¿Tarjetas con tecnología CHIP, un mecanismo suficiente de seguridad?

A propósito de las violaciones a Target y Neiman Marcus en Estados Unidos muchos ven en la tecnología “chip y pin” de EMV como la solución mágica que pudo haberle ahorrado a Target y a sus clientes un gran dolor de cabeza. No obstante, si bien EMV representa un paso adelante en términos de seguridad de tarjetas, no es correcto decir que EMV hubiera detenido la violación a Target.

¿Pero qué es EMV?

EMV es un estándar que inició como un esfuerzo conjunto entre Europay, MasterCard y Visa para reemplazar el mecanismo que provee la información identificable del usuario (número de cuenta, CVV, etc.) a la terminal que inicia la transacción. En lugar de una banda magnética, las tarjetas EMV utilizan un chip inteligente y el ingreso de un numero PIN que sólo el usuario conoce (de ahí el término “chip y pin”). Cuando la información llega a la terminal, el proceso permanece prácticamente igual; la información de cuenta es cargada en la memoria de la terminal, se crea un marco transaccional para solicitar autorización y demás procesos.   

EMV no hubiera podido evitar la violación a Target

El malware que afectó a Target buscaba la información de las cuentas en la memoria de los dispositivos de los puntos de venta (POS). De esta forma, los criminales lograron conseguir la información, ya que aunque esta correspondiera a tarjetas “chip y pin”, la información no estaba siendo tomada directamente de las tarjetas sino de las terminales.

Todavía existen puntos débiles en el sistema “Chip o Pin” de  EMV que pueden ser explotados en ataques de fraude

En un fraude “con tarjeta física”, un criminal roba la información de una tarjeta que fue físicamente pasada por una terminal POS para completar la transacción. EMV hace más difícil que los criminales clonen una tarjeta, ya que la tecnología empleada para construir los microprocesadores que se encuentran en el chip de las tarjetas EMV es más mucho más compleja de duplicar que la relativamente simple información almacenada en una banda magnética. Sin embargo, los estándares EMV deben ser implementados en su totalidad para prevenir exitosamente las transacciones fraudulentas “con tarjeta presente”. En los Estados Unidos, adoptar el sistema EMV será obligatorio para la totalidad de los comerciantes sólo hasta octubre de 2015. Esto no sólo significa que los usuarios estadounidenses seguirán estando vulnerables ante fraudes “con tarjeta física”, sino que los usuarios extranjeros que ya cuentan con tarjetas EMV también estarán en riesgo debido a que la mayoría de terminales POS en E.U. todavía no cuentan con la tecnología necesaria para aceptar pagos mediante chips EMV. Así mismo, la mayoría de comercios aún emplean la tecnología de banda magnética en lugar de EMV.  Esto deja expuestas a las tarjetas EMV a ataques posteriores si los criminales deciden utilizar la información robada vía transacciones online o si clonan las tarjetas para luego utilizarlas en países que no cuenten con la tecnología EMV. 

Incluso las naciones donde se ha estandarizado el uso de EMV, no están del todo inmunes contra el fraude “con tarjeta física”. En Colombia por ejemplo, donde las tarjetas EMV son obligatorias desde el 2013, la policía ha reportado un incremento de 25% en las quejas por clonación de tarjetas en el periodo comprendido entre 2012 y 2013. Muchos comercios al procesar transacciones todavía pasan la banda magnética de las tarjetas en lugar de emplear la tecnología EMV dispuesta para tal fin, dejando a las tarjetas EMV tan vulnerables a la clonación como las tarjetas que supuestamente estarían reemplazando.

Dos tercios de los fraudes con tarjetas de crédito involucran transacciones “sin tarjeta física”, para lo cual, EMV no provee ninguna protección

Si usted cuenta con una tarjeta EMV, y el comercio donde realiza su compra utiliza una terminal POS que escanea los chips EMV de las tarjetas al momento de las transacciones, usted contará con mayor seguridad que en el caso de utilizar una tarjeta con banda magnética. Desafortunadamente, esto sólo describe un tercio de los casos de fraude con tarjetas de crédito y débito. Dos tercios del fraude con tarjeta ocurren sin necesidad de que la tarjeta física este presente, por ejemplo al realizar compras online o vía telefónica; en estas situaciones no hay forma de escanear el chip de la tarjeta o de emplear el numero PIN. En el caso de las violaciones a Target o a Neiman Marcus, la información robada de las tarjetas “chip y pin” puede ser usada para realizar compras online fraudulentas. Si bien es cierto que EMV cambiará la estructura de las violaciones a comercios y el fraude con tarjeta, no ofrecerá una solución definitiva. Para ver un ejemplo de como EMV modifica los patrones de perpetración del fraude, Francia vio como el fraude “sin tarjeta física” se cuadruplicó en los cuatro años posteriores a la implementación de los sistemas EMV, a pesar de que la tecnología “chip y pin” simultáneamente redujo considerablemente el fraude “con tarjeta física”.

¿Cómo está el avance de la implementación de esta tecnología en la región?

Actualmente, el 36% de las tarjetas funcionan con tecnología chip, representando más de mil millones de tarjetas en el mundo. En América Latina, el Caribe y Canadá, se han emitido más de 180 millones de tarjetas, representando más del 26% del total de las tarjetas que circulan en estas regiones. En América Latina y el Caribe, Visa ha emitido más de 100 millones de tarjetas desde la adopción de EMV, en 1996.

¿Cuáles serían las recomendaciones para los usuarios con esta tecnología?

Independientemente a la tecnología en las tarjetas de crédito, ya sea bandas magnéticas o tarjetas con chip, los usuarios deberían tomar las siguientes medidas que pueden prevenir el robo de información personal:

-      Este atento a los ciclos de facturación y controle balances y pagos. Cualquier actividad sospechosa puede indicar el robo de datos.

-      Cambie sus claves secretas frecuentemente.

-      Nunca envíe información personal, incluyendo número de tarjetas de crédito y pins por mensajes de texto o en conversaciones telefónicas.

-      Evite ingresar su nombre de usuario y contraseña en  sitios web extraños que le lleguen por correo electrónico.

-      Asegúrese que las páginas donde ingrese información personal tengan certificados de seguridad. El prefijo ‘https:’ significa que la página está respaldada y cuentan con medidas de protección al cliente.

-      Pregúntele a su banco e instituciones bancarias sobre las medidas de detección y protección  de fraude electrónico implementado que protegen a sus clientes.