EMV es un método de pago basado en un estándar técnico para tarjetas de pago inteligentes y para terminales de pago y cajeros automáticos que pueden aceptarlas. EMV son las siglas de " Europay " , "Mastercard" y "Visa ", las tres empresas que crearon el estándar. [1]
Las tarjetas EMV son tarjetas inteligentes , también llamadas tarjetas con chip, tarjetas de circuito integrado o tarjetas IC, que almacenan sus datos en chips de circuito integrado , además de bandas magnéticas para compatibilidad con versiones anteriores . Estas incluyen tarjetas que deben insertarse físicamente o "sumergirse" en un lector, así como tarjetas sin contacto que pueden leerse a corta distancia utilizando tecnología de comunicación de campo cercano . Las tarjetas de pago que cumplen con el estándar EMV a menudo se denominan tarjetas con chip y PIN o tarjetas con chip y firma , según los métodos de autenticación empleados por el emisor de la tarjeta, como un número de identificación personal (PIN) o una firma electrónica . Existen estándares, basados en ISO/IEC 7816 , para tarjetas con contacto, y basados en ISO/IEC 14443 para tarjetas sin contacto ( Mastercard Contactless , Visa PayWave , American Express ExpressPay ). [2] [ se necesita una mejor fuente ]
Hasta la introducción del chip y el PIN, todas las transacciones cara a cara con tarjetas de crédito o débito implicaban el uso de una banda magnética o una impresión mecánica para leer y registrar los datos de la cuenta, y una firma para verificar la identidad. El cliente entrega su tarjeta al cajero en el punto de venta , quien luego la pasa por un lector magnético o realiza una impresión a partir del texto en relieve de la tarjeta. En el primer caso, el sistema verifica los detalles de la cuenta e imprime un comprobante para que el cliente firme. En el caso de una impresión mecánica, se completan los detalles de la transacción, se consulta una lista de números robados y el cliente firma el comprobante impreso. En ambos casos, el cajero debe verificar que la firma del cliente coincida con la del reverso de la tarjeta para autenticar la transacción.
El uso de la firma en la tarjeta como método de verificación presenta una serie de fallos de seguridad, el más evidente de los cuales es la relativa facilidad con la que las tarjetas pueden desaparecer antes de que sus legítimos propietarios puedan firmarlas. Otro de ellos es el borrado y reemplazo de la firma legítima, y otro más es la falsificación de la firma correcta.
La invención del chip de circuito integrado de silicio en 1959 condujo a la idea de incorporarlo en una tarjeta inteligente de plástico a finales de la década de 1960 por dos ingenieros alemanes, Helmut Gröttrup y Jürgen Dethloff . [3] Las primeras tarjetas inteligentes se introdujeron como tarjetas de llamada en la década de 1970, antes de ser adaptadas posteriormente para su uso como tarjetas de pago . [4] [5] Desde entonces, las tarjetas inteligentes han utilizado chips de circuito integrado MOS , junto con tecnologías de memoria MOS como la memoria flash y la EEPROM ( memoria de solo lectura programable y borrable eléctricamente ). [6]
El primer estándar para tarjetas de pago inteligentes fue la Carte Bancaire B0M4 de Bull-CP8, implementada en Francia en 1986, seguida por la B4B0' (compatible con la M4) implementada en 1989. La Geldkarte en Alemania también es anterior a EMV. EMV fue diseñado para permitir que las tarjetas y terminales fueran compatibles con versiones anteriores de estos estándares. Desde entonces, Francia ha migrado toda su infraestructura de tarjetas y terminales a EMV.
EMV son las siglas de Europay, Mastercard y Visa, las tres empresas que crearon el estándar. El estándar ahora es administrado por EMVCo , un consorcio cuyo control se divide equitativamente entre Visa, Mastercard, JCB , American Express , China UnionPay y Discover. [7] EMVCo acepta comentarios públicos sobre sus borradores de estándares y procesos, pero también permite que otras organizaciones se conviertan en "Asociados" y "Suscriptores" para una colaboración más profunda. [8] JCB se unió al consorcio en febrero de 2009, China UnionPay en mayo de 2013, [9] y Discover en septiembre de 2013. [10]
Los principales proveedores de tarjetas y chips EMV son: ABnote (American Bank Corp), CPI Card Group, IDEMIA (de la fusión de Oberthur Technologies y Safran Identity & Security (Morpho) en 2017), Gemalto (adquirida por Thales Group en 2019), Giesecke & Devrient y Versatile Card Technology. [11]
Existen dos ventajas principales en la adopción de sistemas de pago con tarjeta de crédito basados en tarjetas inteligentes: una mayor seguridad (con la consiguiente reducción del fraude) y la posibilidad de un control más preciso de las aprobaciones de transacciones con tarjeta de crédito "fuera de línea". Uno de los objetivos originales de EMV era permitir múltiples aplicaciones en una tarjeta: una aplicación de tarjeta de crédito y débito o una billetera electrónica. Las nuevas tarjetas de débito emitidas en los EE. UU. [ ¿cuándo? ] contienen dos aplicaciones: una aplicación de asociación de tarjetas (Visa, Mastercard, etc.) y una aplicación de débito común. El ID de aplicación de débito común es un nombre un tanto inapropiado, ya que cada aplicación de débito "común" en realidad utiliza la aplicación de asociación de tarjeta residente. [12]
Las transacciones con tarjetas con chip EMV mejoran la seguridad contra el fraude en comparación con las transacciones con tarjetas de banda magnética que dependen de la firma del titular y la inspección visual de la tarjeta para verificar características como el holograma . El uso de un PIN y algoritmos criptográficos como Triple DES , RSA y SHA proporcionan autenticación de la tarjeta al terminal de procesamiento y al sistema host del emisor de la tarjeta. El tiempo de procesamiento es comparable a las transacciones en línea, en las que el retraso de las comunicaciones representa la mayor parte del tiempo, mientras que las operaciones criptográficas en el terminal toman comparativamente poco tiempo. La supuesta mayor protección contra el fraude ha permitido a los bancos y emisores de tarjetas de crédito impulsar un "cambio de responsabilidad", de modo que los comerciantes ahora son responsables (a partir del 1 de enero de 2005 en la región de la UE y el 1 de octubre de 2015 en los EE. UU.) de cualquier fraude que resulte de transacciones en sistemas que no son compatibles con EMV. [1] [13] [14] La mayoría de las implementaciones de tarjetas y terminales EMV confirman la identidad del titular de la tarjeta al requerir la entrada de un número de identificación personal (PIN) en lugar de firmar un recibo en papel. La autenticación mediante PIN o no depende de las capacidades del terminal y de la programación de la tarjeta.
