Introducción
Existen pocos ejemplos a lo largo de la historia humana que puedan compararse a la revolución que en los últimos cuarenta años ha tenido lugar a nivel mundial con el desarrollo y la universalización de las TIC. La capacidad de cómputo y automatización de actividades que han traído consigo los ordenadores (en la actualidad, un equipo personal de gama media pueda llevar a cabo más de tres mil millones de operaciones por segundo)1 ha descubierto un mundo de información desconocido hasta la fecha:
Este nuevo orden tecnológico ha sacudido los cimientos de la sociedad y ha conseguido cambiar, en apenas cincuenta años, hábitos de vida forjados durante siglos. La forma en que los seres humanos se comunican, la forma en que investigan, la forma en que aprenden, la forma en que se relacionan con su alrededor… Todos y cada uno de los aspectos que rodean la vida de las personas están hoy afectados, de una u otra manera, por el tratamiento computarizado de la información que ha traído consigo la llamada "Era Digital".
Uno de los ejes fundamentales de esta evolución, como no puede ser de otra manera, ha sido el plano de las transacciones financieras. Distintos han sido los medios de pago a través de la Historia de la Humanidad. Desde los primeros intercambios a través del trueque o del uso de metales preciosos (sin acuñar primero, acuñados para garantizar su genuinidad2 después) hasta las complejas transacciones comerciales actuales. El ser humano no ha dejado de inventar maneras distintas de efectuar pagos para poder atender así a sus necesidades de forma más cómoda y segura; pero al mismo tiempo, tampoco ha dejado de desarrollar mecanismos a través de los cuales poder burlar las medidas de control de la integridad de estos pagos. Así, es fundamental entender que no existen por separado los conceptos de pago y fraude, sino que la evolución de uno ha llevado siempre irremediablemente aparejada la
1 UNIVERSIDAD POLITÉCNICA DE MADRID, Escuela Técnica Superior de Ingenieros de Caminos (2013), Arquitectura de un ordenador. https://mat.caminos.upm.es/wiki/Arquitectura_de_un_ordenador
2 VON MISES, L. (2009), The Theory of Money and Credit, p. 72, Auburn: Ludwig Von Mises Institute (año de publicación de la obra original; 1954).
adaptación del otro.
Aquí es donde sale a colación el concepto antes mencionado de genuinidad, entendido éste como la cualidad de lo auténtico.3 Ya se ha dicho que en la antigüedad, los pueblos comenzaron a acuñar monedas (dicho de otro modo: a troquelar trozos de metal) para garantizar tales piezas. De esta manera, los estados daban fe ante sus súbditos de que esas piezas estaban compuestas de una determinada cantidad de metal precioso (normalmente oro, plata o aleaciones de éstos) a una determinada pureza. Es decir: reconocían a tales piezas un valor; en este caso, el valor que les correspondía por la propia cantidad de material valioso que contenía la moneda.
El fundamento de tal, digamos, autenticación primitiva, era sencillo: al estar troquelado el metal, cualquier manipulación sobre éste destinada a extraer el material (punzonados, seccionados, limados…) era fácilmente constatable, y daba la voz de alarma sobre un posible fraude: a esa moneda, al quitarle una parte de su composición, le habían restado valor. Sin embargo, este rudimentario procedimiento se vio pronto afectado por la mano del fraude: existen gran cantidad de textos académicos que hablan de la facilidad con la que los falsificadores troquelaban monedas falsas ya en la antigüedad,4 o de cómo la propia población iba limando, de forma muy superficial para evitar ser descubiertos, las monedas que caían en su poder. A este procedimiento se le denominaba "cercenamiento de moneda" y era un constante quebradero de cabeza para los estados, hasta el punto de que el rey Alfonso X decreta la pérdida de la mitad de sus posesiones a los que llevaran a cabo estas prácticas.5
Así, ya desde el principio de la historia de los pagos existe una constante: hay que garantizar la autenticidad (y con ello la validez) del medio con el que se realizan los pagos. Esto no va a cambiar con la llegada del patrón oro (de
3 REAL ACADEMIA ESPAÑOLA (2001), Genuinidad/Genuino, en Diccionario de la lengua española (22.a ed.). Recuperado de http://lema.rae.es/drae/srv/search?id=8e5E5fp4gDXX2e0nM8yD
4 GOZALBES, M., RIPOLLÉS, P. (2013), La fabricación de moneda en la antigüedad, Servicio de Investigación Prehistórica, Universitat de Valencia. Recuperado de http://www.uv.es/ripolles/Web_PP/Tema-3.htm [Consulta: 8 de abril de 2015].
