Tarjeta inteligente sin contacto

Una tarjeta inteligente sin contacto es una credencial sin contacto cuyas dimensiones son las de una tarjeta de crédito . Sus circuitos integrados incorporados pueden almacenar (y a veces procesar) datos y comunicarse con un terminal a través de NFC . Entre sus usos más habituales se encuentran los billetes de transporte, las tarjetas bancarias y los pasaportes.

Existen dos grandes categorías de tarjetas inteligentes sin contacto. Las tarjetas de memoria contienen componentes de almacenamiento de memoria no volátil y, tal vez, alguna lógica de seguridad específica. Las tarjetas inteligentes sin contacto contienen un código RFID de solo lectura llamado CSN (número de serie de la tarjeta) o UID, y un microchip de tarjeta inteligente reescribible que puede transcribirse mediante ondas de radio.

Descripción general

Una tarjeta inteligente sin contacto se caracteriza de la siguiente manera:

Las dimensiones son normalmente del tamaño de una tarjeta de crédito . El ID-1 de la norma ISO/IEC 7810 las define como 85,60 × 53,98 × 0,76 mm (3,370 × 2,125 × 0,030 pulgadas). ^[1]
Contiene un sistema de seguridad con propiedades a prueba de manipulaciones (por ejemplo, un criptoprocesador seguro , un sistema de archivos seguro, características legibles por humanos) y es capaz de proporcionar servicios de seguridad (por ejemplo, confidencialidad de la información en la memoria).
Activos administrados a través de sistemas de administración central, o aplicaciones, que reciben o intercambian información con la tarjeta, como listas de tarjetas activas y actualizaciones de datos de aplicaciones.
Los datos de la tarjeta se transfieren a través de ondas de radio al sistema de administración central mediante dispositivos de lectura y escritura de tarjetas, como dispositivos de puntos de venta , lectores de control de acceso a puertas, lectores de tickets, cajeros automáticos , lectores de escritorio conectados por USB, etc.

Beneficios

Las tarjetas inteligentes sin contacto se pueden utilizar para identificación, autenticación y almacenamiento de datos. ^[2] También proporcionan un medio para efectuar transacciones comerciales de forma flexible, segura y estándar con una mínima intervención humana.

Historia

Las tarjetas inteligentes sin contacto se utilizaron por primera vez para la emisión electrónica de billetes en 1995 en Seúl, Corea del Sur. ^[3]^[4]

Desde entonces, las tarjetas inteligentes con interfaces sin contacto han sido cada vez más populares para aplicaciones de pago y emisión de billetes, como el transporte público. A nivel mundial, la recaudación de tarifas sin contacto se está utilizando para lograr eficiencias en el transporte público. Los diversos estándares emergentes tienen un enfoque local y no son compatibles, aunque la tarjeta MIFARE Classic de Philips tiene una gran participación de mercado en los Estados Unidos y Europa.

En tiempos más recientes, Visa y MasterCard han acordado estándares para pagos generales de "circuito abierto" en sus redes, con millones de tarjetas implementadas en los EE. UU., ^[5] en Europa y alrededor del mundo.

Las tarjetas inteligentes se están introduciendo en los sistemas de identificación personal y de concesión de derechos a nivel regional, nacional e internacional. Los sistemas de tarjetas de ciudadanía, licencias de conducir y tarjetas de pacientes son cada vez más comunes. En Malasia, el sistema de identificación nacional obligatorio MyKad incluye ocho aplicaciones diferentes y se ha implementado para 18 millones de usuarios. Las tarjetas inteligentes sin contacto se están integrando en los pasaportes biométricos de la OACI para mejorar la seguridad en los viajes internacionales.

Con la pandemia de COVID-19 , ha aumentado la demanda y el uso de tarjetas de crédito y débito sin contacto, aunque las monedas y los billetes son generalmente seguros y, por lo tanto, esta tecnología no reducirá la propagación del virus.

