Nuevas tarjetas Visa PIN para combatir el fraude CNP (Card Not Present)

Hola,

El pasado 10 de junio Visa Europa anunció el comienzo de pruebas de una innovadora tarjeta, llamada Visa PIN, desarrollada en conjunción con Emue Technologies.

Los eventos de fraude CNP (Card Not Present, tarjeta no presente) en comercios o servicios en línea, perpetrados a través de medios de pago ajenos, están en boga. Por otro lado, existen numerosos comercios online que exigen pocos datos para poder dinamizar y entorpecer las compras lo mínimo, lo que permite la transaccionalidad, en algunos casos, con tan sólo introducir el PAN (número de tarjeta), el tipo de tarjeta y la fecha de caducidad. Esto hace que el mero hecho de disponer de esos datos nos capacite para realizar una compra empleando la tarjeta de otra persona. Y obviamente, esos datos son mucho más fáciles de obtener que por ejemplo, la totalidad de una pista del plástico (clonados)

Ante esto, aprovechando una tecnología de Emue, que permite la integración de un teclado, display y chip criptográfico en un plástico de débito/crédito, se está trabajando en probar intensivamente estar tarjetas Visa PIN, similares a la que aparece en la imagen:

emue pin card

La gran ventaja de estas tarjetas radica en que el fraude CNP queda prácticamente invalidado, ya que en un evento de clonado, incluso en el peor caso (captura de PIN), una tarjeta clonada no podría generar los OTPs necesarios, al carecer de los mecanismos encargados de su generación. Eso sí, si nos han capturado el PIN en un cajero y nos clonan la banda, evitaremos el CNP, pero no evitaremos que el atacante disponga de nuestro efectivo :)

La validación de transacciones se realiza en tres pasos:

* El titular activa el proceso de autenticación, escogiendo para ello la opción que le interese dentro de las que aparecen en el teclado de la tarjeta (véase la imagen, ePIN, eSIGN, eFONE, eMSG, etc.)

* A continuación, el usuario introduce en el teclado su PIN habitual, y la tarjeta genera, en función al modo de operación, una clave segura de un sólo uso.

* El cliente introduce la clave en el servicio, autenticando la operación.

El único fleco de debilidad del sistema es la posibilidad de realizar ataques man in the middle, es decir, robar la credencial de un sólo uso, impedir que el cliente legítimo la emplee, para ser inmediatamente empleada por los atacantes, si bien este método, que ya se ha dado en otros entornos de doble autenticación, es complejo y requiere atención extrema por parte del atacante a los pasos del cliente, lo que hace que decaiga su rentabilidad frente a los ataques a sistemas de autenticación simple, mucho más fácilmente rentabilizables.

El principal obstáculo es que estos plásticos son caros, y no siempre son rentables para los emisores. Confío no obstante que el abaratamiento sea progresivo, y que se implanten gradualmente en servicios en línea críticos, como banca o comercios que carecen de doble factor de autenticación. Adicionalmente, las pasarelas de pago tienen que incorporar la tecnología para poder trasladar los OTPs a centros de autorización, aunque a buen seguro este paso será mucho más rápido y económico que la emisión de plásticos de este tipo.

Una gran idea, que espero prospere :)