5 FUERO REAL DE ALFONSO X (1255), Libro IV, Título XII, Ley VII.
forma efectiva a finales del siglo XIX), modelo que supone un cambio completo en la concepción del dinero: los ciudadanos pasan de poseer algo que tiene valor intrínseco (una moneda de oro o plata) a poseer un mero pedazo de papel o una moneda de metal vil, cuyo valor es figurado, vinculado a los derechos sobre una cantidad de oro perteneciente en unas reservas estratégicas dependientes del estado que pone en circulación tal divisa.6 El problema es el mismo: ¿cómo se puede garantizar que ese billete es válido o que no ha sido falsificado? Nace entonces la idea de implementar "medidas de seguridad" en el dinero: acciones aplicadas sobre billetes, monedas y distintos tipos de documentos para impedir su manipulación, alteración o mixtificación.7
Hoy en día, los medios de pago han cambiado: se han modernizado y adaptado a los tiempos. Desde que el presidente americano Richard Nixon decidiera enterrar el patrón oro en 1971 el dinero es fiduciario, es decir, respaldado no por un metal precioso guardado en unas reservas, sino por la mera confianza de la población en que ese dinero le servirá para realizar los pagos de bienes y servicios.8 Esto ha implicado en la práctica una realidad que quizás no sea obvia: solo una pequeña parte del dinero que existe en el mundo está en formato "físico" o acuñado, entendiendo como tal las monedas y los
Figura 1
Compras con tarjeta a nivel mundial
Fuente: The Nilson Report
billetes. La gran parte del dinero (en torno al 90% del total)9 solo existe como cifras en una cuenta bancaria, y por ello han tomado tanta importancia los
6 PAÚL GUTIÉRREZ, JESÚS (2014), Patrón Oro, http://www.expansion.com/diccionario– economico/patron-oro.html [Consulta: 8 de abril de 2015].
7 CUGC (2014), Manual de Ciencias Forenses II de 4º curso, UD 2, p. 84, Aranjuez: CUGC.
8 BANCO DE ESPAÑA (2014), La estabilidad del sistema financiero: el dinero, http://aulavirtual.bde.es/wav/html/estabilidad_financiera/dinero_pop.html [Consultado: 13 de abril de 2015].
9 COCA, C. (2012), ¿Dónde está el dinero?, ABC. Recuperado de: http://www.abc.es/20111118/economia/abci-dinero-donde-esta-201111180803.html
medios de pago electrónico en los últimos años. Como podemos ver en la figura 1, en el mundo, solo a través del pago con tarjeta, se han realizado operaciones por valor de 195,56 miles de millones de dólares en el año 2014.
Visto esto, se hace evidente que, siendo una constante en todos los medios de pago la imperiosa necesidad de establecer su validez efectiva como tales, los nuevos medios de pago de tipo electrónico no van a ser una excepción, ya que éstos también van a estar necesariamente sometidos al riesgo de ser utilizados de forma fraudulenta. El inconmensurable volumen de transacciones realizadas a través de ellos precisa un minucioso estudio de sus características y una respuesta clara en materia de medidas de seguridad, teniendo en cuenta también que la naturaleza de los fraudes a prevenir será distinta a la de los medios tradicionales, debido a las idiosincrasias del sistema en sí mismo.
A este respecto, la tecnología NFC está llamada a marcar un antes y un después en el uso de medios telemáticos en el pago con tarjeta. Desarrollada con el objetivo de proveer de una versatilidad aún mayor que la actual a este tipo de transacciones, cuenta entre sus características fundamentales con la sencillez de uso, la inmediatez de la transacción y la facilidad de implementación en comercios, amén de la disminución de los costes de mantenimiento de los sistemas. Sin embargo, estas particularidades, propiciadas por los factores técnicos de una tecnología tan compleja, llevan consigo unas vulnerabilidades propias (que se expondrán en capítulos posteriores) distintas a las que se pueden encontrar en otros tipos de medios de pago. Así, el estudio en este ámbito de las últimas tendencias en materia de pagos y transacciones financieras se hace imprescindible atendiendo a los objetivos fundamentales de este texto: analizar las vulnerabilidades del sistema NFC para consignar su viabilidad práctica en materia de gestión de datos sensibles (personales, bancarios, etc.).