Lectores

Los lectores de tarjetas inteligentes sin contacto utilizan ondas de radio para comunicarse con una tarjeta inteligente y leer y escribir datos en ella. Cuando se utilizan para pagos electrónicos, suelen estar ubicados cerca de teclados PIN , cajas registradoras y otros lugares de pago. Cuando los lectores se utilizan para el transporte público, suelen estar ubicados en cajas de tarifas, máquinas expendedoras de billetes, torniquetes y plataformas de estaciones como una unidad independiente. Cuando se utilizan para la seguridad, los lectores suelen estar ubicados al costado de una puerta de entrada.

Novosibirsk (Rusia). Terminal de cobro de billetes de transporte CFT
Tarjeta inteligente utilizada para pagar el transporte público en el área de Helsinki
Una máquina de billetes electrónicos utilizada para leer tarjetas prepagas y emitir billetes en Mumbai

Tecnología

Una tarjeta inteligente sin contacto es una tarjeta en la que el chip se comunica con el lector de tarjetas a través de una tecnología de inducción similar a la de un RFID (a velocidades de datos de 106 a 848 kbit/s). Estas tarjetas solo requieren proximidad a una antena para completar una transacción. Se utilizan a menudo cuando las transacciones deben procesarse rápidamente o sin necesidad de usar las manos, como en los sistemas de transporte público, donde se puede utilizar una tarjeta inteligente sin siquiera sacarla de la billetera .

El estándar para comunicaciones con tarjetas inteligentes sin contacto es ISO/IEC 14443. Define dos tipos de tarjetas sin contacto ("A" y "B") ^[6] y permite comunicaciones a distancias de hasta 10 cm (3,9 pulgadas) ^{[ cita requerida ]} . Ha habido propuestas para los tipos C, D, E, F y G de ISO/IEC 14443 que han sido rechazadas por la Organización Internacional de Normalización. Un estándar alternativo para tarjetas inteligentes sin contacto es ISO/IEC 15693 , que permite comunicaciones a distancias de hasta 50 cm (1,6 pies).

Ejemplos de tarjetas inteligentes sin contacto ampliamente utilizadas son Upass de Seúl (1996), la tarjeta Touch 'n Go de Malasia (1997), la tarjeta Octopus de Hong Kong , la tarjeta de transporte público de Shanghái (1999), la tarjeta Navigo de París , la tarjeta Suica de Japan Rail (2001), EZ-Link de Singapur , EasyCard de Taiwán , la tarjeta Clipper de San Francisco Bay Area (2002), la tarjeta Oyster de Londres , la tarjeta de comunicaciones y administración municipal de Pekín (2003), T-money de Corea del Sur , la tarjeta Presto del sur de Ontario , la tarjeta More de la India , la tarjeta Rav-Kav de Israel (2008), la tarjeta Myki de Melbourne y la tarjeta Opal de Sídney , que son anteriores a la norma ISO/IEC 14443. Las siguientes tablas enumeran las tarjetas inteligentes utilizadas para el transporte público y otras aplicaciones de monedero electrónico .

Una tecnología sin contacto relacionada es la RFID (identificación por radiofrecuencia). En ciertos casos, se puede utilizar para aplicaciones similares a las de las tarjetas inteligentes sin contacto, como el cobro electrónico de peajes . Los dispositivos RFID normalmente no incluyen memoria grabable ni capacidad de procesamiento por microcontrolador como suelen tener las tarjetas inteligentes sin contacto. ^{[ dudoso – discutir ]}

Existen tarjetas de interfaz dual que implementan interfaces de contacto y sin contacto en una sola tarjeta con almacenamiento y procesamiento compartidos. Un ejemplo es la tarjeta de transporte multiaplicación de Porto , denominada Andante , que utiliza un chip en modo de contacto y sin contacto (ISO/IEC 14443 tipo B).

Al igual que las tarjetas inteligentes con contactos, las tarjetas sin contacto no tienen batería. En su lugar, utilizan un inductor incorporado , que utiliza el principio de acoplamiento inductivo resonante , para capturar parte de la señal electromagnética incidente, rectificarla y utilizarla para alimentar los componentes electrónicos de la tarjeta.

