Seguridad, experiencia del cliente y el valor del negocio

Hola,

El fin de semana pasado recibí una tarjeta de débito que no había solicitado. Al abrir el sobre comprobé que me enviaban un reemplazo para un plástico EMV, siendo el envío 100% proactivo por parte de la entidad, es decir, no provocado por extravío, robo o caducidad. Tiendo a pensar que tampoco se trata de un reemplazo masivo provocado por fraude, ya que llevan tiempo enviando información advirtiendo del reemplazo progresivo de los plásticos y sobre todo, la tarjeta a la que sustituye este nuevo plástico sigue operativa.

Me alegró comprobar que, lejos de enviar una tarjeta operativa, el banco depositó en mi buzón una tarjeta que requería activación antes de poder ser usada. Esta es sin duda una práctica más que aconsejable que impide el uso fraudulento del medio de pago en caso de que alguien comprometa nuestro buzón. Los métodos de activación que me ofrecieron son los típicos: la banca a distancia, el teléfono o el cajero automático. Eché la tarjeta a la cartera, y ese mismo día, aprovechando la cercanía de un cajero, procedí a activarla.

Con lo que no contaba era con tener que abortar la operación al recibir dos veces el mensaje de PIN erróneo, pese a que la carta que acompañaba la tarjeta indicaba claramente que el PIN no había cambiado, algo que me parece natural y normal. ¿Por qué cambiarlo si no hay compromiso? Basta con enviar la tarjeta inactiva, y dejar que el cliente la active. Forzar un cambio de PIN es improcedente y contraproducente para el reemplazo, porque como podéis imaginar, en el momento que el PIN no funciona hay que proceder a solicitarlo. Si tienes la oficina a mano consumirás el tiempo de los gestores, que están allí fundamentalmente para vender productos financieros, no para faciltiar PINes. Si echas mano del teléfono, tendrás que gastar dinero y tiempo para pedir que te manden un PIN a casa, porque no te lo darán por teléfono. Si tus clientes activan sus tarjetas en la banca a distancia liberas tus oficinas y tu call center de trabajo que no repercute en ingresos, pero a cambio necesitas que tus clientes tengan el perfil tecnológico suficiente para completar el proceso. Mire por donde se mire, cambiar el PIN en un evento de reemplazo no provocado por fraude es injustificado y provoca, además de molestias, gastos operativos innecesarios.

Quiero pensar que lo que ha ocurrido es un error, porque sería muy mezquino forzar intencionadamente el cambio de PIN en el escenario descrito. No obstante, imaginaos lo que puede pasar si esto se lo haces a un millón de clientes: Probablemente recibas alguna queja que otra. Sí, errar es humano, pero hay que tratar de impedir este tipo de errores y precisamente es la ausencia de este tipo de problemas lo que convierte un servicio en excelente en vez de chapucero.

No existe ningún secreto en la mejor manera de hacer las cosas: esforzarnos al máximo en equilibrar la seguridad, la experiencia del cliente y el valor del negocio subyacente.

Ataques sofisticados. Tarjetas EMV y fraude en la cadena de suministro (chain supply fraud)

Hola,

Acabo de ver en Schneier el enésimo ejemplo de que cuando el crimen organizado se pone a maquinar, acaban por realizar cosas realmente insólitas, que por desgracia, suelen ser bastante perjudiciales.

chip card

Un poco de EMV

Las tarjetas chip-and-pin son un tipo de plásticos de nueva generación que poco a poco va ganando cuota de mercado en prácticamente todos los continentes. En la actualidad gozan de elevadas tasas de penetración en paises cercanos como el Reino Unido y Francia, siendo notablemente creciente la tasa de adopción en regiones emergentes, como por ejemplo, Asia. En España, la situación difiere, como sucede en otros muchos países, dependiendo del tipo de entidad emisora, aunque en general podríamos decir que no somos un país líder en el uso de EMV. Si queréis estar al día con la actividad EMV en España os recomiendo el blog de Julián Inza, que de tarjetas inteligentes sabe un rato largo :)

La denominación chip and pin es un nombre que se le ha dado a una iniciativa respaldada por el gobierno británico para la plena implantación de medios de pago EMV (Europay, Mastercard y Visa), y que está siendo supervisada por la Association For Payment Clearing Services (APACS).

EMV es un estándar para permitir la interoperabilidad entre tarjetas inteligentes y cajeros y/o terminales de venta con capacidad de realizar operaciones EMV. Como cualquier otra tarjeta, la finalidad principal de EMV es servir como medio de pago, es decir, proporcionar autenticación en transacciones de crédito y débito, pero también es un estándar muy orientado a reducir el fraude en tarjetas, además, drásticamente, ya que su tecnología permite mecanismos transaccionales más seguros que los existenes en plásticos con sólo banda magnética.