Exposición inicial del problema, líneas de investigación e hipótesis
En este contexto se desarrolla el presente trabajo, que aspira a constituir un documento que exponga objetiva y científicamente las características en
materia de seguridad del sistema NFC en su funcionalidad como medio de pago. Durante su elaboración, se ha modificado ligeramente la hoja de ruta que marcó el autor en un primer proyecto de investigación preliminar, debido principalmente a las limitaciones prácticas que se han encontrado durante el proceso de análisis e investigación.
La primera de estas modificaciones se encuentra en la supresión de una de las líneas de investigación propuestas inicialmente. Esta línea, que se iba a desarrollar principalmente en un hipotético capítulo que pretendía estar situado entre los actuales capítulos 3 y 4, proyectaba cubrir los aspectos relacionados con la investigación de delitos perpetrados haciendo uso de las funcionalidades aquí descritas. Sin embargo, tal y como se desarrolla posteriormente, el análisis realizado ha puesto de manifiesto que estos delitos no son investigados por las FCSE por la sencilla razón de que como norma general no son denunciados ni puestos en conocimiento de las autoridades judiciales, dado que los perjudicados (principalmente entidades bancarias y proveedores de servicios de pago) están más interesados en no dar a conocer los agujeros de seguridad en los sistemas que en descubrir a los delincuentes que hacen uso de ellos.
Otra modificación puede encontrarse en la inclusión, dentro del capítulo 3 (relativo a la investigación de las vulnerabilidades del sistema NFC) de un epígrafe destinado a enunciar posibles contramedidas y buenas prácticas que minimicen la acción de las vulnerabilidades. El proyecto preliminar de investigación adolecía de falta de previsión en este sentido, ya que para constatar la validez de una tecnología, como pretende la hipótesis propuesta, es necesario también saber la medida en que es posible luchar contra los riesgos que supone su implementación.
De las líneas anteriores se pueden deducir las directrices generales básicas que van a guiar el presente trabajo, de las que se pueden destacar:
Universo de Estudio: El conjunto formado por la plena totalidad de tarjetas bancarias y dispositivos móviles que integran la tecnología NFC para realizar pagos bancarios.
Problema: La falta de información al respecto de la existencia de vulnerabilidades en el propio sistema de pago a través de NFC o en su uso, y su importancia vital en relación a la sensibilidad de los datos que operan tales sistemas.
Metodología: Investigación teórico-práctica, a través de la conjunción del uso de las nuevas tecnologías y los métodos tradicionales para la recolección de datos (bibliografía específica e Internet), así como de posibles experimentos llevados a cabo por el investigador.
1ª. Caracterización de los antecedentes a la tecnología NFC
2ª. Investigación del sistema NFC: Fundamentos y funcionamiento
3ª. Constatación y evaluación de las vulnerabilidades del sistema NFC y su soslayo
4ª. Consideraciones legales
Hipótesis: "El pago a través de medios NFC no es realmente seguro en tanto a que adolece de diversas vulnerabilidades, si bien estas pueden no suponer impedimento efectivo para su utilización de forma generalizada".
Antecedentes: tarjetas y medios de transmisión de la información
Sánchez-Reíllo, Acedo, Cerezo y Rodríguez (1999) afirman que "los orígenes de las tarjetas de identificación [y por ende de las tarjetas de pago bancario] se fijan con la aparición de las llamadas tarjetas de visita" (p. 3). Las tarjetas de visita no son sino simples recuadros de cartón o plástico en los que figura el nombre y ciertos datos del ostentador (dirección, teléfono, profesión…), con el objetivo de servir de recordatorio o identificación ante terceras personas. Son muy comunes a día de hoy, especialmente en contextos empresariales y profesionales, si bien se utilizan desde hace siglos. No obstante, este tipo de tarjetas no son más que eso: un papel en el que figuran unos ciertos datos. No pueden almacenar gran cantidad de información, ni automatizar su funcionamiento de ningún modo ni, por supuesto, interactuar con medios informáticos o servir como medio de pago.
Así las cosas, vistas estas evidentes limitaciones, fueron desarrollándose distintos medios que permitían cubrir las necesidades que, con el paso de los siglos, iban apareciendo en la población. Como medios de pago se desarrollaron obligaciones, pagarés, cheques… En general, toda una serie de medios con utilidad para poder hacer pasar una cantidad de dinero de una a otra persona. Pero todos ellos poseían desventajas que hacían necesaria una evolución en la materia: la necesidad de escribir el número de una cuenta corriente en un papel, la posibilidad de sufrir una falsificación de firma, el exceso de papeleo, etc.