Protocolos de comunicación

Aplicaciones

Transporte

Desde que se empezó a utilizar la Tarjeta de Transporte de Seúl , numerosas ciudades han adoptado la adopción de tarjetas inteligentes sin contacto como medio de pago en un sistema automatizado de cobro de tarifas . ^{[ cita requerida ]}

En muchos casos, estas tarjetas incluyen además de productos de tarifa una billetera electrónica y pueden usarse para pagos de bajo valor.

Tarjetas bancarias sin contacto

A partir de 2005, una de las principales aplicaciones de esta tecnología ha sido el pago sin contacto con tarjetas de crédito y débito. Algunos ejemplos importantes son:

ExpressPay – American Express
MasterCard Contactless (anteriormente PayPass) – MasterCard
Visa Contactless (anteriormente payWave) – Visa
QuickPass – Pago por Unión
JCB Contactless (anteriormente J/Speedy), QUICPay (no compatible con EMV Contactless / ISO/IEC 14443 ) – JCB
RuPay sin contacto - RuPay
Zip – Descubrir

Los lanzamientos comenzaron en 2005 en los Estados Unidos y en 2006 en algunas partes de Europa y Asia (Singapur). ^[9] En los EE. UU., las transacciones sin contacto (sin PIN ) cubren un rango de pago de ~$5–$100.

En general, existen dos clases de tarjetas bancarias sin contacto: las de banda magnética (MSD) y las EMV sin contacto .

Las tarjetas MSD sin contacto son similares a las tarjetas de banda magnética en cuanto a los datos que comparten a través de la interfaz sin contacto. Solo se distribuyen en los EE. UU. El pago se realiza de manera similar a la banda magnética, sin PIN y, a menudo, en modo fuera de línea (según los parámetros del terminal). El nivel de seguridad de una transacción de este tipo es mejor que el de una tarjeta de banda magnética, ya que el chip genera criptográficamente un código que puede ser verificado por los sistemas del emisor de la tarjeta.

Las tarjetas EMV sin contacto tienen dos interfaces (con contacto y sin contacto) y funcionan como una tarjeta EMV normal a través de su interfaz de contacto. La interfaz sin contacto proporciona datos similares a los de una transacción EMV con contacto, pero normalmente solo ofrece un subconjunto de las capacidades (por ejemplo, normalmente los emisores no permiten que se aumenten los saldos a través de la interfaz sin contacto, sino que exigen que la tarjeta se inserte en un dispositivo que utilice la interfaz de contacto). Las tarjetas EMV pueden llevar un "saldo fuera de línea" almacenado en su chip, similar a la billetera electrónica o "monedero" a los que están acostumbrados los usuarios de tarjetas inteligentes de transporte.

Identificación

Una aplicación que está creciendo rápidamente es la de las tarjetas de identificación digitales. En esta aplicación, las tarjetas se utilizan para la autenticación de la identidad. El ejemplo más común es en conjunción con una PKI . La tarjeta inteligente almacenará un certificado digital cifrado emitido por la PKI junto con cualquier otra información relevante o necesaria sobre el titular de la tarjeta. Algunos ejemplos incluyen la Tarjeta de Acceso Común (CAC) del Departamento de Defensa de los EE. UU . y el uso de varias tarjetas inteligentes por parte de muchos gobiernos como tarjetas de identificación para sus ciudadanos. Cuando se combinan con la biometría, las tarjetas inteligentes pueden proporcionar una autenticación de dos o tres factores. Las tarjetas inteligentes no siempre son una tecnología que mejore la privacidad, ya que el sujeto lleva consigo información posiblemente incriminatoria sobre él todo el tiempo. Al emplear tarjetas inteligentes sin contacto, que se pueden leer sin tener que sacar la tarjeta de la billetera o incluso de la prenda en la que se encuentra, se puede agregar aún más valor de autenticación al portador humano de las tarjetas.