Cuando se introdujeron por primera vez las tarjetas de crédito, los comerciantes utilizaban impresoras portátiles de tarjetas mecánicas en lugar de magnéticas que requerían papel carbón para hacer una impresión. No se comunicaban electrónicamente con el emisor de la tarjeta y la tarjeta nunca se alejaba de la vista del cliente. El comerciante tenía que verificar las transacciones que superaban un cierto límite de divisas llamando por teléfono al emisor de la tarjeta. Durante la década de 1970 en los Estados Unidos, muchos comerciantes se suscribían a una lista actualizada periódicamente de números de tarjetas de crédito robadas o inválidas. Esta lista se imprimía comúnmente en forma de cuadernillo en papel de periódico, en orden numérico, como una guía telefónica delgada, pero sin ningún otro dato aparte de la lista de números inválidos. Se esperaba que los cajeros hojearan este cuadernillo cada vez que se presentaba una tarjeta de crédito para el pago de cualquier monto, antes de aprobar la transacción, lo que generaba una breve demora. [15]
Más tarde [ ¿cuándo? ] , los equipos se comunicaban electrónicamente con el emisor de la tarjeta, utilizando la información de la banda magnética para verificar la tarjeta y autorizar la transacción. Esto era mucho más rápido que antes, pero requería que la transacción se realizara en un lugar fijo. En consecuencia, si la transacción no se realizaba cerca de una terminal (en un restaurante, por ejemplo), el empleado o camarero tenía que retirar la tarjeta del cliente y llevarla a la máquina de tarjetas. Era fácilmente posible en cualquier momento que un empleado deshonesto pasara la tarjeta subrepticiamente por una máquina barata que registraba instantáneamente la información de la tarjeta y la banda; de hecho, incluso en la terminal, un ladrón podía agacharse frente al cliente y pasar la tarjeta por un lector oculto. Esto hizo que la clonación ilegal de tarjetas fuera relativamente fácil y una ocurrencia más común que antes. [ cita requerida ]
Desde la introducción del chip y el PIN de las tarjetas de pago, la clonación del chip no es factible; sólo se puede copiar la banda magnética, y una tarjeta copiada no se puede utilizar por sí sola en un terminal que requiera un PIN. La introducción del chip y el PIN coincidió con la abaratabilidad y la generalización de la tecnología de transmisión inalámbrica de datos . Además de los lectores magnéticos basados en teléfonos móviles, el personal del comercio puede ahora llevar a los clientes teclados PIN inalámbricos, de modo que la tarjeta nunca esté fuera de la vista del titular. De este modo, tanto las tecnologías de chip y PIN como las tecnologías inalámbricas se pueden utilizar para reducir los riesgos de deslizamiento no autorizado y clonación de tarjetas. [16]
El chip y el PIN son uno de los dos métodos de verificación que pueden emplear las tarjetas con tecnología EMV. [15] En lugar de firmar físicamente un recibo para fines de identificación, el usuario ingresa un número de identificación personal (PIN), que normalmente tiene entre cuatro y seis dígitos. Este número debe corresponder a la información almacenada en el chip o PIN en el Host. La tecnología de chip y PIN hace que sea mucho más difícil para los estafadores utilizar una tarjeta encontrada, ya que si alguien roba una tarjeta, no puede realizar compras fraudulentas a menos que conozca el PIN.
Por otro lado, el chip y la firma se diferencian del chip y el PIN al verificar la identidad del consumidor con una firma. [17]
A partir de 2015, las tarjetas con chip y firma son más comunes en los EE. UU., México, partes de América del Sur (como Argentina y Perú) y algunos países asiáticos (como Taiwán, Hong Kong, Tailandia, Corea del Sur, Singapur e Indonesia), mientras que las tarjetas con chip y PIN son más comunes en la mayoría de los países europeos (por ejemplo, el Reino Unido, Irlanda, Francia, Portugal, Finlandia y los Países Bajos), así como en Pakistán, Irán, Brasil, Colombia, Venezuela, India, Sri Lanka, Canadá, Australia y Nueva Zelanda. [18] [19]
Si bien la tecnología EMV ha ayudado a reducir el crimen en el punto de venta, las transacciones fraudulentas se han trasladado a transacciones más vulnerables por teléfono , Internet y pedidos por correo , conocidas en la industria como transacciones sin tarjeta presente o CNP. [20] Las transacciones CNP representaron al menos el 50% de todos los fraudes con tarjetas de crédito. [21] Debido a la distancia física, no es posible que el comerciante presente un teclado al cliente en estos casos, por lo que se han ideado alternativas, incluyendo
En cuanto a cuál es más rápido, The New York Times explicó que es una cuestión de percepción: mientras que el método del chip requiere que el chip permanezca en la máquina hasta que se complete la transacción y el proceso de autorización, el método de deslizar el teléfono hace la autorización en segundo plano; un recibo comienza a salir de inmediato. [23]
La norma ISO/IEC 7816-3 define el protocolo de transmisión entre tarjetas con chip y lectores. Mediante este protocolo, los datos se intercambian en unidades de datos de protocolo de aplicación (APDU). Esto incluye el envío de un comando a una tarjeta, su procesamiento por parte de la tarjeta y el envío de una respuesta. EMV utiliza los siguientes comandos:
Los comandos seguidos de "7816-4" están definidos en ISO/IEC 7816-4 y son comandos interindustriales utilizados para muchas aplicaciones de tarjetas con chip, como las tarjetas SIM GSM .