La aparición de las primeras tarjetas de crédito
Es en este punto cuando nace la tarjeta como medio de pago. En el año 1949, el empresario norteamericano Frank McNamara idea la posibilidad de realizar pagos sin necesidad de llevar encima dinero en efectivo, tras quedar en evidencia ante unos clientes cuando se percató de que no podía pagar la
cuenta del restaurante donde cenaban10. Tras este incidente, McNamara se reunió con el dueño del hotel y sentaron las bases para el desarrollo del sistema. La premisa era simple, y no del todo novedosa11: una tarjeta manejable, que cupiera en una billetera, asociada de forma directa a un cliente y a través de la cual se pudieran hacer cargos a una cuenta asociada a ella. Así nació la Diners Club Card (en español, la "Tarjeta del Club de Cenadores", en referencia al primer uso para el que estaba ideada), que basaba su funcionamiento en servir como plataforma avalada por una institución de confianza (el propio Diners Club) a través de la cual se establecía una relación indirecta entre comprador y establecimiento12, por la que el club cobraba una determinada comisión a ambas entidades. Si bien en un primer momento apenas se repartieron doscientas, se calcula que a finales de 1950 ya circulaban por Estados Unidos
unas veinte mil tarjetas Diners Club13, y gran cantidad de establecimientos de las ciudades más importantes del país las aceptaban. A los pocos años, la financiera American Express y el Bank of America lanzaron sendas tarjetas, American Express y Bank AmeriCard (que años después
pasaría a denominarse VISA), diversificando así las ofertas del mercado y popularizando definitivamente el uso de este tipo de medios de pago de forma generalizada.
10 DINERS CLUB INTERNATIONAL (2015), About us: timeline, http://www.dinersclub.com/about-us-timeline.html
11 La figura de la compra "a crédito" a través de tarjetas especiales ya existía en aquel momento de una forma rudimentaria y no generalizada: en 1914 la financiera Western Union desarrolló una suerte de tarjeta metálica para clientes preferentes que permitía operar los servicios de la compañía a crédito, y distintos establecimientos disponían de sus propias tarjetas fidelización [KLAFFKE, P (2003), Spree: A cultural history of shopping, pp. 22-23, Vancouver: Arsenal Pulp Press].
12 ING DIRECT (2013), Origen e historia de las tarjetas de crédito, http://www.ennaranja.com/economia-facil/origen-e-historia-de-las-tarjetas-de-credito/
13 Ibídem.
A nivel técnico, estas primeras tarjetas no ofrecían nada distinto a lo ya existente. De hecho, la autenticación para las operaciones realizadas con ellas era reducida, como se puede comprobar en la figura 2, donde apenas hallamos un nombre y un número de cuenta tipografiados, así como la firma del portador autorizado ("Signature of Authorized Bearer"). Comprobar que el usuario de la tarjeta era quien decía ser se reducía a que el empleado se asegurara de que la firma ejecutada por el usuario se correspondiera con la escrita en el documento, o bien a contrastar el nombre escrito en la tarjeta con un documento que acreditara la identidad del sujeto. Esta segunda comprobación, sin embargo, daba (y sigue dando hoy en día) innumerables problemas en muchos países, principalmente de cultura anglosajona, donde la posesión de un documento acreditativo de identidad no es obligatoria debido a la estricta concepción de la privacidad que tales países ostentan. También contaban con uno o más dígitos de control en los identificadores de la cuenta. La función de estos dígitos de control, todavía presentes en multitud de elementos actuales, es corresponderse con el resultado de una suma de verificación (ckecksum): una serie de operaciones efectuadas entre los dígitos del número identificador en sí, de tal manera que ante un error en el copiado del número o una falsificación, pudiera detectarse de forma sencilla. Con el tiempo, también se incorporó un sistema de números troquelados en la tarjeta, con el mismo objetivo que la suma de verificación antes mencionada: evitar errores en el copiado (que pasa a realizarse con papeles de calco) así como dificultar la labor técnica de los falsificadores.
Sin embargo, y como es evidente, estas tarjetas eran fácilmente falsificables. Al no autenticarse contra los registros de la entidad (debido a la falta de medios técnicos de la época), el obstáculo a salvar era un medio humano: es el empleado quien se encarga de comparar las medidas de seguridad anteriormente expuestas, con lo que cualquier falsificador con capacidad para realizar una réplica verosímil de la tarjeta podría fácilmente utilizarla sin que nadie se percatara de ello.
