a partir de 2013, ^[14] y todavía protegen la mayoría de las transacciones de cajeros automáticos del mundo a partir de 2014. ^[11]

Servicios financieros

Uso del PIN

En el contexto de una transacción financiera, normalmente se requiere tanto un "código PIN" privado como un identificador de usuario público para autenticar a un usuario en el sistema. En estas situaciones, normalmente se requiere que el usuario proporcione un identificador de usuario no confidencial o token (el ID de usuario ) y un PIN confidencial para obtener acceso al sistema. Al recibir el ID de usuario y el PIN, el sistema busca el PIN basándose en el ID de usuario y compara el PIN buscado con el PIN recibido. Al usuario se le concede acceso solo cuando el número ingresado coincide con el número almacenado en el sistema. Por lo tanto, a pesar del nombre, un PIN no identifica personalmente al usuario. ^[24] El PIN no está impreso o incrustado en la tarjeta, sino que lo ingresa manualmente el titular de la tarjeta durante las transacciones en cajeros automáticos (ATM) y puntos de venta (POS) (como los que cumplen con EMV ), y en transacciones sin tarjeta presente , como por Internet o para banca telefónica.

Longitud del PIN

El estándar internacional para la gestión de PIN de servicios financieros, ISO 9564 -1, permite PIN de cuatro a doce dígitos, pero recomienda que por razones de usabilidad el emisor de la tarjeta no asigne un PIN de más de seis dígitos. ^[25] El inventor del cajero automático, John Shepherd-Barron , había imaginado al principio un código numérico de seis dígitos, pero su esposa solo podía recordar cuatro dígitos, y esa se ha convertido en la longitud más utilizada en muchos lugares, ^[6] aunque los bancos en Suiza y muchos otros países requieren un PIN de seis dígitos.

Validación de PIN

Existen varios métodos principales para validar los PIN. Las operaciones que se describen a continuación se realizan normalmente dentro de un módulo de seguridad de hardware (HSM).

Método IBM 3624

Uno de los primeros modelos de cajeros automáticos fue el IBM 3624 , que utilizaba el método IBM para generar lo que se denomina un PIN natural . El PIN natural se genera cifrando el número de cuenta principal (PAN), utilizando una clave de cifrado generada específicamente para ese fin. ^[26] Esta clave a veces se denomina clave de generación de PIN (PGK). Este PIN está directamente relacionado con el número de cuenta principal. Para validar el PIN, el banco emisor lo regenera utilizando el método anterior y lo compara con el PIN introducido.

Los PIN naturales no pueden ser seleccionados por el usuario porque se derivan del PAN. Si la tarjeta se vuelve a emitir con un nuevo PAN, se debe generar un nuevo PIN.

Los PIN naturales permiten a los bancos emitir cartas recordatorias del PIN, ya que éste se puede generar.

Método de desplazamiento + IBM 3624

Para permitir que el usuario seleccione un PIN, es posible almacenar un valor de compensación del PIN. La compensación se obtiene restando el PIN natural del PIN seleccionado por el cliente utilizando el módulo 10. ^[27] Por ejemplo, si el PIN natural es 1234 y el usuario desea tener un PIN de 2345, la compensación es 1111.

El desplazamiento se puede almacenar en los datos de la pista de la tarjeta, ^[28] o en una base de datos en el emisor de la tarjeta.

Para validar el PIN, el banco emisor calcula el PIN natural como en el método anterior, luego agrega el desplazamiento y compara este valor con el PIN ingresado.

Método VISA

Al utilizar esta terminal de tarjeta de crédito, el titular de una tarjeta VISA desliza o inserta su tarjeta de crédito e ingresa su PIN en el teclado.

El método VISA es utilizado por muchos sistemas de tarjetas y no es específico de VISA. El método VISA genera un valor de verificación de PIN (PVV). De manera similar al valor de compensación, se puede almacenar en los datos de seguimiento de la tarjeta o en una base de datos del emisor de la tarjeta. Esto se denomina PVV de referencia.

El método VISA toma los once dígitos más a la derecha del PAN excluyendo el valor de la suma de comprobación, un índice de clave de validación de PIN (PVKI, elegido de uno a seis, un PVKI de 0 indica que el PIN no se puede verificar a través de PVS ^[29] ) y el valor de PIN requerido para formar un número de 64 bits, el PVKI selecciona una clave de validación (PVK, de 128 bits) para cifrar este número. A partir de este valor cifrado, se encuentra el PVV. ^[30]

Para validar el PIN, el banco emisor calcula un valor PVV a partir del PIN y el PAN ingresados ​​y compara este valor con el PVV de referencia. Si el PVV de referencia y el PVV calculado coinciden, se ingresó el PIN correcto.

