En un post reciente de nuestro blog, “Malabares con las tarjetas de crédito: lucrarse ilegalmente de los cajeros automáticos”, mencionábamos lo fácilmente que puedes perder tu dinero con los trucos de los estafadores. La razón principal por lo que sigue pasando esto es por el sistema de seguridad rudimentario de las tarjetas, que se remonta a la década de 1970. Los datos de la banda magnética están escritos en ‘texto plano’, y el PIN, un número de seguridad fácil de robar, sirve como única protección para tu cuenta bancaria.
Sobra decir que la industria financiera, que actualmente pierde sumas increíbles de dinero con estos criminales, hace todo lo posible para implementar tecnologías de seguridad de transacción avanzadas.
Por ahora, el proyecto más exitoso de todos es la tecnología de tarjetas con chip integrado (o tarjetas EMV). Después de su distribución masiva en Europa y Canadá, el número de casos de clonación de tarjetas disminuyó drásticamente en estos países. Los estafadores que utilizan skimmers se han ido a buscarse la vida a Estados Unidos y Asia, donde las tarjetas EMV no son tan comunes.
Sin embargo, por más avanzado que sea el sistema de protección de tarjetas EMV, no es perfecto y no puede protegerte de amenazas inimaginables – teniendo en cuenta que las técnicas de fraude sigan evolucionando. Puede ser que vayamos a utilizar diferentes tipos de tarjetas en un futuro.
¿Cómo serán? Vamos a echar un vistazo.
Contraseña y respuesta
La solución más lógica para el problema es añadir otro filtro de seguridad – como en el sistema de autenticación de dos pasos usado en Internet.
Al pagar online, aparte del código de seguridad CVV2 del reverso de la tarjeta, el titular introduce una contraseña de un solo uso, generada aleatoriamente, ya sea enviada al móvil vía mensaje de texto, impresa por el cajero automático, o generada por un dispositivo autorizado por el banco, como el token. La autenticación de dos pasos puede usarse para transacciones offline manejando grandes sumas de dinero.
Las tarjetas bancarias con una pantalla integrada, tienen un método similar de autenticación. En este caso, la tarjeta de crédito cuenta con un mini ordenador integrado, junto con una pantalla LCD y un teclado digital.
Además de generar contraseñas de un solo uso, es capaz de mostrar el balance, el historial de transacciones, etc.
Card with keypad adds additional layer of #security http://t.co/5G9O5L1DvH READ how #MasterCard adopted tech http://t.co/CzCD2X8ZYV
— Mastercard News (@MastercardNews) March 17, 2014
A pesar de que las primeras tarjetas interactivas han estado disponibles desde hace más de cinco años, sólo algunos bancos de Europa, Estados Unidos y países desarrollados de Asia las ofrecen a sus clientes.
Tarjeta a demanda
Dynamics, una compañía americana, ofrece una solución aún más exótica. La tarjeta no tiene una banda magnética estable, en el sentido de la palabra. Ésta se genera a demanda del hardware integrado, y el usuario tiene que introducir primero la contraseña a través de un teclado integrado.
Nick Brazzi from @Lynda calls our security-focused interactive payment card his favorite tech at #CES2015. http://t.co/WrNdM9IbDf
— Dynamics Inc (@dynamicsinc) January 8, 2015
Si no tienes la contraseña, la banda magnética no se generará y, en consecuencia, la transacción no será ejecutada. Además, esta tarjeta no tiene un número de 16 dígitos como las demás: una parte de la secuencia numérica no está impresa en el plástico, ésta se muestra en la pantalla después de que el titular de la tarjeta introduce la contraseña.
¿Me prestas tu dedo?
Una contraseña puede proteger bien tu tarjeta, pero no sirve de nada si una persona distraída es incapaz de mantenerla en secreto. Todos conocemos historias de titulares de tarjetas ‘inteligentes’ que han escrito el PIN en la tarjeta y luego la han perdido.
La autenticación biométrica es una solución radical a este problema. Zwipe, una compañía con sede en Noruega, en asociación con Mastercard, está haciendo pruebas con una tarjeta de crédito con un escáner de huella dactilar integrado. Lo único que necesitas hacer para aprobar la transacción es poner el dedo en la placa de contacto y – bueno, ¡hasta luego, PIN!
La física cuántica viene a ayudar
A pesar de décadas de investigación, los ordenadores cuánticos totalmente operativos continúan siendo un sueño. Pero hay esperanza: algunas funciones de la tecnología cuántica servirán para crear identificadores imposibles de falsificar.
Los investigadores holandeses de la Universidad de Twente y la Universidad Tecnológica de Eindhoven, planean usar este sistema de seguridad cuántico para las tarjetas de crédito y los identificaciones personales. Aunque por el momento son solo pruebas de laboratorio, su modelo de sistema de seguridad está siendo desarrollado bajo el nombre de autenticación segura cuántica (QSA- Quantum Security Authentication).
Security researchers are using quantum physics for fraud-proof credit cards: Quantum-Secure Authentication me… http://t.co/JTuB8EUxOb
— The INQUIRER (@INQ) December 18, 2014
Una pequeña sección en una tarjeta de plástico normal está cubierta con una capa delgada de óxido de zinc (no es magia – se conoce como ‘blanco de zinc’). Luego esta sección es bombardeada por los fotones emitidos con láser. Al golpear las nano-partículas, los fotones se reflejan aleatoriamente dentro de la capa de óxido de zinc. Este proceso altera las propiedades ópticas de una capa de partículas, formando una clave única.
Así, si uno baliza esta tarjeta con una secuencia de impulsos de láser (es decir ‘hace la pregunta’), ésta recibirá un patrón de reflexión (es decir ‘la respuesta’). Se guarda una combinación de paquetes única de ‘pregunta-respuesta’ en el sistema de datos del banco y se utiliza para autenticar la clave.
Si un criminal intenta hackear la combinación de pregunta y respuesta durante la transacción, no funcionará. Cualquier detector fotoeléctrico adicional implantado en el sistema, destruiría el estado cuántico de una mínima parte de los fotones y corromperá el proceso entero del atacante.
Un método alternativo para hackear este sistema, presupone la falsificación de tarjetas, manteniendo el tamaño exacto, la localización, y otros parámetros de las nano-partículas para poder producir una copia exacta, y es prácticamente inviable debido a la gran complejidad del proceso.
Los creadores de QSA afirman que, a pesar de ser una idea aparentemente compleja, esta tecnología es relativamente simple y barata de implementar utilizando los métodos y tecnologías disponibles.
Sin prisas
Es muy probable que los bancos implementen estos sistemas de seguridad en un futuro no muy lejano. La industria financiera es conservadora, y es muy costoso implementar nuevas tecnologías de manera gradual.
Teniendo esto en cuenta, estamos seguros que la innovación del método de pago será alcanzable en los servicios no bancarios alternativos, incluyendo, por ejemplo, nuevos sistemas de pago como Apple Pay o Google Pay Wallet, o los prometedores Coin, Wocket y Pastc (vamos a compartir su historia un poco más tarde).
Además, es crucial que todas las maravillas tecnológicas de estas novedades tan sofisticadas no lo sean en vano por imperfecciones en los procesos de implementación, como pasa a menudo con las tarjetas EMV. En este caso, el principal problema de seguridad es que un terminal no pueda leer la información del chip, y se pase a la antigua banda magnética que ha permanecido ahí por el bien de la compatibilidad con versiones anteriores. Y de esta manera, todo el esfuerzo se va por la borda.