Es precisamente este el factor sobre el que gira la evolución de las tarjetas de pago a lo largo del tercer tercio del siglo XX. La experiencia
demuestra que "las personas representan, con carácter general, el eslabón más débil en la cadena de la seguridad, y son crónicamente responsables de los fallos de los sistemas de seguridad" (Schneier, 2004, p. 255). Así pues, a raíz del desarrollo de la informática y de los nuevos medios de tratamiento de la información, los avances se orientaron hacia la mayor eliminación posible del factor humano en los intercambios financieros. Así pues, se desarrollan distintos mecanismos para efectuar el trasvase de datos, su almacenamiento y el control del acceso a los mismos.
El primero de estos mecanismos es la banda magnética. Este elemento no es más que una tira resinada en la que se incrustan partículas ferromagnéticas. A estas partículas se les induce una polarización determinada y, existiendo dos polarizaciones distintas posibles (norte-sur o sur-norte), se hace corresponder a cada una con un valor binario, 0 o 1. Tanto el grabado como la lectura se basan en el principio físico de inducción magnética, según el cual un campo eléctrico puede generar un campo magnético y viceversa. Así, se consiguen largas filas de bits que pueden contener una información accesible solo a través de un dispositivo diseñado a tal efecto14. La información dentro de las bandas magnéticas se distribuye en tres pistas, siguiendo las normas ISO/IEC 7813 para las pistas 1 y 2, e ISO/IEC 4909 para la pista 3. La primera pista, denominada IATA y diseñada en un principio para la venta de billetes de avión, almacena el número de la tarjeta primario (PAN), el nombre del titular de la tarjeta y la fecha de expiración de la misma, así como información complementaria de menor interés (código de país, código de servicio, etc.). La segunda pista, denominada ABA, fue diseñada para almacenar la información bancaria en sí, y contiene los mismos datos que la primera pista, excluyendo el nombre del titular. La tercera pista, denominada THRIFT, contiene información destinada a mecanismos de control, procedimientos de emergencia e incluso posibles usos no financieros, aunque
14 SÁNCHEZ-REILLO, R. et álii (1999), La tecnología de las tarjetas inteligentes.
su uso a día de hoy es reducido15. Las pistas 1 y 2 son de solo lectura, mientras que la pista 3 tiene algunos campos que pueden escribirse o modificarse.
Por otra parte, existen varios tipos de bandas magnéticas en atención a la intensidad del campo que es necesario aplicarle a sus partículas para variar su estado. Esta cualidad (llamada "coercitividad") depende del material que compone la banda16. La coercitividad es un factor a tener en cuenta también desde el punto de vista de la seguridad de la tarjeta: la banda magnética, por sus características físicas, es muy vulnerable ante campos magnéticos externos, deliberados o no, con lo que una acción como pasar un imán o incluso un teléfono móvil cerca del dispositivo puede afectar a su operatividad.
Por último, es muy importante señalar que la información almacenada en las bandas magnéticas se encuentra en claro17. Es decir, que no está sometida a ningún tipo de cifrado, con todo lo que esto implica a nivel de seguridad: un mero lector de bandas magnéticas (que no es más que una bobina conectada con un periférico de entrada a un ordenador) puede obtener toda la información disponible en las tres pistas, y de esta manera hacer un clonado de la tarjeta.
CAPACIDAD | INFORMACIÓN PRINCIPAL | LEER / ESCRIBIR | ||
PISTA 1 | 76 caracteres alfanuméricos | Nombre del titular, número de tarjeta y fecha de expiración- | Solo leer | |
PISTA 2 | 37 caracteres numéricos | Misma información que en Pista 1, salvo el nombre del titular | Solo leer | |
PISTA 3 | 104 caracteres numéricos | Código de país para ciertos números de tarjeta, la fecha de expiración y números de autorización secundarios (SAN, no obligatorios). | Ambos | |
Fuente: Elaboración propia sobre datos de Radu (2003)
15 RADU, C. (2003), implementing electronic card payment systems, pp. 20-24, Norwood: Artech House.
16 MONSÓ, J. (1994), Sistemas de identificación y control automáticos (II): Sistemas de control del flujo físico, pp. 119-122, Barcelona: Marcombo.