Tarjetas de banda vs tarjetas EMV

En tarjetas clásicas de banda magnética, el proceso tiene un core de tres componentes: adquisición de datos de pista de la banda, empaquetado y generación de un bloque de PIN cifrado y por último, envío a centro autorizador, que determinará, en función de si la tarjeta es propia o ajena, quien es reponsable de autorizar o denegar la operación. Es muy normal que además de los centros autorizadores de cada entidad financiera haya centros independientes que interconectan a las entidades, lo que permite que podamos operar con cualquier tipo de tarjeta en cualquier cajero, sea de nuestra entidad o no.

Por otro lado, el chip contiene una criptografía suficiente para generar criptogramas robustos, individuales para cada tarjeta (porque cada tarjeta tiene sus propias llaves), que serán enviados a los centros autorizadores, y en los que también viajan los datos de la tarjeta y el PIN introducido en el teclado para ser verificados y así poder conceder la preceptiva autorización o denegación a la transacción solicitada. En el caso de tarjetas EMV, también se pretende mejorar los procesos de autorización offline (sin acceso a centro autorizador), pero es un tema farragoso y que no tiene sentido comentar en este momento, aunque es sumamente interesante, por las implicaciones antifraude que tiene. Otro tema en el que no entraremos es hablar sobre qué pasa cuando metes una tarjeta EMV en un cajero convencional, y hay que hacer fallback a la banda magnética (en ausencia de capacidad EMV, la tarjeta funciona con la banda). En síntesis, y resumiendo mucho, descifrar criptogramas EMV y/o duplicar los chips no es lo mismo que clonar una banda magnética, lo que en en teoría se traduce en mayor seguridad.

La gran ventaja respecto al sistema tradicional es que en el caso de banda, la tarjeta no aporta nada al transporte criptográfico de bloque de PIN y datos de tarjeta al centro autorizador (de eso se ocupa el PIN Pad seguro, el teclado del cajero). En EMV, el chip sí permite aportar tratamiento criptográfico al proceso, porque el chip es ante todo eso: una pequeña fábrica de criptogramas.

Teoría y práctica

Hasta aquí la teoría. Ahora, la práctica. EMV no es la panacea, y numerosos tipos de ataque contra este estándar están siendo puestos en lo alto de la mesa. Está claro que de partida ofrece mejor seguridad, pero no ofrece, como nada en esta vida, seguridad absoluta. Es lo que ha pasado recientemente en Reino Unido, donde se están produciendo incidentes de seguridad muy sofisticados relacionados con EMV.

En este caso, los atacantes no han explotado vulnerabilidades de las tarjetas, sino que se las apañaron para modificar terminales de venta EMV en el proceso de fabricación de los mismos. Una vez modificados, los terminales se introdujeron en el mercado y fueron adquiridos por muchos comercios, con lo que se logró un nivel de diseminación elevado. Estos puntos de venta modificados han permitido el fraude en tres pasos:

  1. En primera instancia, los terminales adulterados permitían copiar los datos de tarjeta y el PIN introducido antes de que el propio terminal pudera cifrar la información.
  2. Una vez adquiridos los datos se sometían a cifrado, empleando llaves criptográficas propiedad de los atacantes, para almacenarlos en un buffer existente en el propio terminal modificado.
  3. Por último, se dotó a los terminales de facultad para enviar los datos almacenados en el buffer a servidores remotos. Estos servidores remotos se han localizado, en este caso en particular, en Pakistán, donde una vez recibidas las tramas se descifraban los datos capturados para clonar tarjetas, con el agravante de disponer del PIN.

Este proceso denota una profesionalización extrema, y por tanto, es de prever que los impactos producidos también sean muy altos. Muchos expertos no dudan en calificar el montaje como, posiblemente, el más complejo conocido en la triste historia del fraude relacionado con clonación de tarjetas. No es para menos, a la vista de lo ocurrido, y sobre todo teniendo en cuenta que los orígenes de estos incidentes se remontan, nada más y nada menos, que al comienzo de la cadena de suministro de los terminales, es decir, a su fabricación.

¿Soluciones? Se me ocurre endurecer los procesos de inspección de estos dispositivos, así como fortalecer el control general de la seguridad en las empresas fabricantes. Tampoco estaría mal dotar a los terminales de mecanismos de autodetección de modificaciones maliciosas. Y aún así, me temo que siempre habrá eslabones débiles en la cadena (humanos, cómo no), y que estos incidentes, probablemente, se repetirán.

Espero equivarme con esta previsión.