Otro

El gobierno de Malasia utiliza tecnología de tarjetas inteligentes en los documentos de identidad que llevan todos los ciudadanos malasios y los residentes no ciudadanos. La información personal contenida en la tarjeta inteligente (llamada MyKad ) se puede leer mediante comandos APDU especiales. ^[10]

Seguridad

Las tarjetas inteligentes se han promocionado como adecuadas para tareas de identificación personal, ya que están diseñadas para ser resistentes a la manipulación . El chip integrado de una tarjeta inteligente generalmente implementa algún algoritmo criptográfico . Sin embargo, existen varios métodos para recuperar parte del estado interno del algoritmo.

Análisis de potencia diferencial

El análisis de potencia diferencial ^[11] implica medir el tiempo preciso y la corriente eléctrica ^{[ dudoso – discutir ]} necesarios para ciertas operaciones de cifrado o descifrado. Esto se utiliza con mayor frecuencia contra algoritmos de clave pública como RSA para deducir la clave privada en el chip, aunque algunas implementaciones de cifrados simétricos también pueden ser vulnerables a ataques de tiempo o potencia.

Desmontaje físico

Las tarjetas inteligentes se pueden desmontar físicamente utilizando ácido, abrasivos o alguna otra técnica para obtener acceso directo y sin restricciones al microprocesador incorporado. Aunque estas técnicas obviamente implican un riesgo bastante alto de daño permanente al chip, permiten extraer información mucho más detallada (por ejemplo, fotomicrografías del hardware de cifrado).

Espionaje en la comunicación NFC

Se requiere una distancia corta (≈10 cm o 4″) para suministrar energía. Sin embargo, la frecuencia de radio puede ser interceptada a varios metros una vez que se enciende. ^[12]

Preocupaciones

Porcentaje de averías: La tarjeta de plástico en la que está incrustado el chip es bastante flexible y, cuanto más grande sea el chip, mayor será la probabilidad de que se rompa. Las tarjetas inteligentes suelen llevarse en carteras o bolsillos, un entorno bastante hostil para un chip. Sin embargo, en el caso de los grandes sistemas bancarios, el coste de la gestión de fallos puede verse más que compensado por la reducción del fraude. Se puede utilizar una carcasa para tarjetas como alternativa para ayudar a evitar que la tarjeta inteligente falle.
Privacidad: El uso de una tarjeta inteligente para el transporte público presenta un riesgo para la privacidad , ya que un sistema de este tipo permite al operador del transporte público, a los bancos y a las autoridades rastrear el movimiento de las personas. El mismo argumento se puede aplicar a los bancos que rastrean los pagos minoristas. Esa información se utilizó en la investigación del atentado de Myyrmanni .
Robo y fraude: La tecnología sin contacto no necesariamente impide el uso de un PIN para la autenticación del usuario, pero es común que las transacciones de bajo valor (compra con tarjeta de crédito o débito bancaria o pago de tarifas de transporte público) no requieran un PIN. Esto puede hacer que dichas tarjetas sean más propensas a ser robadas o utilizadas fraudulentamente por quien encuentre la tarjeta perdida de otra persona.
Uso en el extranjero: Las redes de datos nacionales transmiten rápidamente información entre terminales y sistemas bancarios centrales, de modo que se pueden controlar y gestionar los límites de pago sin contacto. Esto puede no ser posible con el uso de dichas tarjetas en el extranjero. ^{[ cita requerida ]}
Detección de múltiples tarjetas: Cuando dos o más tarjetas sin contacto están muy próximas, el sistema puede tener dificultades para determinar qué tarjeta se pretende utilizar. El lector de tarjetas puede cargar la tarjeta incorrecta o rechazar ambas. ^[13] Esto generalmente sólo es un problema cuando un proveedor de servicios utiliza una tarjeta de pago para facilitar el acceso (por ejemplo, una billetera que contiene una tarjeta de acceso a un estacionamiento, una tarjeta de entrada a un edificio de apartamentos y varias tarjetas de pago sin contacto se pueden utilizar normalmente para entrar en un estacionamiento o lo que sea); el sistema de entrada al estacionamiento puede detectar su propia tarjeta en la billetera y abrir la barrera. Sin embargo, en una tienda minorista, es aconsejable retirar la tarjeta sin contacto individual de la billetera al realizar un pago. Como mínimo, esto le da al titular de la tarjeta la oportunidad de comunicar qué tarjeta pretende utilizar para realizar el pago. Es una cuestión de que la tarjeta identifique una suscripción frente a un pago por transacción. ^{[ Aclaración necesaria ]}

