Hay diferentes tipos de autenticaciones para tarjetas. Hace años, las antiguas tarjetas de banda magnética (aún en uso en los EE. UU.) Tenían solo la "Autenticación de datos estáticos" (SDA), que era un número fijo e inmutable incrustado en la banda mag, similar al CVV2 impreso en el reverso de la tarjeta . Las violaciones de datos que se han extendido por todo Estados Unidos en los últimos años se deben al problema que identificó; es decir, el malware en el terminal de pago hace una copia de los datos y los envía al pirata informático. SDA no puede defenderse contra el tipo de copia que describe.
Un tipo de autenticación más moderno se llama autenticación de datos dinámica (DDA). Aprovecha el hecho de que los datos de la tarjeta son entregados por un chip de computadora y no es solo un flujo de datos fijos. El chip de la computadora ejecuta un algoritmo para generar el número DDA; este algoritmo utiliza un código rodante. Esta DDA entonces toma el lugar de la antigua SDA. Durante la autorización, el banco toma nota del valor del código rodante utilizado para generar ese DDA e invalida los DDA más antiguos para evitar un ataque de repetición con cualquier código DDA anterior.
Eso significa que si un terminal hace una copia literal de los datos de una tarjeta DDA, incluida la DDA, el banco todavía la rechazará en transacciones futuras porque esa DDA ya se ha utilizado.
Finalmente, EMV es compatible con el método de DDA Combinado (CDA), que es una operación criptográfica basada en varios datos disponibles en la transacción, incluyendo el número de transacción, la cantidad, el ID del terminal, un contador interno, un azar generado por el terminal. número y una clave secreta almacenada allí por el banco emisor. El algoritmo produce un criptograma que solo puede recalcularlo alguien que conozca todos esos componentes; ya que incluyen la clave secreta, solo el banco o el chip de la tarjeta podrían reproducirlos.
(Hubo un posible ataque cuando los números aleatorios generados por el terminal no eran realmente aleatorios; los cambios en la especificación de EMV en la revisión 4.3 lo solucionaron).
Tenga en cuenta que algunos chips EMV más antiguos todavía pueden usar SDA porque todavía es compatible con los protocolos. Pero si los datos de la autorización se hojean o copian, el banco que emitió el chip con SDA tiene que pagar por el fraude porque usó tecnología insegura conocida.