Seguridad de la tarjeta de pago
Seguridad de la tarjeta de pago
Las tarjetas de pago modernas están equipadas con una serie de soluciones tecnológicas que aumentan el nivel de seguridad de su uso. Por un lado, estas características de seguridad deben proteger bien la tarjeta y, por otro lado, deben ser verificadas fácilmente por el comerciante, el comprador y el emisor de la tarjeta (el banco). Deben asegurarse de que:
- La tarjeta es original y no ha sido falsificada por delincuentes;
- Su dueño es el que asegura haber sido ya tratado.
Por lo tanto, para reducir la posibilidad de fraude, las organizaciones de tarjetas y los bancos utilizan un sistema de seguridad de varios niveles. Está construido de tal manera que sus áreas individuales son complementarias entre sí. Este sistema incluye:
- seguridad visual abierta y encubierta;
- seguridad electrónica integrada en la tarjeta;
- Las medidas de seguridad protegen la transmisión de datos durante el proceso de autorización de pago.
seguridad visual
La principal protección de una tarjeta de pago contra la falsificación y el uso no autorizado es la personalización, es decir, la asignación de la tarjeta a un cliente específico, el banco y la organización de la tarjeta. Esta suite de seguridad incluye:
- número de tarjeta de 16 dígitos (grabado en la parte inferior de la cara);
- Fecha de vencimiento de la tarjeta, especificada en formato MM / YY: la tarjeta anterior debe reservarse automáticamente o rechazarse en el cajero automático o en el punto de venta;
- nombre y apellido del titular de la tarjeta: la tarjeta solo puede ser utilizada por la persona cuyos datos personales aparecen en el plástico;
- El código CVC2/CVV2 de tres dígitos, que es una característica de seguridad en transacciones remotas donde no se puede usar un PIN. Se coloca únicamente en el reverso de la tarjeta y en el sistema informático del banco;
- La firma del propietario (y en el caso de tarjetas de visita, el nombre de la empresa grabado). Las tarjetas sin firmar se consideran inválidas;
- Cada tarjeta de pago también debe contener el logotipo del sistema (por ejemplo, VISA, Eurocard/Mastercard, PolCard, American Express).
Un dato interesante es que otra forma de seguridad es el orden exacto de todos los elementos que aparecen en la tarjeta. Cada vendedor, junto con el dispositivo, recibe instrucciones del operador, en las que se describe el orden de los detalles individuales. Por ejemplo, en las Pautas para vendedores de PaySquare, hay información de que, en el caso de las tarjetas con la marca Masterdcard, «los cuatro dígitos debajo del número de la tarjeta deben coincidir con los primeros cuatro dígitos del número de la tarjeta y comenzar con ‘5’, la tarjeta número» debe estar en orden en bloques cuadrangulares y es idéntico en tamaño y forma.
Por supuesto, la personalización de la tarjeta no es su única seguridad. Además, los emisores de tarjetas les colocan marcas especiales que dificultan la falsificación de plástico. Este conjunto de características de seguridad incluye los siguientes elementos: hologramas, gráficos, letras pequeñas y caracteres que solo son visibles bajo la luz ultravioleta.
holograma
Un holograma es una etiqueta óptica tridimensional, grabada en una fina lámina sensible a la luz láser. El contenido del holograma aparece con la luz correcta y en la posición correcta de la tarjeta. El holograma no se puede eliminar ni modificar porque se funde en el material de la tarjeta mediante un método conocido como estampado en caliente.
El holograma es una de las mejores características de seguridad abierta de las tarjetas de pago. Una gran ventaja es la posibilidad de verificación rápida por parte del comerciante que no requiere dispositivos adicionales en el lugar de la transacción, por ejemplo en una tienda, restaurante o gasolinera.
El uso de hologramas es bastante costoso (debido al altísimo costo de la matriz), pero, paradójicamente, es este factor el que evita que los estafadores creen «falsificaciones». Desafortunadamente, hay casos en los que los delincuentes invierten en una costosa imprenta y pueden producir tarjetas con un holograma aparentemente original.
Dato curioso: hace unos años, la policía polaca desmanteló de esta forma una banda que había formado más de 2.000. Las tarjetas de crédito, luego, con su ayuda, los productos fueron estafados por al menos 1,5 millones de PLN.
