Los detalles dependen del banco, el tipo de tarjeta y el país, por lo que varían bastante, pero el modelo genérico es el siguiente:
- La banda magnética contiene, en su mayoría, una copia legible por computadora de la información grabada en la tarjeta: número de cuenta, nombre del titular, fecha de vencimiento.
- El chip contiene una clave secreta que se usa para "firmar" (no necesariamente una firma verdadera; a menudo una MAC ) transacciones.
- El chip conoce el código PIN y se niega a funcionar hasta que se haya presentado el código PIN; también se bloquea si se presentan demasiados códigos PIN incorrectos.
Cuando un terminal de pago utiliza la banda magnética, debe hablar con el banco, establecer un túnel seguro con el banco, enviar el código PIN ingresado por el usuario y verificar que la cuenta del propietario tiene suficiente dinero en él.
Por otra parte, cuando un terminal de pago utiliza el chip, el código PIN se envía solo al chip y no hay necesidad de hablar con el banco. Toda la transacción puede realizarse fuera de línea. Por supuesto, para grandes cantidades, todavía es una buena idea hablar con el banco para saber si existe tanto dinero en la cuenta del comprador, pero las transacciones pequeñas se pueden realizar de manera eficiente sin ninguna red.
Por lo tanto, la banda magnética y el chip se utilizan de dos maneras diferentes, y tener ambas no significa que la seguridad se reduzca a la seguridad del más débil de los dos. Desde el punto de vista del banco, los chips son mejores, ya que son más eficientes (no hay necesidad de manejar una llamada de red) y son más difíciles de clonar (las estadísticas muestran una tasa de fraude dividida por aproximadamente 10). Esto se traduce a menudo en ventajas financieras otorgadas a los comerciantes que cambian a terminales con chip.
Puede haber variantes en todo lo anterior. Por ejemplo, algunas tarjetas incluyen en la banda magnética una versión encriptada del código PIN, pero no se verificará en el terminal de pago. En su lugar, el terminal tendrá que hablar con un servidor regional que conoce la clave de descifrado y puede hacer la verificación. Para algunos otros tipos de tarjetas, es bastante claro que la banda magnética no sabe nada sobre el código PIN, por ejemplo. Las tarjetas American Express sin chip (de hace unos años) donde puede cambiar su código PIN llamando a su banco.
En cualquier caso, todas las características de seguridad de una tarjeta de crédito o débito no están destinadas a proteger a usted . Protegen al banco . Desde el punto de vista del banco, usted es el enemigo (independientemente de lo que afirmen en sus anuncios).