17 ACOSTA, D. (2013), ¿Cómo funcionan las tarjetas de pago? Parte IV: Banda Magnética, PCI Hispano, http://www.pcihispano.com/como-funcionan-las-tarjetas-de-pago-parte-iv-banda- magnetica/ [Consultado: 18 de abril de 2015].
Todo lo dicho implica que las tarjetas de banda magnética supusieron en sus inicios un excelente medio para evitar errores humanos en el registro de números y nombres, así como para agilizar las transacciones financieras y dificultar en cierta medida los fraudes que la anterior generación de tarjetas había propiciado, dada la facilidad para imitar sus elementos característicos. Sin embargo, el empleo de tecnologías más avanzadas no hizo desaparecer estos ilícitos, sino que simplemente trasladó su comisión a ámbitos más profesionales. El perfil del defraudador comienza a parecerse al de hoy: ya no es un individuo "pícaro", que se dedica a imitar burda y puntualmente una de esas tarjetas de cartón o plástico para engañar al empleado y "comer de gorra": ahora son grupos hasta cierto punto organizados, que disponen de material y conocimientos técnicos suficientes como para clonar tarjetas de forma generalizada y que luego revenden en el mercado negro o utilizan en sí mismas. El mecanismo de la banda magnética, al fin y al cabo, no provee de más seguridad que la subjetiva, y como ya se ha visto anteriormente, es vulnerable a ataques de clonado.
Así pues, las circunstancias obligaban a desarrollar un sistema de autenticación para la tarjeta que no se replicara ante las acciones de clonado. Este sistema se denominó CVV (aunque cada entidad lo nombró de una manera distinta: CAV, CSC, CVN, CVV2, etc.), y no es más que una serie de dígitos (normalmente 3 o 4, dependiendo de la
Figura 3
Situación del CVV
Fuente: nato.int
entidad) impresos en el reverso de la tarjeta y que no figuran dentro de los elementos de almacenamiento de esta, de tal forma que ante compras por teléfono (o, ya en la actualidad, compras por Internet) el comerciante solicita tanto el PAN como el código CVV, necesitando el comprador tener acceso (o
haberlo tenido en algún momento) al reverso de la tarjeta original18. El CVV, como se puede comprobar en la figura 3, se suele encontrar en el lado contrario al del número PAN, para dificultar aún más el acceso a ambos al mismo tiempo, que es lo que licita a realizar la compra. La única excepción a esta regla son las tarjetas de la compañía American Express, que tienen ambos códigos en el mismo lado.
En vista de las cada vez mayores dificultades que amenazaban al sistema (ya no solo por razones de fraude, sino también por volumen comercial y de uso), se hizo imprescindible un medio de autenticación eficaz, no solo de la tarjeta, sino también del usuario de la misma, que permitiera no depender de documentos de identidad (no presentes en todos los países) y que evitara la engorrosa e ineficaz tarea de cotejar cada tarjeta que se presentara como medio de pago con una lista de tarjetas canceladas ofrecida por los bancos. De esta manera, a finales de los años sesenta se ideó el código PIN19, un número que solo el cliente y el banco conocieran y que evitara el cotejo manual de todas y cada una de las operaciones: cuando el cliente lleva a cabo un pago con tarjeta, el terminal le solicita el número, y automáticamente lo compara con el registro existente en los sistemas del banco emisor. La introducción de este elemento implicó la modernización del sistema de pagos con tarjeta de todo el mundo desarrollado, debido a que para llevar a cabo estas operaciones es necesario ya un TPV propiamente dicho, con conexión directa e instantánea con el banco. El PIN, como es lógico, no se halla escrito ni grabado en la tarjeta. A día de hoy, la autenticación del usuario suele realizarse a través de identificación y firma en los casos de pago a través de banda magnética o mediante PIN si la transacción se realiza a través del chip EMV, explicado en las próximas páginas.
18 NEGOCIOS.COM (2014), ¿Por qué me piden el CVV en una compra online? http://www.negocios.com/noticias/piden-cvv-compra-online-24112014-1818 [Consultado: 19 abril de 2015].
19 WONGLIMPIYARA, J. (2005), Strategies of Competition in the Bank Card Business, pp. 1-3, Brighton: Sussex Academic Press.