Gráficos de seguridad y letras pequeñas
Estos elementos se clasifican como características de seguridad clasificadas porque son difíciles de ver a simple vista. Estos son gráficos muy complejos, irregulares y pequeños que se aplican a la tarjeta en el proceso de impresión con cinta especializada.
Las microimpresiones se vuelven visibles solo con la luz adecuada y con gran aumento, por lo que los distribuidores de cartas no están obligados a verificarlas. A menudo se utilizan para validar la tarjeta a un nivel de investigación especializado durante las investigaciones realizadas por las agencias de aplicación de la ley.
Características de seguridad visibles en los rayos UV
Como regla general, estos son símbolos gráficos de organizaciones de pago, pero no siempre. A veces, las letras también son letras sueltas que el espectador coloca en un lugar inesperado, por ejemplo, en la esquina de una tarjeta, debajo del revestimiento que cubre la banda magnética, etc. Para hacer la impresión ultravioleta se utiliza una tinta especial, que tiene propiedades químicas que hacen que sea imposible leer dicho letrero a simple vista.
Dato curioso: en la luz ultravioleta, aparece una letra V adicional en la tarjeta Visa entre las letras «I» y «S». En las tarjetas Mastercard, la abreviatura MC se encuentra en el lado izquierdo de la tarjeta.
Si el comerciante de la tarjeta tiene reservas sobre su autenticidad, puede comprobar de forma independiente esta garantía (sin embargo, no es una obligación obligatoria). Sin embargo, los operadores de terminales en sus instrucciones comerciales siempre indican cuál es el componente UV en un tipo particular de tarjeta, para que los comerciantes sepan dónde y qué marca debe aparecer.
Cinta de Firma – Protección Especial
Uno de los elementos excepcionalmente protegidos de la tarjeta es la correa del reverso, en la que el titular de la tarjeta de plástico pone su firma. Este lugar está equipado con una serie de características de seguridad diferentes, como impresión UV y/o estampado entrelazado.
Además, debajo de la impresión en miniatura hay una capa de pintura blanca, que es el fondo de la firma. El intento fraudulento de eliminar o rayar el nombre en la barra elimina automáticamente el soporte y el campo dañado muestra ‘ANULADO’ (Mastercard) o ‘Tarjeta no válida’.
El uso de muchas funciones de seguridad está dictado por el hecho de que, en el caso de transacciones fuera de línea, es la firma la que permite a los vendedores verificar la identidad del propietario del plástico. Sin embargo, como bien sabemos, los vendedores rara vez miran nuestra tarjeta cuando pagamos con ella. En primer lugar, porque una verificación exhaustiva de cada tarjeta llevará mucho tiempo y, en segundo lugar, la primera vez que intenten hacer esto, es probable que pierdan al cliente para siempre. Por esta razón, los bancos confían más en la seguridad remota.
la seguridad cibernética
Sin embargo, ¿cómo comprobar de forma remota si la persona que usa la tarjeta tiene derecho a hacerlo? En el caso de las transacciones en línea (como los retiros de efectivo de los cajeros automáticos), la seguridad visual se vuelve menos importante y la seguridad electrónica se vuelve más importante. Gracias a ellos, el emisor de la tarjeta (el banco) puede asegurarse de que una determinada operación fue ordenada por el verdadero titular de la tarjeta y no un fraude.
La seguridad principal de la tarjeta es un PIN (Número de identificación personal). Es una especie de «firma electrónica» del propietario del plástico y es tratada por las entidades financieras en pie de igualdad con una firma manuscrita. Este código de cuatro dígitos le permite realizar transacciones en las tiendas y retirar dinero de los cajeros automáticos, y al mismo tiempo protege nuestros ahorros, por supuesto, solo si cuidamos adecuadamente su seguridad y no los compartimos imprudentemente con los ladrones.
La seguridad electrónica también incluye banda magnética y/o chip. Es en estos lugares donde se encuentra el conjunto de datos codificados en el soporte de plástico. La información almacenada en el chip del procesador es complementaria a la seguridad visual de la tarjeta y se utiliza para permitir transacciones remotas.
