Llegamos a ustedes gracias a:



Reportajes y análisis

EMV y la tokenización:

12 problemas de seguridad que no resolverán

[17/02/2015] La seguridad tiene que adecuarse a los nuevos tiempos. Las amenazas que tienen que enfrentar los usuarios de tarjetas de crédito y débito se han afrontado de diversas formas y una de las más recientes es el uso de tarjetas con chip.

Efectivamente, a nivel mundial se está pasando por un proceso de cambio en la tecnología que utilizan las tarjetas para almacenar la información de sus usuarios, y para protegerla. Se está pasando de la clásica banda magnética en la parte posterior de la tarjeta, al uso de un chip engarzado en la parte frontal del plástico.

A nivel local se ha establecido que a partir de este año las tarjetas que emitan los bancos utilicen esta nueva tecnología, y que para finales del próximo, los cajeros automáticos de los bancos deben estar adecuados para trabajar con ella.

Con ello se promete una mayor seguridad a la que actualmente se puede ofrecer, pero ¿es suficiente?

A continuación ofrecemos 12 posibles obstáculos que se podrían presentar en el viaje hacia la seguridad de la tarjeta de crédito.

1. Es probable que el período de transición tenga algunos problemas

Los próximos 12 meses serán muy interesantes, señala Stephen Cobb, investigador senior de seguridad de ESET con sede en Bratislava, Eslovaquia, LLC.

"Si yo fuera un chico malo estaría sondeando en busca de brechas durante la transición, ya que son más o menos inevitables, añade. "Ya sea que se trate de la compatibilidad hacia versiones anteriores, o simplemente el tipo de errores que se producen cuando se hace la transacción de un sistema a otro. Y algunos hacks notorios en los últimos años se han producido cuando un sistema ha estado fuera de servicio por mantenimiento.

Y no se trata solo del periodo de transición. Con toda la tecnología hay una brecha entre la forma en que se debe utilizar en la teoría, y cómo es que se pone en marcha en la práctica.

"Todo el tiempo hemos visto que los sistemas fallan no porque tengan un defecto, sino porque se ejecutan de forma incorrecta, anota Jeff Man, evangelista de seguridad PCI en Tenable Network Security.

2. El chip y la firma no son tan seguros como el chip y el PIN

Un número PIN es más seguro que una firma, pero los nuevos estándares EMV permiten elegir los métodos de verificación.

"No ha habido un solo caso documentado en el que se vean comprometidos los pines, señala Paul Kleinschnitz, vicepresidente senior y gerente general de la empresa de ciberseguridad First Data. "Es un requisito que los pines se cifren en la terminal.

Los vendedores de las tiendas minoristas son conocidos por no prestar atención a las firmas en la parte posterior de las tarjetas y rara vez piden identificación.

"Este es el único gran mercado en el que se está imponiendo el EMV con firma en lugar del EMV con PIN, añade Sean Curran, director de infraestructura en la práctica de tecnología y operaciones de West Monroe Partners, firma de consultoría de negocios y tecnología, refiriéndose al mercado estadounidense.

3. La tokenización y el cifrado no son un requisito

Dependiendo de cómo los comerciantes deciden lanzar el EMV, los datos de la tarjeta todavía podían ser transmitidos a través de la red comercial sin cifrar.

"La tokenización no es parte de la norma, ni de los requisitos, señala Curran.

Si un comerciante implementa EMV sin nada más, la mayoría de sus sistemas seguirán siendo tan vulnerables como lo son hoy.

4. Migrar a la tokenización podría ser un proceso lento e incierto

A excepción de los sistemas de tokenización puramente locales, los comerciantes tienen que esperar a que los emisores y procesadores de pagos lo ofrezcan, antes de que puedan desplegarlo.

"Hasta ahora, las normas aún no se han adoptado ni han sido totalmente vetadas por la industria, y todavía se conoce poco acerca de las barreras de costo ante el alto uso de los tokens, anota Randy Vanderhoof, director ejecutivo de Smart Card Alliance. "Debido a estos factores, es más probable que haya un lapso de entre dos a cinco años.