Finalmente, el último gran hito en el desarrollo de los medios de pago fue la tarjeta chip o TCI, que inició la generación de lo que hoy en día denominamos "tarjetas inteligentes" o "smart cards". Estos dispositivos comenzaron a ver la luz de forma generalizada a principios de los años "80 (aunque las patentes eran anteriores) como tarjetas telefónicas, dado que el uso de esta tecnología en materia de pagos exigía unas medidas de seguridad (especialmente de carácter criptográfico) que aún tardarían unos años en llegar20. Con el tiempo, estos primeros prototipos fueron asentándose, y diversos organismos internacionales fueron normalizando la tecnología. Como resultado, se desarrolló la norma ISO/IEC 7816, que define las especificaciones para "tarjetas de identificación"21
El desarrollo de esta nueva tecnología respondía a los ya mencionados problemas de seguridad que ofrecían las tarjetas de banda magnética. Cada vez se hacía más necesario disponer de un dispositivo cuyo acceso estuviera restringido, y del que no fuera factible su clonado: la respuesta se halló en la electrónica y en la computación. Tras sucesivas guerras de tecnología entre las empresas que competían por el monopolio de las tarjetas, se llega a dos tipos de tarjeta chip: tarjetas inteligentes (también conocidas como "tarjetas de microprocesador"22) y tarjetas de memoria.
La principal diferencia entre ambas estriba en la integración o no de microprocesador: mientras las tarjetas inteligentes cuentan con memorias y microprocesador, las tarjetas de memoria únicamente cuentan con una serie de memorias internas, por lo que no pueden ejecutar aplicaciones, y como consecuencia no son útiles como dispositivos de uso financiero, ya que no pueden ejecutar algoritmos criptográficos ni almacenar datos de manera confidencial23, reservándose las tarjetas de memoria para las aplicaciones telefónicas antes mencionadas. Algunos autores24 incluyen en esta clasificación a las tarjetas sin contacto como tercer tipo de tarjeta chip.
20 EFFING, W., RANKL, W. (2003), Smart Card Handbook, pp. 3-4, Chichester: Wiley. 21 CARDWERK, ISO 7816, recuperado de: http://www.cardwerk.com/smartcards/smartcard_standard_ISO7816.aspx
22 EFFING, W., RANKL, W. (2003), óp. cit., p. 6.
23 Ibídem, p. 8.
24 Ibídem, p. 8.
El término "tarjeta sin contacto" hace referencia a tarjetas con chip que para su acoplamiento con el terminal lector no emplean los contactos metálicos de la tarjeta, sino que lo hacen por radiofrecuencia. La norma que define las especificaciones relativas a las tarjetas de circuito integrado sin contacto, la ISO/IEC 14443, en su documento ISO/IEC 14443-2, divide a su vez a éstas en otros dos tipos de tarjetas sin contacto25:
De tipo "A", desarrolladas en un primer momento por Philips bajo la denominación comercial MIFARE® y con posterioridad por NXP Semiconductores. En un principio, se trataba de simples tarjetas de memoria, que no desarrollaban criptografía de ningún tipo y que centraban su poder de mercado en un reducidísimo coste (por ejemplo, la tarjeta MIFARE Classic). Hoy en día, este estándar ya incluye tarjetas microprocesadas y securizadas a través de cifradores comerciales de la familia AES (MIFARE DESfire), si bien siguen empleándose las antiguas tarjetas no securizadas, como se verá más adelante.
De tipo "B", desarrolladas como alternativa al modelo ofrecido por Philips, estableció desde el principio unas características más versátiles en un sistema similar al del tipo A.
Si bien hay diferencias entre ambos tipos de tarjetas, hoy en día son meramente testimoniales, y se centran principalmente en el pago de los derechos de explotación del estándar (el tipo A se encuentra bajo patente), pudiéndose intercambiar información sin problemas en la gran mayoría de los terminales independientemente del tipo de tarjeta. Lo cierto, sea como fuere, es que las tarjetas sin contacto pueden estar basadas en tarjetas de memoria o en tarjetas microprocesadas, dependiendo de las necesidades en materia de seguridad, cómputo o almacenamiento que se tenga en cada momento.
A efectos prácticos, son las tarjetas inteligentes las que interesan en el desarrollo de este proyecto, ya que son las que, al menos en teoría, se utilizan
25 HENDRY, M. (2015), Near Field Communications Technology and Applications, Nueva York: Cambridge University Press.
en aplicaciones financieras como tal, con y sin contacto, a través principalmente del estándar EMV. No obstante, cabe destacar que existen también tarjetas de memoria operando sistemas sin contacto (por ejemplo, la TTP del Metro de Madrid).