Tarjeta de banda magnética vulnerable al fraude
La cinta magnética consta de tres caminos, es decir, campos magnéticos paralelos, que son leídos por un cabezal magnético ubicado en un cajero automático o terminal. La primera pista contiene el nombre y apellido del titular de la tarjeta, así como los detalles del país y el banco que emitió la tarjeta. La segunda pista contiene el número de tarjeta, su fecha de vencimiento y el código de servicio necesario para completar la transacción correctamente. Por otro lado, la tercera ruta se utiliza para registrar información bancaria privada.
Desafortunadamente, las funciones de seguridad utilizadas en este tipo de tarjeta son muy fáciles de descifrar. Usando un dispositivo llamado programador, los estafadores pueden copiar fácilmente el contenido de la cinta y transferir los datos confidenciales de la tarjeta a su copia. Una tarjeta clonada funciona igual que la tarjeta original y las transacciones se realizan con ella en beneficio de su legítimo propietario.
Tarjetas con chip más resistentes a la copia
Las tarjetas inteligentes que han reemplazado a las tarjetas de banda magnética están equipadas con un sistema de seguridad mucho mejor. Además del microprocesador, también contiene una ROM permanente en la que se carga el sistema operativo. Nos destacamos en:
- área de lectura gratuita – contiene los datos encriptados del titular de la tarjeta: su nombre, apellido, número de identificación de la tarjeta, fecha de vencimiento, así como el nombre de la institución financiera que la emitió;
- Área secreta: se puede acceder después de ingresar el número PIN. En esta área se almacena información sobre el fabricante de la tarjeta y datos confidenciales sobre el usuario;
- Espacio de trabajo: donde se almacenan los datos variables (por ejemplo, la lista de transacciones de la tarjeta, el saldo de la cuenta bancaria, los contadores de transacciones, etc.).
Además, el chip está equipado con un coprocesador para la codificación, que funciona sobre la base de algoritmos complejos. Además, la comunicación entre el programa y el procesador también se puede encriptar, lo que es una protección adicional contra ataques de piratas informáticos avanzados.
En resumen, el chip integrado en la tarjeta utiliza técnicas de cifrado de varias etapas y genera datos dinámicos únicos para cada transacción (la llamada firma del mensaje). Como resultado, es casi imposible copiar la información en la tarjeta inteligente.
La seguridad cubre el proceso de autorización
Cuando pagamos con tarjeta en una tienda o con su ayuda retiramos efectivo de un cajero automático, nuestro banco debe asegurarse de que tenemos derecho a hacerlo y no pretender ser el legítimo propietario del plástico. Este proceso se llama autorización y la transacción en línea es así: un cajero automático o dispositivo terminal lee los datos del chip o banda magnética y se los envía al comprador quien verifica que la tarjeta es válida. Si este es el caso, el comprador debe ingresar el código PIN, que aún está encriptado en el dispositivo y enviarlo al banco de esta forma (para que ni siquiera una persona que trabaje en el centro de autorización pueda leerlo). Si el PIN es correcto, la computadora del centro de facturación permite la transacción.
Cabe señalar que los sistemas de autorización de los bancos tienen medidas de seguridad adicionales integradas para ayudar a detectar fraudes, es decir, transacciones con tarjetas no convencionales y sospechosas. Si un pago en particular difiere del algoritmo de transacción típico que realiza un cliente en particular, por ejemplo, a la 1 p. m. paga con una tarjeta en Żabka, y después de unas horas compra un Mercedes en Florida, el banco puede decidir caer en malas manos. e interrumpir el proceso de autorización (o incluso sin el conocimiento del titular de la tarjeta para bloquear la tarjeta).
Las transacciones fuera de línea se permiten de manera algo diferente, por ejemplo, con una tarjeta sin contacto. En este caso, el cajero automático o la terminal no se comunica con el centro de autorización del banco y verifica los datos necesarios para completar la transacción en sí. Como medida de seguridad adicional, el dispositivo comprueba automáticamente si una determinada tarjeta no está incluida en el llamado cese de vacaciones, es decir, la lista de tarjetas robadas y restringidas. En este caso, el dispositivo deja de autorizar y muestra un mensaje al repartidor que debe quedarse con la tarjeta en este momento.
Hemos discutido la ruta del proceso de licencia en detalle en este artículo.