5. Los comerciantes todavía tienen que mantener algunos datos de los clientes

Probablemente hay pequeñas tiendas por ahí que no recogen ninguna información del cliente en absoluto.

"Pero los comerciantes más grandes deben tener datos para el análisis, la planificación de tiendas, el merchandising, las ventas al por mayor y la venta cruzada, señala Suni Munshani, CEO en Protegrity USA. "Es imposible que hagan todo eso sin datos, por lo que deben almacenar los datos.

Algunas compañías tienen razones para almacenar parte o la totalidad de los datos de pago; por ejemplo, para permitir que los clientes mantengan los métodos de pago en orden, para una mayor comodidad al hacer sus compras.

La solución de Protegrity es dejar los libros de códigos en manos de los comerciantes, en lugar de subcontratar a los procesadores de pagos.

"El comerciante tiene que proteger el proceso de destokenización, ya que todo está en manos del comerciante, admitió. "Pero significa que la compañía no está casada con el procesador de los pagos.

6. Muchas empresas aún no tienen los conocimientos básicos

Así que, por muchas de las razones anteriores, muchos comerciantes seguirán teniendo números de tarjetas de crédito e información sensible similar en sus sistemas. Y los ladrones seguirán yendo tras ellos.

A algunos de esos ladrones les resultará particularmente fácil llegar a esos datos.

De acuerdo con el Informe de Cumplimiento PCI Verizon 2014 publicado a principios del año pasado, el 78% de las violaciones utiliza tácticas en las técnicas de las categorías de dificultad "baja o "muy baja.

Tomemos, por ejemplo, el primer requisito del estándar de la Payment Card Industry Data que busca instalar y mantener un servidor de seguridad para proteger los datos de los titulares de las tarjetas. Según el informe de Verizon, solo el 64% de las empresas implementan esto.

¿El segundo requisito? No utilizar las contraseñas predeterminadas o los ajustes de seguridad de los vendedores. Solo el 51% de las empresas cumplió este requisito el año pasado.

Los minoristas ocupados en el despliegue de EMV deben tener cuidado de no estar tan ocupados que se distraigan de abordar estas cuestiones básicas de seguridad.

7. Incluso con cifrado y tokenización, el riesgo no se va -solo se mueve a otro lado

Existe un par de formas de hacer la tokenización, pero la que reduce la responsabilidad de los comerciantes en mayor medida es aquella en la que el comerciante en realidad nunca ve o tiene el número de la tarjeta de crédito.

Ese es el caso de los productos de tokenización de First Data, TransArmor, que convierte la valiosa información de su tarjeta de crédito a un token al azar a través de una rápida comunicación cifrada cuando los clientes utilizan sus tarjetas, y el token no se convierte de nuevo en un número real de tarjeta de crédito hasta que la transacción sea finalmente procesada por First Data.

El minorista solo obtiene la posición del token -algo que no tiene sentido para un ladrón que no cuente con el libro de códigos, y First Data tiene el libro de códigos.

Es probable que los ladrones no quieran abandonar la misión e irse a casa. En cambio, es probable que centren su atención en la compañía de procesamiento de pagos.

Eso no es nada nuevo, de acuerdo con Kleinschnitz de First Data. "Ya estamos gestionando ese riesgo, señala.

Y la empresa se está preparando para asumir aún más de ese riesgo, añade, mediante la inversión de un cuarto de millón de dólares al año en la seguridad cibernética.

8. Puede que al público no le importe quién es responsable

Si se produce el incumplimiento y los hackers roban datos tokenizados y son capaces de encontrar la forma de utilizar esos datos, los clientes pueden estar propensos a culpar al comerciante por la pérdida, así como al procesador de pagos.

"Es una cuestión de percepción del público, señala el ejecutivo de Tenable. "¿Será que al público realmente le importa que el procesador de datos sea realmente el responsable?