Véase también

Wikimedia Commons alberga una categoría multimedia sobre Esquemas de tarjetas inteligentes sin contacto .

Notas

^ "ISO/IEC 7810:2003 Tarjetas de identificación — Características físicas". Archivado desde el original el 24 de mayo de 2012. Consultado el 3 de noviembre de 2012 .
^ Tarjetas inteligentes multiaplicación . Cambridge University Press.
^ Ugo, Chirico (21 de mayo de 2014). Programación de tarjetas inteligentes: una guía completa para la programación de tarjetas inteligentes en C/C++, Java, C#, VB.NET (segunda edición). [Lugar de publicación no identificado]. ISBN 978-1291610505.OCLC 922633321 .{{cite book}}: Mantenimiento de CS1: falta la ubicación del editor ( enlace )
^ "4th Asian Transport Revenue Collection Forum". Asociación de Tarjetas Inteligentes de Asia y el Pacífico . 2010. Archivado desde el original el 23 de julio de 2018. Consultado el 10 de abril de 2013 .
^ "Preguntas frecuentes de la Smartcard Alliance sobre tarjetas bancarias sin contacto". Archivado desde el original el 2013-02-02 . Consultado el 2011-11-14 .
^ "ISO/IEC 14443-2:2001 Tarjetas de identificación – Tarjetas con circuitos integrados sin contacto – Tarjetas de proximidad – Parte 2: Interfaz de señal y potencia de radiofrecuencia". Archivado desde el original el 2016-08-17 . Consultado el 2012-11-03 .
^ "ISO/IEC 14443-4:2008 Tarjetas de identificación – Tarjetas de circuito integrado sin contacto – Tarjetas de proximidad – Parte 4: Protocolo de transmisión". Archivado desde el original el 14 de octubre de 2016. Consultado el 3 de noviembre de 2012 .
^ Zankl, Andreas (marzo de 2014). Seguridad y privacidad en un sistema de pago electrónico basado en RFID. Universidad Tecnológica de Graz. Archivado desde el original el 2 de enero de 2020. Consultado el 16 de septiembre de 2019 .
^ "ComfortDelgro presenta el pago con tarjeta de crédito sin contacto". pago con tarjeta de crédito sin contacto . Archivado desde el original el 2011-06-28 . Consultado el 2011-08-18 .
^ "Sitio web de MyKad". Archivado desde el original el 12 de julio de 2019. Consultado el 17 de marzo de 2011 .
^ Ataques de análisis de potencia . Springer.
^ Werner Koch (13 de diciembre de 2018). «Tarjetas inteligentes». gnupg-users (Lista de correo). Archivado desde el original el 15 de diciembre de 2018. Consultado el 13 de diciembre de 2018 .
^ "Cuidado con el choque de cartas". Transport for London . Alcalde de Londres. Archivado desde el original el 6 de julio de 2017 . Consultado el 18 de julio de 2014 .

Referencias

Rankl, W.; W. Effing (1997). Manual de tarjetas inteligentes . John Wiley & Sons. ISBN 0-471-96720-3.
Guthery, Scott B.; Timothy M. Jurgensen (1998). Kit para desarrolladores de tarjetas inteligentes . Macmillan Technical Publishing. ISBN 1-57870-027-2.