Una transacción EMV tiene los siguientes pasos: [24] [ se necesita una fuente de terceros ]
La norma ISO/IEC 7816 define un proceso de selección de aplicaciones. El objetivo de la selección de aplicaciones era permitir que las tarjetas contuvieran aplicaciones completamente diferentes (por ejemplo, GSM y EMV). Sin embargo, los desarrolladores de EMV implementaron la selección de aplicaciones como una forma de identificar el tipo de producto, de modo que todos los emisores de productos (Visa, Mastercard, etc.) deben tener su propia aplicación. La forma en que se prescribe la selección de aplicaciones en EMV es una fuente frecuente de problemas de interoperabilidad entre tarjetas y terminales. El Libro 1 [25] de la norma EMV dedica 15 páginas a describir el proceso de selección de aplicaciones.
Un identificador de aplicación (AID) se utiliza para identificar una aplicación en la tarjeta o en la emulación de tarjeta host (HCE) si se entrega sin tarjeta. Un AID consiste en un identificador de proveedor de aplicación registrado (RID) de cinco bytes, que es emitido por la autoridad de registro ISO/IEC 7816-5. A esto le sigue una extensión de identificador de aplicación (PIX) patentada , que permite al proveedor de la aplicación diferenciar entre las diferentes aplicaciones ofrecidas. El AID está impreso en todos los recibos de titulares de tarjetas EMV. Los emisores de tarjetas pueden alterar el nombre de la aplicación a partir del nombre de la red de tarjetas.
Lista de aplicaciones:
Sistema de tarjetas / red de pago | DESHACERSE | Producto | Foto | AYUDA |
---|---|---|---|---|
FBF-1886 (Dinamarca) [26] | A000000001 | Tarjeta de fidelidad | 0001 | A0000000010001 |
Danmønt (Dinamarca) | A000000001 | Tarjeta de efectivo | 1010 | A0000000011010 |
Visa | A000000003 | Visa crédito o débito | 1010 | A0000000031010 |
Visa Electron | 2010 | A0000000032010 | ||
V Pagar | 2020 | A0000000032020 | ||
Más | 8010 | A0000000038010 | ||
Tarjeta MasterCard | A000000004 | Tarjeta de crédito o débito Mastercard | 1010 | A0000000041010 |
Tarjeta MasterCard [27] | 9999 | A0000000049999 | ||
Maestro | 3060 | A0000000043060 | ||
Solo tarjeta ATM Cirrus | 6000 | A0000000046000 | ||
Programa de autenticación de chip Securecode | 8002 | A0000000048002 | ||
A000000005 | Maestro UK (antes Switch ) | 0001 | A0000000050001 | |
A000000010 | Mastercard (China, tarjetas de débito y crédito) [nota 1] | 8888 | A0000000108888 | |
tarjeta American Express | A000000025 | tarjeta American Express | 01 | A00000002501 |
A000000790 | AMEX CHINA (tarjetas de débito y crédito) [nota 2] | 01 | A00000079001 | |
Débito de EE. UU. (todas las redes interbancarias) (EE. UU.) | A000000098 | Tarjeta de marca Visa | 0840 | A0000000980840 |
A000000004 | Tarjeta de marca Mastercard | 2203 | A0000000042203 | |
A000000152 | Tarjeta de la marca Discover | 4010 | A0000001524010 | |
Tarjeta de crédito Menards (tarjeta de tienda) (EE. UU.) | A000000817 | Tarjeta de tienda | 002001 | A000000817002001 |
Red de cajeros automáticos LINK (Reino Unido) | A000000029 | Tarjeta ATM | 1010 | A0000000291010 |
CB (Francia) | A000000042 | CB (tarjeta de crédito o débito) | 1010 | A0000000421010 |
CB (Solo tarjeta de débito) | 2010 | A0000000422010 | ||
JCB (Japón) | A000000065 | Oficina de crédito de Japón | 1010 | A0000000651010 |
Dankort (Dinamarca) | A000000121 | Corbata de baile | 1010 | A0000001211010 |
VisaDankort | 4711 | A0000001214711 | ||
Dankort (J/rápido) | 4712 | A0000001214712 | ||
Consorcio Bancomat (Italia) | A000000141 | Bancomat/PagoBancomat | 0001 | A0000001410001 |
Diners Club / Descubrir | A000000152 | Diners Club/Descubrir | 3010 | A0000001523010 |
Banrisul (Brasil) | A000000154 | Banricompras Débito | 4442 | A0000001544442 |
SPAN2 (Arabia Saudita) | A000000228 | DURAR | 1010 | A0000002281010 |
Interac (Canadá) | A000000277 | Tarjeta de débito | 1010 | A0000002771010 |
Descubrir (Estados Unidos) | A000000324 | CREMALLERA | 1010 | A0000003241010 |
UnionPay (China) | A000000333 | Débito | 010101 | A000000333010101 |
Crédito | 010102 | A000000333010102 | ||
Cuasi-crédito | 010103 | A000000333010103 | ||
Dinero electrónico | 010106 | A000000333010106 | ||
DK (Alemania) | A000000359 | Girocard | 1010028001 | A0000003591010028001 |
EAPS Bancomat (Italia) | A000000359 | PagoBancomat | 10100380 | A00000035910100380 |
Verve (Nigeria) | A000000371 | Brío | 0001 | A0000003710001 |
La red de cajeros automáticos Exchange Network (Canadá/Estados Unidos) | A000000439 | Tarjeta ATM | 1010 | A0000004391010 |
RuPay (India) | A000000524 | RuPay | 1010 | A0000005241010 |
Dinube (España) | A000000630 | Iniciación de pago de Dinube (PSD2) | 0101 | A0000006300101 |
MIR (Rusia) | A000000658 | Débito MIR | 2010 | A0000006582010 |
Crédito MIR | 1010 | A0000006581010 | ||
Edenred (Bélgica) | A000000436 | Restaurante con entradas | 0100 | A0000004360100 |
eftpos (Australia) | A000000384 | Ahorros (tarjeta de débito) | 10 | A00000038410 |
