De la banda magnética al chip EMV. La gestión del número personal (PIN)

Hola,

Durante estas vacaciones he podido comprobar como EMV es por fin una realidad palpable en España. También he podido comprobar como algunos grandes comercios siguen pudiendo operar en fallback a banda magnética, lo que les evita exigir a cada uno de sus clientes que tecleen su PIN en los terminales, pero eso es harina de otro costal y no el objeto de este pequeño artículo.

Como era previsible, si hay algo que no ha cambiado es el escaso cuidado con el que la gente emplea su número secreto. Por desgracia, la transición a EMV no ha convertido mágicamente a los tarjetahabientes en expertos en seguridad en medios de pago. Si durante estos pasados nueve días no he visto en algún supermercado, restaurante o establecimiento al menos una decena de PINs, no he visto ninguno. Y es que quizás hemos pasado del PIN apuntado en la cartera a teclearlo alegremente sin tapar el teclado, permitiendo que cualquiera en las inmediaciones sepa qué número secreto tenemos en nuestra tarjeta.

Y esto, amigos míos, tiene un peligro más que obvio. En un mundo EMV, donde autenticamos las operaciones mediante PIN dejando a trás los recibos firmados, se reducen los escenarios donde reclamar un fraude caso de sufrirlo. Reclamar alegando que una operación autenticada mediante número secreto no es nuestra no es tan sencillo como pueda parecer, con lo que conservar la privacidad del PIN es absolutamente necesario e imprescindible si queremos conservar nuestra salud financiera.

Gestionar bien el PIN es algo fácil de hacer siguiendo tres sencillos pasos:

  • Rotar el número periódicamente y siempre que se sospeche que puede haber sido visualizado por alguien. Escoger números personales aleatorios es obligatorio, con lo que las fechas de nacimiento, los números triviales y en general, los que sean previsibles de algún modo, deben ser evitados.
  • Cuando se teclee el PIN cubrid con la mano el teclado, lo que impedirá que cámaras o los ojos curiosos de algún amigo de lo ajeno obtengan el número.
  • Por último, especialmente si viajas a algún país de menor nivel de bancarización o simplemente a algún país donde EMV no sea un estándar, infórmate en tu sucursal sobre las condiciones que son aplicables a tu medio de pago con relación a los eventos de fraude.

Un saludo, y espero que tengais un buen regreso a lo cotidiano tras las vacaciones :)

Memorias USB certificadas según FIPS 140-2 Nivel 2 vulneradas

Hola,

A mediados de semana pudimos comprobar como determinados pen drives con mecanismos de cifrado resultaban ser vulnerables. El problema afecta a numerosas unidades de los conocidos fabricantes SanDisk, Kingston y Verbatim.

De este incidente se pueden sacar al menos tres conclusiones principales:

  • AES-256 sigue siendo un método de cifrado prácticamente irrompible. El problema no es AES, sino cómo estos fabricantes han implementado los mecanismos de autenticación necesarios para articular las operaciones criptográficas. Todo se basa en que ante un evento de autenticación correcta, independientemente de la clave de cifrado, se envía siempre la misma cadena de texto al dispositivo, con lo que los especialistas, con gran tenacidad, han desarrollado un programa que envía dicha cadena con independencia de la corrección de la clave, lo que el dispositivo entiende como una autenticación correcta, permitiendo por ende el acceso a los datos en claro.
  • Tal y como dice Schneier, la segunda conclusión es valorar cómo pueden obtener una certificación de tan alto nivel unos dispositivos con un problema de diseño (y a la postre de seguridad) tan elemental y comprometedor. ¿Sirve realmente de algo certificar un producto según FIPS 140-2? ¿Se trata sólo un caso aislado?
  • La tercera conclusión es que es mejor tener una llave USB cuyo cifrado puede ser eventualmente vulnerado que tener una llave USB, un disco externo, un portátil, un móvil, una PDA o cualquier otro elemento susceptible de pérdida o robo sin cifrar. En el primer caso podemos contactar con el fabricante y tratar de resolver el problema reemplazando las unidades vulnerables. En los demás, sólo nos quedará rezar por que el autor del robo o aquel que se encuentre el dispositivo no ponga en una red P2P, en Megaupload o en las manos de una mafia nuestros datos. Hoy en día, todo aquel que no cifre un dispositivo móvil susceptible de pérdida o robo que contenga datos sensibles, sea del tipo que sea, comete una gravísima negligencia que como mínimo debería hacerle reconsiderar si entiende o no lo que significa seguridad de la información.

Para aquellos que tengáis llaves USB con soporte de cifrado de estos fabricantes, se consideran vulnerables los siguientes modelos:

SanDisk:

* Cruzer® Enterprise USB flash drive, CZ22 – 1GB, 2GB, 4GB, 8GB
* Cruzer® Enterprise FIPS Edition USB flash drive, CZ32 – 1GB, 2GB, 4GB, 8GB
* Cruzer® Enterprise with McAfee USB flash drive, CZ38 – 1GB, 2GB, 4GB, 8GB
* Cruzer® Enterprise FIPS Edition with McAfee USB flash drive, CZ46 – 1GB, 2GB, 4GB, 8GB

Kingston:

* DataTraveler BlackBox (DTBB)
* DataTraveler Secure – Privacy Edition (DTSP)
* DataTraveler Elite – Privacy Edition (DTEP)

Verbatim:

* Verbatim Corporate Secure USB Flash Drive 1GB, 2GB, 4GB, 8GB
* Verbatim Corporate Secure FIPS Edition USB Flash Drives 1GB, 2GB, 4GB, 8GB

Un saludo,