COLOMBIA (AndeanWire, 29 de Enero de 2014) En los últimos días mucho se ha hablado de las tarjetas inteligentes o con tecnología Chip del estándar EMV (por Europay, Mastercard y Visa).A propósito de las violaciones a Target y Neiman Marcus en Estados Unidos muchos ven en la tecnología “chip y pin” de EMV como la solución mágica que pudo haberle ahorrado a Target y a sus clientes un gran dolor de cabeza. No obstante, si bien EMV representa un paso adelante en términos de seguridad de tarjetas, no es correcto decir que EMV hubiera detenido la violación a Target.
¿Pero qué es EMV?
EMV es un estándar que inició como un esfuerzo conjunto entre Europay, MasterCard y Visa para reemplazar el mecanismo que provee la información identificable del usuario (número de cuenta, CVV, etc.) a la terminal que inicia la transacción. En lugar de una banda magnética, las tarjetas EMV utilizan un chip inteligente y el ingreso de un numero PIN que sólo el usuario conoce (de ahí el término “chip y pin”). Cuando la información llega a la terminal, el proceso permanece prácticamente igual; la información de cuenta es cargada en la memoria de la terminal, se crea un marco transaccional para solicitar autorización y demás procesos.
EMV no hubiera podido evitar la violación a Target
El malware que afectó a Target buscaba la información de las cuentas en la memoria de los dispositivos de los puntos de venta (POS). De esta forma, los criminales lograron conseguir la información, ya que aunque esta correspondiera a tarjetas “chip y pin”, la información no estaba siendo tomada directamente de las tarjetas sino de las terminales.
Todavía existen puntos débiles en el sistema “Chip o Pin” de EMV que pueden ser explotados en ataques de fraude
En un fraude “con tarjeta física”, un criminal roba la información de una tarjeta que fue físicamente pasada por una terminal POS para completar la transacción. EMV hace más difícil que los criminales clonen una tarjeta, ya que la tecnología empleada para construir los microprocesadores que se encuentran en el chip de las tarjetas EMV es más mucho más compleja de duplicar que la relativamente simple información almacenada en una banda magnética. Sin embargo, los estándares EMV deben ser implementados en su totalidad para prevenir exitosamente las transacciones fraudulentas “con tarjeta presente”. En los Estados Unidos, adoptar el sistema EMV será obligatorio para la totalidad de los comerciantes sólo hasta octubre de 2015. Esto no sólo significa que los usuarios estadounidenses seguirán estando vulnerables ante fraudes “con tarjeta física”, sino que los usuarios extranjeros que ya cuentan con tarjetas EMV también estarán en riesgo debido a que la mayoría de terminales POS en E.U. todavía no cuentan con la tecnología necesaria para aceptar pagos mediante chips EMV. Así mismo, la mayoría de comercios aún emplean la tecnología de banda magnética en lugar de EMV. Esto deja expuestas a las tarjetas EMV a ataques posteriores si los criminales deciden utilizar la información robada vía transacciones online o si clonan las tarjetas para luego utilizarlas en países que no cuenten con la tecnología EMV.
Incluso las naciones donde se ha estandarizado el uso de EMV, no están del todo inmunes contra el fraude “con tarjeta física”. En Colombia por ejemplo, donde las tarjetas EMV son obligatorias desde el 2013, la policía ha reportado un incremento de 25% en las quejas por clonación de tarjetas en el periodo comprendido entre 2012 y 2013. Muchos comercios al procesar transacciones todavía pasan la banda magnética de las tarjetas en lugar de emplear la tecnología EMV dispuesta para tal fin, dejando a las tarjetas EMV tan vulnerables a la clonación como las tarjetas que supuestamente estarían reemplazando.
