Cuando los parches a un sistema no son suficientes para garantizar su seguridad, urge un cambio de paradigma. Eso es lo que se propuso la industria bancaria para reducir de raíz el fraude de tarjetas de crédito. El uso de tarjetas en una variedad cada vez mayor de servicios (sea compra por Internet o pago en un restaurante) hacía deseable un sistema de protocolos más flexible, más fiable, y ya puestos más seguros. Gracias a la caída de precio y el aumento en potencia de los chips informáticos, había llegado el momento en que un pequeño chip en una tarjeta podría sustituir a la anticuada banda magnética. Sería como un miniordenador capaz de gestionar las etapas de autenticación, verificación y autorización; además de ello, copiar o clonar información de una banda magnética es fácil, pero hacerlo a partir de un chip de hardware resulta mucho más difícil.
Las empresas Europay, MasterCard y VISA unieron fuerzas y crearon el estándar EMV, regulado por medio de la entidad EMVCo que fundaron con este fin en 1999[15]. El lector no debe sacar la conclusión de que EMV es un conjunto de protocolos fijo e inamovible. Más bien es una especie de caja de herramientas, de donde cada banco o entidad emisora escoge los protocolos de firma digital, autenticación, cifrado, etc que desea usar. El lector interesado puede encontrar las especificaciones de seguridad y gestión de claves en[16].
En general, podemos dividir el protocolo de seguridad EMV en tres fases: autenticación, verificación y autorización:
—Autenticación (de la tarjeta). Garantiza al terminal (cajero automático o terminal punto de venta) cuál es el banco emisor, y también que la tarjeta no ha sido alterada.
—Verificación (del cliente). Asegura al terminal que el PIN introducido por el usuario es el que corresponde a la tarjeta.
—Autorización (de la transacción). Asegura al terminal que el banco emisor de la tarjeta autoriza la transacción.
Los algoritmos específicos de seguridad son bastante seguros. Para el cifrado simétrico, DES fue descartado por la corta longitud de su clave, y en su lugar se utilizó una variante llamada TripleDES. También es posible utilizar el algoritmo AES, mucho más seguro y rápido. Los algoritmos asimétricos están basados en RSA, y la función de hash utilizada es la SHA-1. Como el lector ya habrá descubierto leyendo este libro, buenos algoritmos de cifrado no garantizan un protocolo seguro; con todo, es indudablemente un buen comienzo.
La adopción del sistema EMV ha sido más o menos rápida dependiendo del país. Según datos de EMVCo correspondientes a mediados de 2011, tres cuartas partes de todos los terminales, y casi la mitad de las tarjetas, del mundo entero están adaptadas al nuevo sistema. La región líder en su adopción ha sido Europa, con más del 80% de tarjetas con chip respecto al total en su región. Extrañamente (o no, como veremos luego), los Estados Unidos, tradicionales usuarios masivos de tarjetas bancarias de todo tipo, han sido mucho más lentos en adoptar este estándar, con apenas un 38% de penetración en tarjetas, aunque el 80% de sus terminales las aceptan[17].
También en España tardaron en llegar las tarjetas con chip. Recuerdo haber asistido a una conferencia sobre seguridad electrónica en 2002, en la que dos responsables del BBVA afirmaban que ya disponían de esa tecnología y que el banco comenzaría a distribuirlas a sus clientes en breve; no fue hasta finales de 2009 cuando el BBVA lanzó una campaña publicitaria en la que se enorgullecían de ser “el primer gran banco que inicia el proceso de migración al estándar de seguridad EMV”[18]. Realmente no fueron los primeros, pero la verdad es que la adopción del estándar EMV fue muy lento en España, con apenas el 10% del total de tarjetas en circulación a marzo de 2009[19].
¿Por qué esta disparidad? ¿Qué impulsa a españoles y norteamericanos a rechazar un sistema tan seguro, recibido por los británicos con los brazos abiertos? El motivo se encuentra en la legislación bancaria. Las leyes norteamericanas protegen fuertemente al cliente en caso de disputa con su banco por un asunto de fraude. En lugar de asumir que el cliente es culpable o responsable del modo que sea (por ejemplo, por negligencia en la custodia de la tarjeta o del PIN), es el banco quien tiene que demostrarlo. En caso contrario, el banco sufre la pérdida y el cliente queda protegido. En España sucede algo similar, como veremos más adelante.