Además, solo porque es difícil hacer algo, no significa que sea imposible.

"Es un reto más difícil, anota Man. "Sin embargo, un par de años atrás, cosechar los datos de la tarjeta de crédito en una transacción desde un punto de venta parecía una tarea difícil para los hackers. Pero descubrieron la forma de hacerlo.

9. Las tarjetas con banda magnética seguirán funcionando

Como no todos los comerciantes van a actualizar sus sistemas a la vez, las nuevas tarjetas de pago equipadas con chips todavía tendrán que tener bandas magnéticas.

Uno de los problemas que resultará de esto es que los hackers todavía podrán utilizar los números de tarjetas de crédito robadas para crear tarjetas de banda magnética clonadas.

En otros países, cuando un comprador intenta utilizar una tarjeta de banda magnética cuando el emisor ya se ha cambiado a EMV, la tarjeta es rechazada.

"Pero debido a que este es un período de transición, habrá una capacidad de anular eso, indica Curran de West Monroe. "Entonces, ¿cómo actúan los comerciantes en este escenario? Se sugiere que sea responsabilidad del comerciante, a pesar de que el comerciante no tiene manera de protegerse contra esto.

10. El fraude se trasladará a los canales en línea

Ese mismo servidor también podría simplemente escribir los números de la tarjeta y luego usarlos para compras en línea, compras por teléfono y otras situaciones de "tarjeta no presente.

"Los minoristas necesitan comenzar a explorar tecnologías alternativas para proteger los canales donde no se presenta la tarjeta de crédito y los canales móviles, comenta Randy Vanderhoof, director ejecutivo de Smart Card Alliance con sede en Nueva Jersey. "Aquí es a donde probablemente se mude el fraude.

Además, los sistemas en línea son en sí mismos potencialmente vulnerables a la delincuencia informática.

"Si bien la atención se ha centrado en las intrusiones de malware a los POS, todavía hay una gran cantidad de inyección SQL y encriptado cruzado de sitios, comenta Lev Lesokhin, vicepresidente senior de CAST, proveedor de software de análisis con sede en Francia.

En Canadá, por ejemplo, EMV se puso en marcha en el 2008, y el fraude anual en tarjetas de crédito cayó en 134 millones de dólares canadienses en el 2013, mientras que el fraude de la tarjeta no presente aumentó en 171 millones de dólares canadienses durante el mismo período de tiempo, de acuerdo con el Grupo Aite.

11. Los delincuentes ampliarán su mira

Si las nuevas medidas de seguridad resultan eficaces, y el valor de los números de tarjetas de crédito robados disminuye, los delincuentes simplemente recurrirán a otros tipos de delincuencia, señala Stephen Cobb, investigador senior de seguridad de ESET.

El valor de los números de Seguro Social y otros tipos de información de identidad podría ser relativamente más importantes, por ejemplo.

"Si soy un chico malo en busca de hacer dinero con los datos, ésa sería un área hacia donde apuntaría, anota. "Otras áreas de fraude que no se explotan mucho en el momento podría tener una mayor atención, como el fraude de facturación, transferencias electrónicas fraudulentas y el fraude médico.

12. Los hackers ahora centrarán su atención en la formación de grietas EMV

Los delincuentes, como cualquier otra persona, utilizan sus recursos donde tendrán mayor impacto.

A medida que los países se cambiaron a EMV, los delincuentes centraron su atención en los Estados Unidos, un gigante, como fruta madura.

"No creo que la gente esté viendo todas las hazañas y los riesgos reales todavía, porque Estados Unidos fue un mercado muy grande y fácilmente atacable, señala Curran de West Monroe. "En los próximos dos años, vamos a ver el protocolo EMV poniéndose a prueba y los posibles riesgos que aún no se conocen.

Ya hemos visto una vulnerabilidad descubierta, con el ataque "pre-play que aprovechaba la mala implementación de generadores de números aleatorios, para las tarjetas clonadas basadas en chip.