Dos tercios de los fraudes con tarjetas de crédito involucran transacciones “sin tarjeta física”, para lo cual, EMV no provee ninguna protección
Si usted cuenta con una tarjeta EMV, y el comercio donde realiza su compra utiliza una terminal POS que escanea los chips EMV de las tarjetas al momento de las transacciones, usted contará con mayor seguridad que en el caso de utilizar una tarjeta con banda magnética. Desafortunadamente, esto sólo describe un tercio de los casos de fraude con tarjetas de crédito y débito. Dos tercios del fraude con tarjeta ocurren sin necesidad de que la tarjeta física este presente, por ejemplo al realizar compras online o vía telefónica; en estas situaciones no hay forma de escanear el chip de la tarjeta o de emplear el numero PIN. En el caso de las violaciones a Target o a Neiman Marcus, la información robada de las tarjetas “chip y pin” puede ser usada para realizar compras online fraudulentas. Si bien es cierto que EMV cambiará la estructura de las violaciones a comercios y el fraude con tarjeta, no ofrecerá una solución definitiva. Para ver un ejemplo de como EMV modifica los patrones de perpetración del fraude, Francia vio como el fraude “sin tarjeta física” se cuadruplicó en los cuatro años posteriores a la implementación de los sistemas EMV, a pesar de que la tecnología “chip y pin” simultáneamente redujo considerablemente el fraude “con tarjeta física”.
¿Cómo está el avance de la implementación de esta tecnología en la región?
Actualmente, el 36% de las tarjetas funcionan con tecnología chip, representando más de mil millones de tarjetas en el mundo. En América Latina, el Caribe y Canadá, se han emitido más de 180 millones de tarjetas, representando más del 26% del total de las tarjetas que circulan en estas regiones. En América Latina y el Caribe, Visa ha emitido más de 100 millones de tarjetas desde la adopción de EMV, en 1996.
¿Cuáles serían las recomendaciones para los usuarios con esta tecnología?
Independientemente a la tecnología en las tarjetas de crédito, ya sea bandas magnéticas o tarjetas con chip, los usuarios deberían tomar las siguientes medidas que pueden prevenir el robo de información personal:
Este atento a los ciclos de facturación y controle balances y pagos. Cualquier actividad sospechosa puede indicar el robo de datos.
Cambie sus claves secretas frecuentemente.
Nunca envíe información personal, incluyendo número de tarjetas de crédito y pins por mensajes de texto o en conversaciones telefónicas.
Evite ingresar su nombre de usuario y contraseña en sitios web extraños que le lleguen por correo electrónico.
Asegúrese que las páginas donde ingrese información personal tengan certificados de seguridad. El prefijo ‘https:’ significa que la página está respaldada y cuentan con medidas de protección al cliente.
Pregúntele a su banco e instituciones bancarias sobre las medidas de detección y protección de fraude electrónico implementado que protegen a sus clientes.
Sobre Easy Solutions:
Easy Solutions protege del fraude electrónico a más de 50 millones de usuarios finales de más de 180 entidades, compañías de servicios financieros, firmas de seguridad, comercios y otras instituciones en Latinoamérica, Estados Unidos y otras regiones del mundo. El portafolio de Protección Total contra Fraude® de Easy Solutions ofrece detección y prevención de phishing, pharming, malware, ataques Man-in-the-Middle y Man-in-the-Browser, además de autenticación multifactorial y detección de transacciones anómalas. Para mayor información, visite http://www.easysol.net, o síganos en Twitter en @goeasysol.
Estados Unidos: 1401 Sawgrass Corporate Parkway, Sunrise, FL 33323. Tel. 1 (866) 524 4782
Latinoamérica: Cra. 13A No. 98 – 21 Of. 401. Bogotá, Colombia. Tel. +57 1 – 742 5570
Deteniendo los fraudes “sin tarjeta física” con Detect Monitoring Service
Easy Solutions provee monitoreo de los mercados negros en busca de traficantes de credenciales e información robada de tarjetas débito y crédito con Detect Monitoring Service (DMS), una solución integral de monitoreo anti-fraude basada en la nube. Esta le brinda a las organizaciones un pronto aviso cuando ocurran violaciones causadas por terminales POS comprometidas, permitiéndoles prevenir rápidamente que las transacciones fraudulentas con tarjetas robadas se lleven a cabo y evitar las perdidas antes de que el dinero salga de las cuentas de los usuarios.
Para mayor información, por favor visite: http://www.easysol.net/newweb/Products/detect_monitoring_service
http://www.connectsafely.org/Safety-Tips/tips-to-help-stop-cyberbullying.html