EMV (siglas de Europay, Mastercard & VISA) es una especificación elaborada por EMVco, una sociedad de responsabilidad limitada en la que participan algunas de las principales compañías operadoras de tarjetas de crédito del mundo, entre las que destacan American Express, Discover, JCB, MasterCard, UnionPay y VISA. Su objetivo es "facilitar mundialmente la interoperabilidad y la aceptación de transacciones de pago seguro"26. Pese a que se suele relacionar directamente EMV con el chip de las tarjetas inteligentes, la especificación elaborada por EMVco no incluye una descripción física detallada de éste, ya que realmente esta norma no deja de ser una adaptación y ampliación de la ISO/IEC 7816 en lo relativo a protocolos de transmisión de datos, aplicaciones, sistema de archivos, etc. De ahí la importancia de este estándar para las comunicaciones de tipo NFC objeto de este trabajo de investigación: EMVco ha desarrollado una serie de normas por las que se rigen las tarjetas inteligentes, y esto incluye a las tarjetas sin contacto de uso bancario, que emplearán los protocolos descritos en la norma EMV (tanto los genéricos como los propios del sistema mencionado, para el que EMVco ha elaborado un documento específico) cuando lleven a cabo las transmisiones de datos necesarias en los pagos con tarjeta.
26 EMVCO (2015), About EMVco, http://www.emvco.com/about_emvco.aspx
La tecnología NFC
NFC, acrónimo en lengua inglesa de Near Field Communication ("comunicación de campo cercano") es una tecnología que permite el intercambio de datos entre dos dispositivos de forma inalámbrica27. Viene definida y desarrollada en las normas ISO/IEC 14443 (tarjetas de circuito integrado sin contacto) e ISO/IEC 18092 (NFC – interfaz y protocolo), así como las dictadas por el NFC Forum: un organismo que desarrolla un gran número de normas de facto referentes a esta tecnología. Cabe destacar, no obstante, que no todas las tarjetas sin contacto tipo NFC siguen las normas ISO/IEC antes mencionadas al pie de la letra: las propias MIFARE de las que se hablará próximamente, así como muchas tarjetas sin contacto de tipo bancario, montan protocolos propietarios, siguiendo la norma parcialmente o incluso sin seguirla en absoluto (Vila, 2014, p. 6), lo que no quiere decir que estos distintos tipos de tarjetas sean necesariamente incompatibles entre sí. Este dato, no obstante, es importante en la medida en que existen ataques cuya viabilidad dependerá de las características de la tarjeta sobre la que se realicen.
La definición de NFC da problemas en lo relativo a su alcance. Al fin y al cabo, existen numerosos dispositivos que cumplen la definición dada anteriormente y no se consideran NFC (por poner un ejemplo, las alarmas que se ponen para dificultar los robos en las tiendas). Para empezar, la ISO/IEC 18092 expone los protocolos de intercambio de datos del sistema NFC, pero no entra en definiciones al respecto del mismo. De igual manera, la ISO/IEC 14443, en su parte 4, solo hace una referencia somera a la tecnología en cuestión parafraseando la 18092, sin detallar lo más mínimo.
Ciertamente, de hecho, incluso la literatura técnica al respecto es vaga, y en numerosas ocasiones utiliza indistintamente términos como NFC y RFID, que efectivamente no son lo mismo. En las próximas líneas se va a comprobar
27 NFC FORUM (2015), About the Technology, http://nfc-forum.org/what-is-nfc/about-the- technology/
que existen multitud de estándares para conexiones inalámbricas de baja intensidad (ZigBee, Bluetooth, RIFID…), ¿qué es lo que los distingue, entonces, de lo que en la práctica se conoce como tecnología NFC?
En palabras de Frinkenzeller (2010, p. 57) "NFC no es un sistema RFID […] aunque tiene varias características de interés en relación" con este sistema. Hendry (2015) afirma que "desde 2004, estas siglas han sido utilizadas principalmente para describir un set específico de estándares y tecnologías que hacen uso de los efectos del campo cercano, los cuales pueden ser utilizados en un teléfono móvil" (p. 4). De la misma manera, expone que los estándares NFC limitan al entorno de los 10 cm el rango en que se puede producir la comunicación, y destaca la creencia por parte de diversos autores de que lo que distingue esta tecnología de las demás es la infraestructura (conocida como "ecosistema NFC") que enlaza a las diferentes partes de los mercados y de la sociedad entre sí, proveyéndole de una posición hegemónica.
Página siguiente  |