Cheque (tarjeta de débito) | 20 | A00000038420 | ||
GIM-UEMOA
| A000000337 | Retirada | 01 000001 | A000000337301000 |
Estándar | 01 000002 | A000000337101000 | ||
Clásico | 01 000003 | A000000337102000 | ||
Prepago en línea | 01 000004 | A000000337101001 | ||
Prepago posible sin conexión | 01 000005 | A000000337102001 | ||
Puerta de la moneda electrónica | 01 000006 | A000000337601001 | ||
Meeza (Egipto) | A000000732 | Tarjeta meeza | 100123 | A000000732100123 |
Mercurio (EAU) | A000000529 | Carta de Mercurio | 1010 | A0000005291010 |
Unión T de China | A000000632 | Monedero electrónico para la inspección técnica de vehículos | 010105 | A000000632010105 |
Efectivo electrónico MOT | 010106 | A000000632010106 |
El terminal envía el comando de obtención de opciones de procesamiento a la tarjeta. Al emitir este comando, el terminal proporciona a la tarjeta cualquier elemento de datos solicitado por la tarjeta en la lista de objetos de datos de opciones de procesamiento (PDOL). La PDOL (una lista de etiquetas y longitudes de elementos de datos) es proporcionada opcionalmente por la tarjeta al terminal durante la selección de la aplicación. La tarjeta responde con el perfil de intercambio de aplicaciones (AIP), una lista de funciones a realizar en el procesamiento de la transacción. La tarjeta también proporciona el localizador de archivos de aplicaciones (AFL), una lista de archivos y registros que el terminal necesita leer de la tarjeta. [ cita requerida ]
Las tarjetas inteligentes almacenan datos en archivos. El AFL contiene los archivos que contienen datos EMV. Todos ellos deben leerse utilizando el comando read record. EMV no especifica en qué archivos se almacenan los datos, por lo que deben leerse todos los archivos. Los datos de estos archivos se almacenan en formato BER TLV . EMV define valores de etiqueta para todos los datos utilizados en el procesamiento de tarjetas. [28]
El objetivo de las restricciones de procesamiento es comprobar si la tarjeta debe utilizarse. Se comprueban tres elementos de datos leídos en el paso anterior: número de versión de la aplicación, control de uso de la aplicación (muestra si la tarjeta es solo para uso doméstico, etc.) y comprobación de la fecha de vigencia/expiración de la aplicación. [ cita requerida ]
Si alguna de estas comprobaciones falla, la tarjeta no necesariamente se rechaza. El terminal establece el bit apropiado en los resultados de verificación del terminal (TVR), cuyos componentes forman la base de una decisión de aceptación o rechazo más adelante en el flujo de la transacción. Esta característica permite, por ejemplo, que los emisores de tarjetas permitan a los titulares de tarjetas seguir utilizando tarjetas vencidas después de su fecha de vencimiento, pero que todas las transacciones con una tarjeta vencida se realicen en línea. [ cita requerida ]
La autenticación de datos fuera de línea es una comprobación criptográfica para validar la tarjeta mediante criptografía de clave pública . Hay tres procesos diferentes que se pueden llevar a cabo según la tarjeta: [ cita requerida ]
Para verificar la autenticidad de las tarjetas de pago, se utilizan certificados EMV. La autoridad de certificación EMV [29] emite certificados digitales a los emisores de tarjetas de pago. Cuando se lo solicita, el chip de la tarjeta de pago proporciona el certificado de clave pública y el SSAD del emisor de la tarjeta al terminal. El terminal recupera la clave pública de la CA del almacenamiento local y la utiliza para confirmar la confianza para la CA y, si es de confianza, para verificar que la clave pública del emisor de la tarjeta fue firmada por la CA. Si la clave pública del emisor de la tarjeta es válida, el terminal utiliza la clave pública del emisor de la tarjeta para verificar que el SSAD de la tarjeta fue firmado por el emisor de la tarjeta. [30]
La verificación del titular de la tarjeta se utiliza para evaluar si la persona que presenta la tarjeta es el titular legítimo de la misma. Existen muchos métodos de verificación del titular de la tarjeta (CVM) compatibles con EMV. Son [ cita requerida ]
El terminal utiliza una lista de CVM que se lee de la tarjeta para determinar el tipo de verificación que se debe realizar. La lista de CVM establece una prioridad de los CVM que se deben utilizar en relación con las capacidades del terminal. Los distintos terminales admiten distintos CVM. Los cajeros automáticos generalmente admiten PIN en línea. Los terminales POS varían en su compatibilidad con CVM según el tipo y el país. [ cita requerida ]
En el caso de los métodos de PIN cifrados sin conexión, el terminal cifra el bloque de PIN en texto sin formato con la clave pública de la tarjeta antes de enviarlo a la tarjeta con el comando Verificar. En el caso del método de PIN en línea, el terminal cifra el bloque de PIN en texto sin formato utilizando su clave de cifrado punto a punto antes de enviarlo al procesador del adquirente en el mensaje de solicitud de autorización.