En un país como el Reino Unido, con leyes que protejan al banco, éste solamente tiene que adoptar un sistema de seguridad adecuado para, de ese modo, poder culpar “por defecto” al cliente ante cualquier disputa. Ya saben: el sistema funciona bien, no hay fallos, por consiguiente el cliente es el culpable y debe pagar, fin del caso. Es una aplicación perversa del “principio de Sherlock Holmes”. Es la misma lógica (por llamarla de alguna forma) que siguieron durante los años previos a la aparición de la tarjeta de chip, y que hemos analizado en las secciones anteriores de este capítulo. El aliciente principal para dotarse del sistema de seguridad basado en chip no es reducir el fraude (aunque bienvenida sea esa reducción), sino pasarle la patata caliente al cliente. Ni más ni menos.
Por el contrario, en un país que disponga de una legislación garantista con los derechos del consumidor, como España o Estados Unidos, la entidad emisoras de tarjetas no puede encogerse de hombros y echar la culpa al cliente de forma automática por un fraude derivado de la inseguridad del sistema. Si hay disputa, es el banco quien debe probar que éste ha cometido fraude o que es responsable por negligencia, y el cliente no tiene responsabilidad (o la tiene en forma limitada). En tales condiciones, adoptar un sistema más seguro no le sirve para desviar la responsabilidad hacia el cliente, así que ¿para qué molestarse? No existe ese aliciente de “pasemos la patata caliente al cliente” para hacerlo.
Por supuesto, un sistema más seguro es bueno per se para el emisor, ya que reduce las pérdidas derivadas de fraude, mala publicidad y pérdida de confianza, pero esas consideraciones deben contraponerse con el alto coste de cambiar a un nuevo sistema. En 2006, el diario Daily Mail evaluó el coste de la adopción del sistema EMV en el Reino Unido en más de 1300 millones de euros[20].
A tenor de la lentitud con la que este sistema ha sido adoptado en España, parece que el aliciente principal haya sido, sencillamente, mantenerse a la par de los demás países. En Estados Unidos, ni siquiera se han molestado en intentar adoptarlo hasta ahora. Hubo que esperar hasta comienzos de 2012 para que VISA[21] y MasterCard[22], dos de las fundadoras de EMVCo, anunciasen la implantación del estándar en EEUU.
En los casos español y norteamericano, la legislación protege al cliente, y de ese modo el emisor de tarjetas carece de uno de los dos principales alicientes para adoptar el sistema EMV (echar las culpas al cliente). La situación era muy distinta en el Reino Unido. Como hemos visto, los bancos allí culpaban al usuario en cuanto tenían ocasión, y nada mejor para ello que poder asegurar que sus sistemas son fiables. Las primeras pruebas del sistema EMV, conocido allí como Chip and PIN, tuvieron lugar en mayo de 2003; en octubre de ese mismo año se anunció su adopción a nivel nacional, y en enero de 2005 se obligó a todos los propietarios y administradores de terminales punto de venta (TPV) a cambiar al nuevo sistema. Nadie fue obligado a punta de pistola, pero a partir del 1 de enero de 2005, la responsabilidad por fraude recaería sobre quien no hubiese tomado medidas de seguridad para evitarlo, como por ejemplo un vendedor que usara un TPV no actualizado.
Nadie quería que la patata caliente de la responsabilidad legal acabase en sus manos, y como consecuencia en febrero de 2006 cualquier usuario de tarjetas con chip estaba ya obligado a usar su PIN; solamente se permitieron excepciones en casos de personas con discapacidad. Este era un punto muy importante. Antes de eso, una persona tenía que firmar el recibo, y esa firma era la prueba de la transacción. Era responsabilidad del banco comprobar que la firma era correcta. Sin embargo, con el nuevo sistema la única prueba sería el PIN, y como se daba por supuesto que el cliente no lo compartiría con nadie la introducción del PIN correcto se consideraría prueba por defecto de que el cliente, o bien había ordenado la transacción, o bien había permitido que terceros utilizasen el PIN. En cualquier caso, el cliente paga. La invasión del “Chip and PIN” había concluido con éxito.
Y sin embargo, la última nota de prensa que aparece en la web de información sobre el nuevo sistema (www.chipandpin.co.uk) hace alusión a un programa de la BBC en el que se menciona un ataque contra tarjetas de crédito revelado por un equipo de la Universidad de Cambridge[23]. ¿Le suena familiar, lector? Por si acaso, le refrescaré la memoria con dos palabras: Ross Anderson. En efecto, el azote de la mala criptografía cargó contra el nuevo sistema, y demostró (seguro que a estas alturas no se sorprende usted) que no es tan seguro como se creía.
La adopción del sistema EMV tuvo un éxito parcial. Si bien se constató una disminución de algunos delitos cometidos con tarjetas de crédito, como hurtos o fraudes presenciales, los fraudes no presenciales (compras por teléfono o por Internet) se dispararon, y a mediados de 2009 representaban nada menos que el 50% de todo el fraude con tarjetas de crédito en el Reino Unido. Las soluciones que sirven para pagos presenciales pueden no ser igualmente válidas en el mundo digital actual. Como respuesta, a comienzos de 2009 se cambió la ley británica para proteger al consumidor: sería el banco quien tendría que demostrar la culpabilidad del cliente, en lugar de aceptarlo a priori como hecho probado[24].