A diferencia del método IBM, el método VISA no deriva un PIN. El valor PVV se utiliza para confirmar el PIN introducido en el terminal y también se utilizó para generar el PVV de referencia. El PIN utilizado para generar un PVV puede generarse de forma aleatoria, seleccionarse por el usuario o incluso derivarse mediante el método IBM.

Seguridad del PIN

Los PIN financieros suelen ser números de cuatro dígitos en el rango 0000-9999, lo que da como resultado 10.000 combinaciones posibles. Suiza emite PIN de seis dígitos por defecto. ^[31]

Algunos sistemas establecen PIN predeterminados y la mayoría permite al cliente configurar un PIN o cambiar el predeterminado, y en algunos es obligatorio cambiar el PIN en el primer acceso. Por lo general, se recomienda a los clientes que no configuren un PIN basado en su cumpleaños o el de su cónyuge, en números de licencia de conducir, números consecutivos o repetidos, o en otros esquemas. Algunas instituciones financieras no proporcionan o permiten PIN donde todos los dígitos son idénticos (como 1111, 2222, ...), consecutivos (1234, 2345, ...), números que comienzan con uno o más ceros, o los últimos cuatro dígitos del número de seguro social o la fecha de nacimiento del titular de la tarjeta. ^{[ cita requerida ]}

Muchos sistemas de verificación de PIN permiten tres intentos, lo que da al ladrón de tarjetas una probabilidad putativa del 0,03% de adivinar el PIN correcto antes de que la tarjeta sea bloqueada. Esto sólo es válido si todos los PIN son igualmente probables y el atacante no tiene más información disponible, lo que no ha sido el caso con algunos de los numerosos algoritmos de generación y verificación de PIN que las instituciones financieras y los fabricantes de cajeros automáticos han utilizado en el pasado. ^[32]

Se han realizado investigaciones sobre los PIN de uso más común. ^[33] El resultado es que, sin una previsión, una parte considerable de los usuarios pueden considerar vulnerable su PIN. "Con sólo cuatro posibilidades, los piratas informáticos pueden descifrar el 20% de todos los PIN. Si no les permiten más de quince números, pueden intervenir las cuentas de más de una cuarta parte de los titulares de tarjetas". ^[34]

Los PIN frágiles pueden empeorar con la longitud, a saber:

El problema de los PINs adivinables empeora sorprendentemente cuando los clientes se ven obligados a utilizar dígitos adicionales, pasando de una probabilidad de alrededor del 25% con quince números a más del 30% (sin contar los 7 dígitos con todos esos números de teléfono). De hecho, aproximadamente la mitad de todos los PINs de 9 dígitos se pueden reducir a dos docenas de posibilidades, en gran medida porque más del 35% de todas las personas utilizan el demasiado tentador 123456789. En cuanto al 64% restante, existe una buena posibilidad de que estén utilizando su número de la Seguridad Social , lo que los hace vulnerables. (Los números de la Seguridad Social contienen sus propios patrones bien conocidos.) ^[34]

Defectos de implementación

En 2002, dos estudiantes de doctorado de la Universidad de Cambridge , Piotr Zieliński y Mike Bond, descubrieron un fallo de seguridad en el sistema de generación de PIN del IBM 3624 , que se duplicó en la mayoría de los equipos posteriores. Conocido como el ataque de la tabla de decimalización, el fallo permitiría a alguien que tuviera acceso al sistema informático de un banco determinar el PIN de una tarjeta de cajero automático en un promedio de 15 intentos. ^{[35] [36]}

Engaño de PIN inverso

Han circulado por correo electrónico e Internet rumores que afirman que, en caso de introducir un PIN al revés en un cajero automático, se alertará instantáneamente a las autoridades y se emitirá dinero como si el PIN se hubiera introducido correctamente. ^[37] La ​​intención de este plan sería proteger a las víctimas de atracos; sin embargo, a pesar de que se ha propuesto el uso del sistema en algunos estados de EE. UU., ^{[38] [39]} actualmente no existen cajeros automáticos que empleen este software. ^[40]

Códigos de acceso de teléfonos móviles

Un teléfono móvil puede estar protegido mediante PIN. Si está habilitado, el PIN (también llamado código de acceso) para teléfonos móviles GSM puede tener entre cuatro y ocho dígitos ^[41] y se registra en la tarjeta SIM . Si dicho PIN se ingresa incorrectamente tres veces, la tarjeta SIM se bloquea hasta que se ingresa un código de desbloqueo personal (PUC o PUK), proporcionado por el operador del servicio. ^[42] Si el PUC se ingresa incorrectamente diez veces, la tarjeta SIM se bloquea de forma permanente, lo que requiere una nueva tarjeta SIM del servicio del operador móvil.