Todos los métodos fuera de línea son vulnerables a ataques de intermediarios. En 2017, EMVCo agregó compatibilidad con métodos de verificación biométrica en la versión 4.3 de las especificaciones EMV. [31]
La gestión de riesgos de terminales solo se realiza en dispositivos en los que se debe tomar una decisión sobre si una transacción debe autorizarse en línea o fuera de línea. Si las transacciones se realizan siempre en línea (por ejemplo, cajeros automáticos) o siempre fuera de línea, este paso se puede omitir. La gestión de riesgos de terminales verifica el monto de la transacción con un límite máximo fuera de línea (por encima del cual las transacciones deben procesarse en línea). También es posible tener un 1 en un contador en línea y una verificación con una lista de tarjetas activas (que solo es necesaria para transacciones fuera de línea). Si el resultado de cualquiera de estas pruebas es positivo, el terminal establece el bit apropiado en los resultados de verificación del terminal (TVR). [32]
Los resultados de los pasos de procesamiento anteriores se utilizan para determinar si una transacción debe aprobarse fuera de línea, enviarse en línea para autorización o rechazarse fuera de línea. Esto se hace utilizando una combinación de objetos de datos conocidos como códigos de acción de terminal (TAC) almacenados en la terminal y códigos de acción del emisor (IAC) leídos de la tarjeta. El TAC se combina lógicamente con el IAC para dar al adquirente de la transacción un nivel de control sobre el resultado de la transacción. Ambos tipos de código de acción toman los valores Denegación, En línea y Predeterminado. Cada código de acción contiene una serie de bits que corresponden a los bits en los resultados de verificación de terminal (TVR) y se utilizan en la decisión del terminal de aceptar, rechazar o conectarse en línea para una transacción de pago. El TAC lo establece el adquirente de la tarjeta; en la práctica, los esquemas de tarjetas recomiendan las configuraciones del TAC que se deben usar para un tipo de terminal en particular según sus capacidades. El IAC lo establece el emisor de la tarjeta; algunos emisores de tarjetas pueden decidir que las tarjetas vencidas deben rechazarse, configurando el bit apropiado en el IAC de Denegación. Es posible que otros emisores deseen que la transacción se realice en línea, de modo que en algunos casos puedan permitir que se realicen estas transacciones. [33] [ se necesita una mejor fuente ]
Cuando un dispositivo que solo está en línea realiza el procesamiento IAC-Online y TAC-Online, el único bit TVR relevante es "El valor de la transacción excede el límite mínimo". Debido a que el límite mínimo está establecido en cero, la transacción siempre debe estar en línea y todos los demás valores en TAC-Online o IAC-Online son irrelevantes. Los dispositivos que solo están en línea no necesitan realizar el procesamiento IAC-default. Un dispositivo que solo está en línea, como un cajero automático, siempre intenta estar en línea con la solicitud de autorización, a menos que se rechace fuera de línea debido a la configuración de IAC-Denial. Durante el procesamiento IAC-Denial y TAC-Denial, para un dispositivo que solo está en línea, el único bit relevante de los resultados de la verificación de terminal es "Servicio no permitido". [34]
Uno de los objetos de datos que se leen de la tarjeta en la etapa de lectura de datos de la aplicación es CDOL1 (lista de objetos de datos de la tarjeta). Este objeto es una lista de etiquetas que la tarjeta desea que se le envíen para tomar una decisión sobre si aprobar o rechazar una transacción (incluido el monto de la transacción, pero también muchos otros objetos de datos). El terminal envía estos datos y solicita un criptograma mediante el comando de generación de criptograma de aplicación. Según la decisión del terminal (fuera de línea, en línea, rechazar), el terminal solicita uno de los siguientes criptogramas de la tarjeta: [ cita requerida ]
Este paso le da a la tarjeta la oportunidad de aceptar el análisis de la acción del terminal o rechazar una transacción o forzar una transacción en línea. La tarjeta no puede devolver un TC cuando se ha solicitado un ARQC, pero puede devolver un ARQC cuando se ha solicitado un TC. [34]
Las transacciones se realizan en línea cuando se solicita un ARQC. El ARQC se envía en el mensaje de autorización. La tarjeta genera el ARQC. Su formato depende de la aplicación de la tarjeta. EMV no especifica el contenido del ARQC. El ARQC creado por la aplicación de la tarjeta es una firma digital de los detalles de la transacción, que el emisor de la tarjeta puede verificar en tiempo real. Esto proporciona una sólida verificación criptográfica de que la tarjeta es genuina. El emisor responde a una solicitud de autorización con un código de respuesta (aceptando o rechazando la transacción), un criptograma de respuesta de autorización (ARPC) y, opcionalmente, un script del emisor (una cadena de comandos que se enviarán a la tarjeta). [34]
El procesamiento de ARPC no se realiza en transacciones de contacto procesadas con Visa Quick Chip [35] para EMV y Mastercard M/Chip Fast, [36] y en transacciones sin contacto en todos los esquemas porque la tarjeta se retira del lector después de que se ha generado el ARQC.
CDOL2 (lista de objetos de datos de la tarjeta) contiene una lista de etiquetas que la tarjeta deseaba enviar después de la autorización de la transacción en línea (código de respuesta, ARPC, etc.). Incluso si por alguna razón el terminal no pudiera conectarse en línea (por ejemplo, falla de comunicación), el terminal debe enviar estos datos a la tarjeta nuevamente utilizando el comando de criptograma de autorización de generación. Esto permite que la tarjeta conozca la respuesta del emisor. La aplicación de la tarjeta puede entonces restablecer los límites de uso fuera de línea.
Si un emisor de tarjetas desea actualizar una tarjeta después de su emisión, puede enviar comandos a la tarjeta mediante el procesamiento de secuencias de comandos del emisor. Las secuencias de comandos del emisor no tienen significado para el terminal y se pueden cifrar entre la tarjeta y el emisor para proporcionar seguridad adicional. Las secuencias de comandos del emisor se pueden utilizar para bloquear tarjetas o cambiar parámetros de las tarjetas. [37]
El procesamiento del script del emisor no está disponible en las transacciones de contacto procesadas con Visa Quick Chip [35] para EMV y Mastercard M/Chip Fast, [36] y para transacciones sin contacto en todos los esquemas.
La primera versión del estándar EMV se publicó en 1995. Ahora el estándar está definido y administrado por la corporación privada EMVCo LLC. Los miembros actuales de EMVCo [38] son American Express , Discover Financial , JCB International , Mastercard , China UnionPay y Visa Inc. Cada una de estas organizaciones posee una participación igualitaria de EMVCo y tiene representantes en la organización EMVCo y en los grupos de trabajo de EMVCo.