Seguridad de pago en línea
La situación con respecto a la seguridad de las transacciones en línea es menos clara, durante la cual el vendedor no puede evaluar visualmente la autenticidad de la tarjeta y la única forma de verificación de la identidad del propietario del plástico es el código CVC2 / CVV2 de tres dígitos. . Si un ladrón roba nuestra tarjeta, no necesita saber el PIN; todo lo que necesita hacer es proporcionar detalles confidenciales de la tarjeta y los pagos de las compras se cargarán a nuestra cuenta.
Una solución para prevenir este tipo de fraude es el servicio 3D Secure que ofrecen la mayoría de los bancos polacos. Consiste en una confirmación adicional de la transacción mediante una contraseña de un solo uso. Según la herramienta de autorización que utilicemos, podría ser un código de un mensaje de texto, una tarjeta de rascar o un token. Después de confirmar que la persona que realizó la compra es el titular real de la tarjeta, el banco reenvía la transacción para obtener la autorización normal.
Vale la pena señalar que los propietarios de tiendas en línea también están obligados a garantizar la seguridad de las transacciones. En primer lugar, deben garantizar a sus clientes que la transferencia de datos entre las computadoras de sus hogares y el servidor donde se alojan el sitio web y la base de datos en la tienda es resistente a los piratas informáticos. La herramienta principal que permite dicha protección es un certificado SSL (Secure Socket Layer). Tiene tres funciones importantes:
- Permite cifrar los datos, gracias a la total confidencialidad;
- protege la integridad de los datos en tránsito: los datos no pueden ser modificados por terceros o este cambio se detecta automáticamente;
- Se garantiza a los usuarios que aterrizaron en una página segura y que no fueron redirigidos a un sitio falso pero confusamente similar.
La información de que la tienda en línea tiene un certificado SSL aparece en la dirección del sitio web: el prefijo «https» indica que el sitio web está utilizando una conexión encriptada. El icono adicional es el icono del candado o el campo de dirección verde.
Sin embargo, muchas grandes tiendas en línea utilizan un sistema de seguridad adicional muy estricto, desarrollado conjuntamente por las organizaciones de pago más grandes. El llamado estándar PCI DSS (Payment Card Industry Data Security Standard) cubre 12 áreas importantes relacionadas con el almacenamiento, envío y procesamiento de datos que identifican tarjetas individuales. El incumplimiento de los requisitos de PCI DSS puede tener graves consecuencias comerciales y financieras para la Compañía, y también puede resultar en su exclusión de la participación en el servicio de tarjeta de pago.
seguridad futura
Sin embargo, quizás, en un futuro bastante lejano, se implementarán medidas de seguridad que reducirán los intentos de fraude con tarjetas a casi cero y facilitarán la verificación de la identidad del usuario de plástico.
Hoy en día, las organizaciones de pago más grandes ya están trabajando en tarjetas biométricas que permiten identificar a una persona específica en función de características fisiológicas únicas, como el patrón de huellas dactilares, la disposición vascular, el patrón del iris o la geometría de la mano.
Una solución alternativa podría ser tarjetas bancarias en forma de un chip implantado debajo de la piel con una unidad NFC, que ahora se usa en tarjetas sin contacto. Estas tarjetas no pueden ser falsificadas ni suplantadas de ninguna manera, por lo que su único punto débil será la transmisión de datos.
Puede leer más sobre las tarjetas con un PIN biométrico en este artículo.
Resumen
Es cierto que la introducción de la seguridad óptica y los chips impidieron la clonación de tarjetas de pago, pero los delincuentes no se dieron por vencidos. Hoy, la verdadera batalla por la seguridad de las tarjetas de pago se desarrolla en el ciberespacio, y los lugares más vulnerables a los ataques son los canales de transmisión utilizados para transmitir los datos necesarios en el proceso de autorización. Interceptar la información almacenada en el procesador de la tarjeta aún le permite hacerse pasar por el propietario del plástico y realizar pagos en su cuenta.
Sin embargo, a veces los delincuentes no tienen que esforzarse mucho, porque nosotros mismos, de manera imprudente, les proporcionamos estos datos. El fraude con tarjetas de pago representa actualmente el 92% de todos los delitos contra clientes bancarios. Por tanto, al final, cabe destacar otro componente de seguridad muy importante de la tarjeta, que debe ser nuestro sentido común. También debemos cuidar nosotros mismos la seguridad de las tarjetas de pago y usarlas con prudencia y cuidado.
ver más