Entramos así en una nueva campaña para probar la seguridad del sistema EMV. No será, por supuesto, una búsqueda exhaustiva, ni se darán todos los detalles técnicos aquí. Nos limitaremos a ver algunos de los casos más conocidos y la repercusión que pueden tener para la industria de tarjetas.
La primera vulnerabilidad es muy conocida, y está ligada con el hecho de que no se puede cambiar todo un sistema de la noche a la mañana. Hay un período de transición en el que los nuevos chip conviven con las antiguas bandas magnéticas. Saque su cartera y échele un vistazo a su tarjeta. Apuesto a que la mayoría de las transacciones que ha realizado usted en los últimos meses se basaron exclusivamente en el PIN y el chip (por eso ya no le piden el DNI para efectuar algún pago). Y, a pesar de ello, ahí está. La negra banda magnética sigue en el reverso de la tarjeta, lista para ser activada cuando por algún motivo no puede utilizarse el sistema Chip+PIN.
En mayo de 2006, la empresa petrolífera Shell anunció que suspendía el uso de tarjetas de Chip+PIN en las más de 600 gasolineras que poseía en el Reino Unido. El motivo fue que centenares de clientes sufrieron hurtos en sus cuentas tras haber utilizado sus tarjetas en dichas gasolineras, en un montante que inicialmente se estimó en más de un millón de libras. El modus operandi de los ladrones fue el siguiente: disfrazados de técnicos de mantenimiento, alteraron el funcionamiento de los lectores de tarjetas, insertando dispositivos que capturaban los PIN y los detalles de las bandas magnéticas. Con esa información, clonaron tarjetas que posteriormente utilizaron para retirar grandes sumas de dinero en cajeros automáticos[25]. Shell no reintrodujo la opción de pago con chip hasta septiembre.
No hay indicación de que la información dentro del chip sufriese copia alguna. Los defraudadores aprovecharon la menor seguridad de la banda magnética, el eslabón más débil, para copiar su información y utilizarla de modo fraudulento. Eso se supo más tarde, pero durante varios meses cundió el rumor de que el sistema Chip+PIN británico, presentado con gran pompa como la solución contra el fraude de tarjetas de crédito, era vulnerable. Eso provocó una pérdida de confianza en el nuevo chip, algo injusto puesto que el sistema seguía siendo seguro. Pero resultó un buen recordatorio de la vulnerabilidad asociada a un doble sistema de autenticación: si uno resiste y el otro falla, la seguridad desaparece.
Hubo otros casos de fraude, aunque de menor escala, en los que la presencia de la banda magnética saboteaba la seguridad del sistema Chip+PIN. Uno de los más conocidos fue el de Jane Badger. Su caso guarda ciertas similitudes con el caso Munden de los años noventa. Como Muden, Jane Badger era agente de policía. En 2006 informó a su banco de una transacción fraudulenta por importe de 772 libras (casi mil euros en la actualidad), que ella afirmó no haber realizado. El Banco (Egg) no solamente no aceptó su palabra sino que la acusó de fraude. Su casa fue registrada, ella fue detenida y suspendida de empleo. Y, al igual que Munden, ella tuvo la fortuna de contar con la ayuda de un criptógrafo llamado Ross Anderson (sí, él de nuevo), quien testificó en su favor[26].
Para probar el fraude, Egg mostró una copia impresa con un código de transacción 05, que significaba “lectura de Tarjeta con Circuito Integrado - datos CVV fiables”. Eso parecía indicar que los datos de la tarjeta procedían del chip, un lugar en el que no pueden ser duplicados, y por tanto la transacción se realizó con la tarjeta original, no con una tarjeta clonada que contuviese la información en banda magnética. La duda consistía en los “datos CVV”. Todas las tarjetas bancarias tienen impreso un número de tres dígitos denominado CVV (Card Verification Value) para asegurar que los datos guardados en la banda magnética son válidos y fueron generados por la entidad legítima.