El reconocimiento de cumplimiento del estándar EMV (es decir, la certificación del dispositivo) es emitido por EMVCo luego de la presentación de los resultados de las pruebas realizadas por una empresa de pruebas acreditada. [ cita requerida ]
Las pruebas de conformidad con EMV tienen dos niveles: EMV Nivel 1, que cubre las interfaces físicas, eléctricas y de transporte, y EMV Nivel 2, que cubre la selección de aplicaciones de pago y el procesamiento de transacciones financieras de crédito. [ cita requerida ]
Después de pasar las pruebas comunes de EMVCo, el software debe ser certificado por las marcas de pago para cumplir con las implementaciones EMV patentadas como Visa VSDC, American Express AEIPS, Mastercard MChip, JCB JSmart o implementaciones compatibles con EMV de miembros no EMVCo como LINK en el Reino Unido o Interac en Canadá. [ cita requerida ]
Esta sección necesita ser actualizada . ( Marzo de 2020 ) |
A partir de 2011, desde la versión 4.0, los documentos oficiales del estándar EMV que definen todos los componentes de un sistema de pago EMV se publican como cuatro "libros" y algunos documentos adicionales:
El primer estándar EMV se presentó en 1995 con el nombre de EMV 2.0. En 1996 se actualizó a EMV 3.0 (a veces denominada EMV '96) y en 1998 se realizaron modificaciones a EMV 3.1.1. En diciembre de 2000 se modificó a su vez a la versión 4.0 (a veces denominada EMV 2000). La versión 4.0 entró en vigor en junio de 2004. La versión 4.1 entró en vigor en junio de 2007. La versión 4.2 está en vigor desde junio de 2008. La versión 4.3 está en vigor desde noviembre de 2011. [44]
Además de los datos de la pista dos en la banda magnética, las tarjetas EMV generalmente tienen datos idénticos codificados en el chip, que se leen como parte del proceso normal de transacción EMV. Si un lector EMV se ve comprometido hasta el punto de que se intercepta la conversación entre la tarjeta y el terminal, entonces el atacante puede recuperar tanto los datos de la pista dos como el PIN, lo que permite la construcción de una tarjeta de banda magnética que, si bien no se puede utilizar en un terminal con chip y PIN, se puede utilizar, por ejemplo, en dispositivos terminales que permiten el recurso al procesamiento de banda magnética para clientes extranjeros sin tarjetas con chip y tarjetas defectuosas. Este ataque solo es posible cuando (a) el dispositivo de entrada de PIN presenta el PIN fuera de línea en texto simple en la tarjeta, cuando (b) el emisor de la tarjeta permite el recurso a la banda magnética y (c) cuando el emisor de la tarjeta no puede realizar la comprobación geográfica y de comportamiento. [ cita requerida ]
APACS , que representa a la industria de pagos del Reino Unido, afirmó que los cambios especificados en el protocolo (donde los valores de verificación de la tarjeta difieren entre la banda magnética y el chip, el iCVV) hicieron que este ataque fuera ineficaz y que dichas medidas estarían en vigor a partir de enero de 2008. [45] Las pruebas realizadas en tarjetas en febrero de 2008 indicaron que esto podría haberse retrasado. [46]
La captura de conversaciones es una forma de ataque que, según se informa, tuvo lugar contra terminales de Shell en mayo de 2006, cuando se vieron obligadas a desactivar toda la autenticación EMV en sus estaciones de servicio después de que se robara más de un millón de libras a los clientes. [47]
En octubre de 2008, se informó de que cientos de lectores de tarjetas EMV destinados a ser utilizados en Gran Bretaña, Irlanda, los Países Bajos, Dinamarca y Bélgica habían sido manipulados en China durante o poco después de su fabricación. Durante nueve meses, se enviaron detalles y números PIN de tarjetas de crédito y débito a través de redes de telefonía móvil a delincuentes en Lahore , Pakistán. El director ejecutivo de contrainteligencia nacional de los Estados Unidos, Joel Brenner, dijo: "Anteriormente, sólo la agencia de inteligencia de un estado nacional habría sido capaz de llevar a cabo este tipo de operación. Da miedo". Los datos robados se utilizaban normalmente un par de meses después de las transacciones con tarjetas para dificultar a los investigadores localizar la vulnerabilidad. Después de descubrirse el fraude, se descubrió que los terminales manipulados podían identificarse porque los circuitos adicionales aumentaban su peso en unos 100 gramos. Se cree que se han robado decenas de millones de libras. [48] Esta vulnerabilidad impulsó los esfuerzos para implementar un mejor control de los dispositivos POS durante todo su ciclo de vida, una práctica respaldada por estándares de seguridad de pagos electrónicos como los que está desarrollando la Secure POS Vendor Alliance (SPVA). [49]
En un programa de BBC Newsnight de febrero de 2008, los investigadores de la Universidad de Cambridge Steven Murdoch y Saar Drimer demostraron un ejemplo de ataque para ilustrar que el chip y el PIN no son lo suficientemente seguros como para justificar pasar la responsabilidad de probar el fraude de los bancos a los clientes. [50] [51] El exploit de la Universidad de Cambridge permitió a los experimentadores obtener datos de la tarjeta para crear una banda magnética y el PIN.
APACS , la asociación de pagos del Reino Unido, no estuvo de acuerdo con la mayoría del informe, diciendo que "los tipos de ataques a los dispositivos de entrada de PIN detallados en este informe son difíciles de llevar a cabo y actualmente no son económicamente viables para que los lleve a cabo un estafador". [52] También dijeron que los cambios en el protocolo (que especifica diferentes valores de verificación de tarjeta entre el chip y la banda magnética, el iCVV) harían que este ataque fuera ineficaz a partir de enero de 2008.
