Lo cierto era que la introducción del sistema Chip+PIN (que concluyó a comienzos de 2006) no había servido para frenar las cifras de fraude en el Reino Unido. Cierto, el fraude mediante tarjetas había descendido en 2006 un 15% con respecto a 2004, pero la caída fue muy desigual según el tipo de fraude: si bien la falsificación de tarjetas disminuyó un 30%, el fraude en transacciones sin presencia (teléfono, Internet y ventas por correo) se habían disparado un 40% y suponía casi la mitad del fraude total.
Puede argumentarse que el fraude online subió porque el volumen de transacciones online también había aumentado, y los ladrones van donde está el dinero. Aun así, el fraude en transacciones no presenciales siguió aumentando. En 2008 el fraude no presencial era ya el doble que el de 2004, y lo más preocupante, el fraude por falsificación y clonado de tarjetas, tras un mínimo en 2006, volvió a crecer, alcanzando una cifra récord en 2008[41].
Las autoridades achacaron el aumento del fraude con tarjetas clonadas al hecho de que los criminales robaban los datos de las tarjetas y las usaban en otros países donde todavía se utilizaba el sistema de banda magnética. A tenor de casos como los anteriormente reseñados, era evidente que también se perpetraban dichos ataques en el Reino Unido. En cualquier caso, resultaba una evidente manifestación de un principio básico en seguridad: si fortaleces una ventana, los ladrones intentarán entrar por otra. Las cifras correspondientes al fraude telefónico y por Internet, por su parte, reflejaban que el sistema Chip+PIN, diseñado para transacciones presenciales, no estaba resultando eficaz en el entorno del comercio electrónico online. Estaba claro que había que adoptar más medidas.
En un intento por reducir el fraude con tarjetas Chip+PIN, la industria bancaria introdujo un nuevo elemento de seguridad. Se trató de un nuevo número CVV (llamado iCVV), un código electrónico insertado en el chip de la tarjeta y que siempre tiene el valor 999. De ese modo, si alguien copia la información del chip a la banda magnética e intenta usar ésta en una tarjeta clonada, el lector podrá adivinar fácilmente que se trata de una transacción fraudulenta, ya que aparecerá el 999 en lugar del CVV correspondiente, y ninguna banda magnética puede usar tal número. Esta medida estaba diseñada para evitar fraudes como los descritos por el grupo de Anderson en febrero de 2008, aunque a la vista del “caso Doctor Maligno” descrito anteriormente no parece que fuese aplicado con gran velocidad en el sistema bancario. La adopción de la mejora iCVV fue lenta, lo que no debe extrañarnos ya que cualquier cambio en un sistema tan extenso ha de ser necesariamente lento y costoso.
Cualquiera que fuese el éxito del código iCVV, resulta inútil en las transacciones online, donde no hay lectores de chips. Decir de viva voz el PIN por teléfono es una práctica muy arriesgada puesto que cualquiera puede oírnos; la situación en Internet no es mucho mejor, con tanto troyano y capturador de contraseñas. Se hizo urgente mejorar el proceso de autenticación.
En España, la mayoría de los bancos usan una tarjeta de coordenadas, que se envía por correo o se entrega en mano en una sucursal. Cuando el cliente desea hacer una transacción con su banco online, la web le solicita un número de su tarjeta de coordenadas, uno distinto para cada transacción. De ese modo, para obtener las claves del usuario habría que capturar toda la tarjeta de coordenadas. Es un sistema válido para un entorno limitado a un banco o tienda online, pero si queremos que el cliente pueda usar su tarjeta en cualquier tienda o web en Internet, hace falta un procedimiento más general.
Una solución es el llamado Programa de Autenticación de Chip (CAP). Desarrollado por MasterCard, es una especificación dentro del esquema EMV para que las tarjetas de crédito puedan usarse en transacciones sin presencia física; VISA lo usa también, aunque le cambió el nombre a Autenticación de Contraseña Dinámica (DPA). Cualquiera que sea el nombre, se basa en un pequeño lector de tarjetas que se entrega al cliente. Cuando éste desea realizar un pago online, lo primero que hace es insertar su tarjeta en el lector. La gran diferencia es que dicho lector no está conectado a nada y no transmite información alguna, sino que se limita a mostrar números en una pequeña pantalla.
Digamos que el cliente desea comprar un libro por Internet. Cuando solicita el pago mediante tarjeta equipada con CAP, lo que hace la tienda es presentar una cadena numérica, lo que se denomina un “reto” (challenge). El nombre es descriptivo, porque actúa como una pregunta que solamente el usuario legítimo podrá contestar. Para producir la respuesta, el cliente inserta la tarjeta en el lector CAP, la activa mediante el PIN y teclea el reto. El lector calcula la respuesta y el cliente la introducirá en la web, que a su vez pasa los datos al emisor de la tarjeta para su verificación. Si la tarjeta es legítima, el emisor autorizará la transacción.