Tenga en cuenta que esto no debe confundirse con los códigos de acceso basados ​​en software que a menudo se utilizan en teléfonos inteligentes con pantallas de bloqueo : estos no están relacionados con la tarjeta SIM celular, el PIN y la PUC del dispositivo.

Véase también

• Software de PIN de seguridad para cajeros automáticos
• Tarjeta del campus
• Número de autenticación de transacción

Referencias

1. Higgs, Edward (1998). Historia y artefactos electrónicos . Oxford University Press. ISBN 0198236336.
2. Martin, Keith (2012). Criptografía cotidiana: principios fundamentales y aplicaciones . Oxford University Press. ISBN 9780199695591.
3. Cale, Stephane (2013). Seguridad del acceso móvil: más allá del BYOD . Wiley Publishing. ISBN 978-1-84821-435-4.
4. "Comercio electrónico: una red enmarañada para las tarjetas de débito con PIN". Transacciones digitales . 1 de febrero de 2013 – vía Associated Press.
5. Jarunee Wonglimpiyara, Estrategias de competencia en el negocio de tarjetas bancarias (2005), págs. 1-3.
6. "El hombre que inventó el cajero automático". BBC. 25 de junio de 2007. Consultado el 15 de junio de 2014 .
7. "El inventor del cajero automático John Shepherd-Barron muere a los 84 años". Los Angeles Times . 19 de mayo de 2010 – vía Associated Press.
8. Jarunee Wonglimpiyara, Estrategias de competencia en el negocio de tarjetas bancarias (2005), pág. 5.
9. "Reconocimiento real al inventor del alfiler". BBC. 16 de junio de 2006. Consultado el 5 de noviembre de 2007 .
10. GB 1197183  "Mejoras en o relacionadas con los sistemas de dispensación operados por el cliente" – Ivan Oliveira, Anthony Davies, James Goodfellow
11. Stiennon, Richard (17 de junio de 2014). "La gestión de claves: un espacio en rápido crecimiento". SecurityCurrent . IT-Harvest . Consultado el 21 de agosto de 2019 .
12. Bátiz-Lazo, Bernardo (2018). Cash and Dash: How ATMs and Computers Changed Banking [Cash and Dash: cómo los cajeros automáticos y las computadoras cambiaron la banca]. Oxford University Press . pp. 284 y 311. ISBN 9780191085574.
13. "Los impactos económicos del programa de estándares de cifrado de datos (DES) del NIST" (PDF) . Instituto Nacional de Estándares y Tecnología . Departamento de Comercio de los Estados Unidos . Octubre de 2001. Archivado desde el original (PDF) el 30 de agosto de 2017 . Consultado el 21 de agosto de 2019 .
14. Langford, Susan (2013). "Ataques de retirada de efectivo en cajeros automáticos" (PDF) . Hewlett Packard Enterprise . Hewlett-Packard . Consultado el 21 de agosto de 2019 .
15. "Sistema de identificación diseñado como actualización del NCR 270". Computerworld . 12 (7). IDG Enterprise: 49. 13 de febrero de 1978.
16. "Se revelan cuatro productos para transacciones en línea". Computerworld . 10 (4). IDG Enterprise: 3. 26 de enero de 1976.
17. "Martin M. (John) Atalla". Universidad de Purdue . 2003. Consultado el 2 de octubre de 2013 .
18. "El gurú de la seguridad se enfrenta a la red: el padre del PIN se 'desretira' para lanzar TriStrata". The Business Journals . American City Business Journals . 2 de mayo de 1999 . Consultado el 23 de julio de 2019 .
19. "Las escuelas de ingeniería de Purdue honran a 10 exalumnos distinguidos". Journal & Courier . 5 de mayo de 2002. pág. 33.
20. Bátiz-Lazo, Bernardo (2018). Cash and Dash: How ATMs and Computers Changed Banking [El dinero en efectivo y la carrera: cómo los cajeros automáticos y las computadoras cambiaron la banca]. Oxford University Press . p. 311. ISBN 9780191085574.