En agosto de 2016, los investigadores de seguridad de NCR Corporation demostraron cómo los ladrones de tarjetas de crédito pueden reescribir el código de una banda magnética para que parezca una tarjeta sin chip, lo que permite su falsificación. [ cita requerida ]
El 11 de febrero de 2010, el equipo de Murdoch y Drimer en la Universidad de Cambridge anunció que habían descubierto "un fallo en el chip y el PIN tan grave que creen que demuestra que todo el sistema necesita una reescritura" que era "tan simple que les sorprendió". Se conecta una tarjeta robada a un circuito electrónico y a una tarjeta falsa que se inserta en el terminal (" ataque de intermediario "). Se pueden teclear cuatro dígitos cualesquiera y se aceptan como un PIN válido. [53] [54]
Un equipo del programa Newsnight de la BBC visitó una cafetería de la Universidad de Cambridge (con permiso) con el sistema y pudieron pagar utilizando sus propias tarjetas (un ladrón utilizaría tarjetas robadas) conectadas al circuito, insertando una tarjeta falsa y tecleando "0000" como PIN. Las transacciones se registraron de forma normal y no fueron detectadas por los sistemas de seguridad de los bancos. Un miembro del equipo de investigación dijo: "Incluso los sistemas criminales a pequeña escala tienen mejores equipos que los nuestros. El nivel de sofisticación técnica necesaria para llevar a cabo este ataque es realmente bastante bajo". El anuncio de la vulnerabilidad decía: "La experiencia que se requiere no es alta (electrónica de nivel universitario). Discutimos la afirmación de la industria bancaria de que los criminales no son lo suficientemente sofisticados, porque ya han demostrado un nivel mucho mayor de habilidad del necesario para este ataque en sus dispositivos miniaturizados de entrada de PIN". No se sabía si esta vulnerabilidad había sido explotada, pero podría explicar casos no resueltos de supuestos fraudes. [54]
EMVCo no estuvo de acuerdo y publicó una respuesta en la que decía que, si bien un ataque de ese tipo podría ser teóricamente posible, sería extremadamente difícil y costoso llevarlo a cabo con éxito, que los controles de compensación actuales probablemente detectarían o limitarían el fraude y que la posible ganancia financiera del ataque sería mínima, mientras que el riesgo de una transacción rechazada o de que el estafador quedara expuesto es significativo. [55] El equipo de Cambridge no está de acuerdo: lo llevaron a cabo sin que los bancos se dieran cuenta, con equipos disponibles comercialmente con algunos añadidos no sofisticados. Se podrían fabricar fácilmente versiones menos voluminosas. Quienes produzcan dichos equipos para el ataque no necesitan ponerse en riesgo, sino que pueden venderlos a cualquiera a través de Internet. [54]
Cuando se les pidió que hicieran comentarios, varios bancos (Co-operative Bank, Barclays y HSBC) respondieron que se trataba de un problema que afectaba a todo el sector y remitieron al equipo de Newsnight a la asociación comercial bancaria para que hiciera más comentarios. [56] Según Phil Jones, de la Asociación de Consumidores , el chip y el PIN han ayudado a reducir los casos de delitos con tarjetas, pero muchos casos siguen sin explicación. "Lo que sí sabemos es que tenemos casos presentados por particulares que parecen bastante convincentes". [ cita requerida ]
El ataque se aprovecha del hecho de que el método de autenticación elegido no está autenticado, lo que permite al intermediario actuar. El terminal pide un PIN, lo obtiene y la tarjeta confirma la transacción, que cree que está realizando una transacción con tarjeta y firma, lo que podría funcionar sin conexión. También funciona en línea, tal vez debido a la falta de controles. [57]
En un principio, los clientes bancarios tenían que demostrar que no habían sido negligentes con su PIN antes de obtener una compensación, pero las regulaciones del Reino Unido en vigor desde el 1 de noviembre de 2009 hicieron que los bancos tuvieran la responsabilidad de demostrar que un cliente había sido negligente en cualquier disputa, y el cliente tenía 13 meses para presentar una reclamación. [58] Murdoch dijo que "[los bancos] deberían revisar transacciones anteriores en las que el cliente dijo que su PIN no había sido utilizado y el registro bancario mostraba que sí, y considerar la posibilidad de reembolsar a estos clientes porque podría ser que sean víctimas de este tipo de fraude". [54]
En la conferencia CanSecWest en marzo de 2011, Andrea Barisani y Daniele Bianco presentaron una investigación que descubrió una vulnerabilidad en EMV que permitiría la recolección de PIN arbitrarios a pesar de la configuración de verificación del titular de la tarjeta, incluso cuando los datos CVM compatibles están firmados. [59]
La recolección de PIN se puede realizar con un escáner de chip. En esencia, una lista CVM que se ha modificado para degradar el CVM a PIN sin conexión aún es respetada por los terminales POS, a pesar de que su firma no sea válida. [60]
En 2020, los investigadores David Basin, Ralf Sasse y Jorge Toro de ETH Zurich informaron [61] [62] de un problema de seguridad que afectaba a las tarjetas sin contacto Visa : la falta de protección criptográfica de los datos críticos enviados por la tarjeta al terminal durante una transacción EMV. Los datos en cuestión determinan el método de verificación del titular de la tarjeta (como la verificación del PIN) que se utilizará para la transacción. El equipo demostró que es posible modificar estos datos para engañar al terminal y hacerle creer que no se requiere PIN porque el titular de la tarjeta fue verificado usando su dispositivo (por ejemplo, un teléfono inteligente). Los investigadores desarrollaron una aplicación de Android de prueba de concepto que convierte efectivamente una tarjeta Visa física en una aplicación de pago móvil (por ejemplo, Apple Pay , Google Pay ) para realizar compras de alto valor sin PIN. El ataque se lleva a cabo utilizando dos teléfonos inteligentes habilitados para NFC , uno cerca de la tarjeta física y el segundo cerca del terminal de pago. El ataque podría afectar a las tarjetas de Discover y UnionPay de China , pero esto no se demostró en la práctica, a diferencia de las tarjetas Visa.
A principios de 2021, el mismo equipo reveló que las tarjetas Mastercard también son vulnerables a un ataque de omisión de PIN. Demostraron que los delincuentes pueden engañar a una terminal para que realice una transacción con una tarjeta sin contacto Mastercard creyendo que se trata de una tarjeta Visa. Esta confusión de marcas de tarjetas tiene consecuencias críticas, ya que se puede utilizar en combinación con la omisión de PIN para Visa para omitir también el PIN de las tarjetas Mastercard. [62]
EMV son las siglas de " Europay , Mastercard y Visa ", las tres empresas que crearon el estándar. El estándar ahora lo gestiona EMVCo , un consorcio de empresas financieras. [1] Otros chips del estándar EMV ampliamente conocidos son:
Visa y Mastercard también han desarrollado estándares para el uso de tarjetas EMV en dispositivos que admitan transacciones sin presencia de tarjeta (CNP) por teléfono e Internet. Mastercard tiene el Programa de Autenticación con Chip (CAP) para el comercio electrónico seguro. Su implementación se conoce como EMV-CAP y admite varios modos. Visa tiene el esquema de Autenticación de Código de Acceso Dinámico (DPA), que es su implementación del CAP utilizando diferentes valores predeterminados.
En muchos países del mundo, las redes de pago con tarjetas de débito y/o crédito han implementado cambios de responsabilidad. [ cita requerida ] Normalmente, el emisor de la tarjeta es responsable de las transacciones fraudulentas. Sin embargo, después de que se implementa un cambio de responsabilidad, si el cajero automático o la terminal de punto de venta del comerciante no admite EMV, el propietario del cajero automático o el comerciante son responsables de la transacción fraudulenta.