Pero no tiene mucho sentido comprobar el CVV cuando se está utilizando el sistema Chip+PIN. Así que la siguiente pregunta es esencial: la expresión “lectura de Tarjeta con Circuito Integrado - datos CVV fiables” ¿qué significa exactamente? ¿Se leyó el chip y además se comprobaron los datos CVV, o se hizo solamente una de las dos operaciones? En el segundo caso, eso solamente dice que se utilizó, una de dos: o bien el chip, o bien la banda magnética, pero no se indica cuál fue el caso. Parece un detalle menor, pero es una pregunta básica para averiguar qué sistema fue utilizado realmente, el de chip (seguro) o el de banda magnética (inseguro). La defensa solicitó la presentación de los archivos originales de la transacción y demás material relacionado. Egg se negó, y perdió el caso. Jane Badger fue absuelta en enero de 2008.
Es posible que lo que digo a continuación no sea más que una casualidad, pero lo diré por complitud: apenas unos días después de la absolución de Badger, el banco Egg (adquirido por Citicorp en mayo de 2007) anunció la retirada de 161 000 tarjetas de crédito. Los motivos aducidos fueron un excesivo perfil de riesgo por parte de dichos clientes, si bien algunos clientes adujeron motivos de maximización de beneficios[27]. En la actualidad se especializa en seguros y cuentas de ahorro; su negocio de tarjetas de crédito fue vendido a Barclays Bank en 2011.
Uno de los problemas con los que se encontraban las víctimas de fraude es que era el propio banco quien contaba con las pruebas que podían exonerarlas. Hacía falta llegar a juicio, y cuando el banco era obligado a entregar los documentos (en papel o electrónicos) relativos a las transacciones en disputa, éste se negaba. De ese modo se ganaron casos como los de Munden y Badger: no es que consiguiesen demostrar su inocencia, sino que ganaron por incomparecencia del banco. Oficialmente, la inseguridad de los sistemas bancarios sigue sin ser demostrada, así que a dichos bancos les interesa más no presentar las pruebas que demuestra su vulnerabilidad y pagar. Mejor eso que reconocer la verdad ante millones de clientes.
A veces el banco se sale con la suya. Como ejemplo tenemos el caso de Alain Job, quien en febrero de 2006 afirmó haber sufrido varias “retiradas fantasma” de efectivo desde dos cajeros automáticos, por un total de 2100 libras (unos 2600 euros). Tras quejarse al banco y afirmar que él no había realizado esas transacciones, la respuesta del banco fue la habitual: negarlo todo y culpar al cliente. Jobs presentó una queja ante la oficina del Defensor Financiero, y al fallar en su contra[28] denunció al banco (Halifax) ante los tribunales en febrero de 2007. Durante el juicio se desveló que el banco había destruido información vital para la resolución del caso: los recibos en papel, los “logs” electrónicos, e incluso la propia tarjeta del señor Job.
El juez rechazó la argumentación de Job (que él había guardado la tarjeta y el PIN de forma segura en todo momento), y a pesar de la destrucción de las pruebas no consideró que el banco tuviese que probar la validez de la transacción. Al contrario, decidió que en ausencia de pruebas el tribunal debía aceptar la validez de la operación de retirada “por lo que valga,” y falló a favor del banco en junio de 2009[29]. Alain Job no solamente perdió el caso sino que tuvo que pagar más de 18 000 euros al banco en concepto de costas del juicio.
La situación empeoró para los clientes británicos en 2007. Enfrentados de nuevo a la existencia de un sistema de tarjetas inseguro, los bancos y emisores de tarjetas forzaron cambios. Hasta entonces, los casos de fraude eran denunciados por los clientes ante las autoridades policiales, pero desde abril de 2007, los clientes solamente podían denunciar los fraudes ante el propio banco, quien determinaría si había que dar parte o no a la policía[30]. La asociación británica APACS (Association for Payment Clearing Services), que actúa como foro para los temas relativos a los sistemas de pago y suele representar a bancos y emisores de tarjetas, afirmó que el cambio redundaba en ventajas para el usuario; pero es evidente que, si los bancos controlan las denuncias por fraude en tarjeta están en una posición extremadamente ventajosa respecto al cliente. Si éste no está de acuerdo, puede acudir al Defensor Financiero (Financial Ombudsman), una oficina teóricamente independiente cuyo presupuesto proviene de la industria de finanzas, y que puede tardar más de un año en tomar una decisión.
Peor aún, cuando los bancos decidieran denunciar el fraude, pasarían la información a las fuerzas regionales de policía, o bien a la Unidad Dedicada para Delitos de Cheque y Plástico (DCPCU). El problema es que esta unidad fue creada en 2002 por la propia industria bancaria, y está patrocinada por ella (a través de la APACS), lo que lo hace, digámoslo suavemente, muy influenciable en el cumplimiento de su labor. Por muy profesional y dedicado que sea su trabajo policial, el hecho de estar pagados por la industria bancaria recuerda al lobo que guarda el redil. Pronto tuvieron que enfrentarse a un fraude real, a gran escala y con un grado de sofisticación sin precedentes.