21. Konheim, Alan G. (1 de abril de 2016). «Cajeros automáticos: su historia y protocolos de autenticación». Journal of Cryptographic Engineering . 6 (1): 1–29. doi :10.1007/s13389-015-0104-3. ISSN  2190-8516. S2CID  1706990. Archivado desde el original el 22 de julio de 2019 . Consultado el 22 de julio de 2019 .
22. Grant, Gail L. (1998). Comprensión de las firmas digitales: cómo establecer confianza en Internet y otras redes. McGraw-Hill . p. 163. ISBN 9780070125544De hecho , se estima que el 70 por ciento de todas las transacciones en cajeros automáticos bancarios en los EE. UU. se realizan a través de módulos de seguridad de hardware especializados de Atalla.
23. "Descripción general de la cartera de HSM de pago y GP" (PDF) . Utimaco . Archivado desde el original (PDF) el 21 de julio de 2021 . Consultado el 22 de julio de 2019 .
24. Su número de identificación no es una contraseña, Webb-site.com, 8 de noviembre de 2010
25. ISO 9564-1:2011 Servicios financieros — Gestión y seguridad del número de identificación personal (PIN) — Parte 1: Principios básicos y requisitos para los PIN en sistemas basados ​​en tarjetas, cláusula 8.1 Longitud del PIN
26. "Algoritmo de generación de PIN 3624". IBM.
27. "Algoritmo de generación de desplazamiento de PIN". IBM.
28. "Formato de pista de las tarjetas de banda magnética". Gae.ucm.es. Archivado desde el original el 28-09-2014 . Consultado el 25-04-2010 .
29. "Guía del usuario de la placa Sun Crypto Accelerator 6000 para la versión 1.0". docs.oracle.com . Consultado el 22 de junio de 2021 .
30. "Algoritmo de generación de PVV". IBM.
31. Wang, Ding; Gu, Qianchen; Huang, Xinyi; Wang, Ping (2 de abril de 2017). "Comprensión de los PIN elegidos por humanos". Actas de la Conferencia de la ACM sobre seguridad informática y de las comunicaciones de Asia de 2017. Asia CCS '17. Abu Dabi, Emiratos Árabes Unidos: ACM. págs. 372–385. doi :10.1145/3052973.3053031. ISBN 978-1-4503-4944-4.S2CID14259782  .​
32. Kuhn, Markus (julio de 1997). "Teoría de la probabilidad para carteristas: adivinación del PIN electrónico" (PDF) . Consultado el 24 de noviembre de 2006 . {{cite journal}}: Requiere citar revista |journal=( ayuda )
33. Nick Berry (28 de septiembre de 2012). "Los PIN más comunes: ¿es vulnerable su cuenta bancaria?". Sitio web del periódico The Guardian . Consultado el 25 de febrero de 2013 .
34. Lundin, Leigh (4 de agosto de 2013). "PIN y contraseñas, parte 1". Contraseñas . Orlando : SleuthSayers. Con solo cuatro posibilidades, los piratas informáticos pueden descifrar el 20% de todos los PIN.
35. Zieliński, P y Bond, M (febrero de 2003). "Ataques de tablas de decimalización para descifrar PIN" (PDF) . 02453. Laboratorio de Computación de la Universidad de Cambridge . Consultado el 24 de noviembre de 2006 . {{cite journal}}: Requiere citar revista |journal=( ayuda )
36. "Cobertura mediática". Laboratorio de Computación de la Universidad de Cambridge. Archivado desde el original el 20 de octubre de 2018. Consultado el 24 de noviembre de 2006 .
37. "Código de pánico con PIN inverso". 7 de octubre de 2006. Consultado el 2 de marzo de 2007 .
38. Texto completo de la ley SB0562 de la Asamblea General de Illinois, consultado el 20 de julio de 2011
39. sb379_SB_379_PF_2.html Proyecto de ley 379 del Senado Archivado el 23 de marzo de 2012 en Wayback Machine Asamblea General de Georgia, publicado en 2006, consultado el 20 de julio de 2011
40. "¿Ingresar el PIN del cajero automático al revés activará a la policía?". Rare . 2020-12-15 . Consultado el 2021-02-27 .
41. 082251615790 GSM 02.17 Módulos de identidad del suscriptor, características funcionales, versión 3.2.0, febrero de 1992, cláusula 3.1.3
42. "¿Qué es un código PUK?". support.bell.ca . Consultado el 15 de julio de 2024 .