Los sistemas de chip y PIN pueden causar problemas a los viajeros de países que no emiten tarjetas con chip y PIN, ya que algunos comercios pueden negarse a aceptar sus tarjetas sin chip. [63] Aunque la mayoría de terminales todavía aceptan tarjetas con banda magnética y las principales marcas de tarjetas de crédito exigen a los vendedores que las acepten, [64] algunos empleados pueden negarse a aceptar la tarjeta, bajo la creencia de que son responsables de cualquier fraude si la tarjeta no puede verificar un PIN. Las tarjetas sin chip y PIN también pueden no funcionar en algunas máquinas expendedoras sin supervisión en, por ejemplo, estaciones de tren o cajas de autoservicio en supermercados. [65]
El chip y el PIN se probaron en Northampton , Inglaterra , a partir de mayo de 2003 [73] y, como resultado, se implementó a nivel nacional en el Reino Unido el 14 de febrero de 2006 [74] con anuncios en la prensa y la televisión nacional que promocionaban el eslogan "Seguridad en números". Durante las primeras etapas de implementación, si se consideraba que se había producido una transacción fraudulenta con tarjeta magnética, el banco emisor reembolsaba al minorista, como sucedía antes de la introducción del chip y el PIN. El 1 de enero de 2005, la responsabilidad de dichas transacciones se trasladó al minorista; esto actuó como un incentivo para que los minoristas actualizaran sus sistemas de punto de venta (PoS), y la mayoría de las principales cadenas de tiendas minoristas lo actualizaron a tiempo para la fecha límite EMV. Muchas empresas más pequeñas inicialmente se mostraron reacias a actualizar su equipo, ya que requería un sistema PoS completamente nuevo, una inversión significativa.
En la actualidad, todos los bancos importantes emiten nuevas tarjetas que incorporan tanto bandas magnéticas como chips. La sustitución de las tarjetas que no incorporaban chip ni PIN fue un problema importante, ya que los bancos simplemente afirmaron que los consumidores recibirían sus nuevas tarjetas "cuando caduque su tarjeta anterior", a pesar de que muchas personas habían tenido tarjetas con fechas de caducidad tan tardías como 2007. El emisor de tarjetas Switch perdió un importante contrato con HBOS ante Visa , ya que no estaba preparado para emitir las nuevas tarjetas tan pronto como quería el banco.
La implementación del chip y el PIN fue criticada por estar diseñada para reducir la responsabilidad de los bancos en casos de supuestos fraudes con tarjetas, al exigir al cliente que demostrara que había actuado "con un cuidado razonable" para proteger su PIN y su tarjeta, en lugar de que el banco tuviera que demostrar que la firma coincidía. Antes de la implementación del chip y el PIN, si se falsificaba la firma de un cliente, los bancos eran legalmente responsables y tenían que reembolsar al cliente. Hasta el 1 de noviembre de 2009 no existía una ley de ese tipo que protegiera a los consumidores del uso fraudulento de sus transacciones con chip y PIN, solo el Código Bancario voluntario . Hubo muchos informes de que los bancos se negaron a reembolsar a las víctimas del uso fraudulento de tarjetas, alegando que sus sistemas no podían fallar en las circunstancias denunciadas, a pesar de varios ataques a gran escala documentados y exitosos. [ cita requerida ]
El Reglamento de Servicios de Pago de 2009 entró en vigor el 1 de noviembre de 2009 [75] y trasladó a los bancos la carga de la prueba, en lugar de suponer, que el titular de la tarjeta es culpable. [58] La Autoridad de Servicios Financieros (FSA) dijo que "es responsabilidad del banco, la sociedad de crédito o la compañía de tarjetas de crédito demostrar que la transacción fue realizada por usted y que no hubo fallas en los procedimientos ni dificultades técnicas" antes de rechazar la responsabilidad.
Después del robo de identidad generalizado debido a la débil seguridad en las terminales de puntos de venta en Target , Home Depot y otros grandes minoristas, Visa, Mastercard y Discover [80] en marzo de 2012 - y American Express [81] en junio de 2012 - anunciaron sus planes de migración a EMV para los Estados Unidos. [82] Desde el anuncio, varios bancos y emisores de tarjetas han anunciado tarjetas con tecnología de chip y firma EMV, incluidos American Express, Bank of America, Citibank, Wells Fargo , [83] JPMorgan Chase, US Bank y varias cooperativas de crédito.
En 2010, varias empresas comenzaron a emitir tarjetas de débito prepagas que incorporan Chip y PIN y permiten a los estadounidenses cargar efectivo en euros o libras esterlinas . [84] [1] United Nations Federal Credit Union fue el primer emisor de los Estados Unidos en ofrecer tarjetas de crédito con Chip y PIN. [85] En mayo de 2010, un comunicado de prensa de Gemalto (un productor global de tarjetas EMV) indicó que United Nations Federal Credit Union en Nueva York se convertiría en el primer emisor de tarjetas EMV en los Estados Unidos, ofreciendo una tarjeta de crédito Visa EMV a sus clientes. [86] JPMorgan fue el primer banco importante en introducir una tarjeta con tecnología EMV, a saber, su tarjeta Palladium , a mediados de 2012. [87]
En abril de 2016, el 70% de los consumidores estadounidenses tenían tarjetas EMV y en diciembre de 2016 aproximadamente el 50% de los comerciantes cumplían con la normativa EMV. [88] [89] Sin embargo, la implementación ha sido lenta e inconsistente entre los proveedores. Incluso los comerciantes con hardware EMV pueden no ser capaces de procesar transacciones con chip debido a deficiencias de software o de cumplimiento. [90] Bloomberg también ha citado problemas con la implementación del software, incluidos los cambios en las indicaciones de audio para las máquinas Verifone que pueden tardar varios meses en lanzarse e implementarse. Sin embargo, los expertos de la industria esperan una mayor estandarización en los Estados Unidos para la implementación y los estándares de software. Visa y Mastercard han implementado estándares para acelerar las transacciones con chip con el objetivo de reducir el tiempo para que estas sean inferiores a tres segundos. Estos sistemas se denominan Visa Quick Chip y Mastercard M/Chip Fast. [91]
{{citation}}
: Verificar |url=
valor ( ayuda )No es ninguna sorpresa para nosotros ni para los banqueros que este ataque funcione fuera de línea [...] lo realmente sorprendente es que también funciona en línea
{{cite journal}}
: CS1 maint: varios nombres: lista de autores ( enlace )