¿Cómo se aseguran las tarjetas de pago?

Hay diferentes tipos de autenticaciones para tarjetas. Hace años, las antiguas tarjetas de banda magnética (aún en uso en los EE. UU.) Tenían solo la "Autenticación de datos estáticos" (SDA), que era un número fijo e inmutable incrustado en la banda mag, similar al CVV2 impreso en el reverso de la tarjeta . Las violaciones de datos que se han extendido por todo Estados Unidos en los últimos años se deben al problema que identificó; es decir, el malware en el terminal de pago hace una copia de los datos y los envía al pirata informático. SDA no puede defenderse contra el tipo de copia que describe.

Un tipo de autenticación más moderno se llama autenticación de datos dinámica (DDA). Aprovecha el hecho de que los datos de la tarjeta son entregados por un chip de computadora y no es solo un flujo de datos fijos. El chip de la computadora ejecuta un algoritmo para generar el número DDA; este algoritmo utiliza un código rodante. Esta DDA entonces toma el lugar de la antigua SDA. Durante la autorización, el banco toma nota del valor del código rodante utilizado para generar ese DDA e invalida los DDA más antiguos para evitar un ataque de repetición con cualquier código DDA anterior.

Eso significa que si un terminal hace una copia literal de los datos de una tarjeta DDA, incluida la DDA, el banco todavía la rechazará en transacciones futuras porque esa DDA ya se ha utilizado.

Finalmente, EMV es compatible con el método de DDA Combinado (CDA), que es una operación criptográfica basada en varios datos disponibles en la transacción, incluyendo el número de transacción, la cantidad, el ID del terminal, un contador interno, un azar generado por el terminal. número y una clave secreta almacenada allí por el banco emisor. El algoritmo produce un criptograma que solo puede recalcularlo alguien que conozca todos esos componentes; ya que incluyen la clave secreta, solo el banco o el chip de la tarjeta podrían reproducirlos.

(Hubo un posible ataque cuando los números aleatorios generados por el terminal no eran realmente aleatorios; los cambios en la especificación de EMV en la revisión 4.3 lo solucionaron).

Tenga en cuenta que algunos chips EMV más antiguos todavía pueden usar SDA porque todavía es compatible con los protocolos. Pero si los datos de la autorización se hojean o copian, el banco que emitió el chip con SDA tiene que pagar por el fraude porque usó tecnología insegura conocida.

Descargo de responsabilidad: no estoy en este campo, lo que sé es muy limitado, por favor, no cuente con ello y no me decida si no estoy exactamente en lo cierto. Estoy tratando de ayudar - correcciones / ediciones / falsificaciones muy bienvenidos! :)

Como sucede con todas las tecnologías que usan Universal Integrated Circuit Card como protección, solo se puede verificar una transacción con ella. no es posible (o digamos sin mucho esfuerzo, por ejemplo, usar un microscopio de radar muy sofisticado para aplicar ingeniería inversa a la tarjeta) para robar el private key almacenado en él.

Como la transacción se basa en un timewindow , no es posible "almacenar" la verificación y usarla más tarde, ¡que yo sepa!

Lo que sí es posible es mostrar una cantidad incorrecta (una más baja) al usuario en el dispositivo manipulado. También hay algunos métodos que pueden aumentar el rango de lectura de una tarjeta. verificación, por ejemplo: enlace