Lo que acabo de describir es el llamado “modo respuesta”. Existen otros dos modos: firma e identificación. En el modo de firma, el cliente introduce en el lector información adicional como la cantidad a pagar y el número de cuenta; en el modo de identificación, el lector se limita a generar una contraseña de uso único, que puede usarse para acceder a la web del banco.
En principio, el sistema CAP es flexible y muy útil. Como han podido ver, la tarjeta no filtra ninguna información al exterior, y en ningún momento existe la posibilidad de capturar y transmitir el PIN. Es un sistema cuyo uso no está limitado a una tienda o web bancaria concreta, sino que en principio puede utilizarse para cualquier transacción online, incluso por teléfono.
Por supuesto, tampoco este sistema es perfecto. El mayor problema potencial proviene de la “experiencia de usuario”. Si el CAP es incómodo, los usuarios tenderán a no usarlo, o a hacerlo de forma inadecuada. Un posible peligro consiste en que, para facilitar el paso de los datos de reto/respuesta, algún banco decida facilitar la tarea al usuario realizando una implementación en software que envíe directamente la información del lector CAP al ordenador, lo que abriría la puerta a las típicas vulnerabilidades derivadas de virus, troyanos, capturadores de contraseñas, sistemas operativos inseguros, etc. Una segunda vía de ataque sería la manipulación de los lectores CAP, cosa que tras el ataque “Doctor Maligno” de 2008 se demostró que no solamente es factible sino también muy rentable.
No hace falta irse tan lejos. En marzo de 2009, nuestros conocidos de Cambridge Saar Drimer, Steven J. Murdoch y Ross Anderson publicaron un artículo cuyo título podemos traducir como “Optimizados para fallar: lectores de tarjetas para banca online”[42] La principal queja de los autores es que el sistema CAP está optimizado para reducir tanto las molestias a los usuarios (haciéndoles teclear lo menos posible) como los costes para el banco, y eso afecta a la seguridad:
“El fallecido Roger Needham dijo una vez que la optimización es el proceso de tomar algo que funciona y convertirlo en algo que casi funciona pero es más barato… el sistema [CAP] ha sido optimizado hasta la muerte”.
Algunas de las vulnerabilidades del artículo son, reconozcámoslo, poco evidentes, y no se refieren al protocolo técnico en sí. A pesar de ello, detectaron al menos un fallo en el sistema, consistente en que un campo numérico tiene dos usos distintos, según el modo que estemos utilizando. Como resultado, si un cliente efectúa una transacción con valor cero, la información puede utilizarse en modo respuesta. No es algo que suceda todos los días, pero imagine al malo de turno convenciendo al usuario legítimo para que haga una prueba del sistema. “Vamos, intente una transferencia, ponga cero libras y así podrá comprobar si todo va bien”. El usuario legítimo, tranquilizado por el hecho de que no está arriesgando un solo céntimo, accede a la propuesta, pero no sabe que al mismo tiempo su “amigo” está aprovechando para establecer una comunicación en modo respuesta con fines fraudulentos. Es un pequeño detalle que, por supuesto, no conoce el usuario medio, una puerta abierta al fraude cuyo fin inicial era optimizar el sistema y cuya víctima será la misma de siempre: el cliente.
Durante el año 2009 la industria británica de tarjetas vio con alivio cómo las medidas puestas en funcionamiento (el programa de autenticación CAP, el iCVV y mejores herramientas de detección de fraude) habían reducido el fraude en tarjetas bancarias casi un 30% respecto a 2008. El fraude mediante tarjetas clonadas había caído a la mitad, y el correspondiente a tarjetas robadas o perdidas era poco más que la mitad del existente en 2005. Resultaba asimismo revelador el hecho de que el fraude en tarjetas de crédito británicas realizado fuera de sus fronteras había caído asimismo a la mitad. Las cifras de fraude habían caído al nivel de 2005 en términos absolutos[43]. Todo parecía indicar que las vías tradicionales de fraude contra los sistemas Chip+PIN estaban cerrándose; y también algunas de las nuevas, porque pronto se encontró un fallo que permitía un ataque en ciertas condiciones.
Para entender este nuevo fallo, recordemos que el protocolo EMV consta de tres fases: autenticación de la tarjeta, verificación del cliente y autorización de la transacción. Puesto que el terminal punto de venta puede estar fuera de línea, se descartaron las soluciones en las que el terminal necesita estar en comunicación con el emisor de la tarjeta, y por eso las tres fases pueden hacerse a base de intercambios electrónicos entre la tarjeta y el terminal exclusivamente.
La primera fase permite al terminal (el lector de la tarjeta) verificar si la tarjeta ha sido o no alterada, y comprobar cuál es el banco emisor de la tarjeta. Para ello, la tarjeta incorpora una firma digital RSA. Si el resultado de la autenticación es positivo, se negocia la segunda fase: el cliente introduce su PIN en el terminal, el cual pregunta a la tarjeta si es el PIN correcto. Según el resultado de la comprobación, el proceso continúa o es interrumpido en este punto.
En la tercera fase, el terminal pregunta al emisor de la tarjeta si autoriza la transacción. Si éste dice que sí, el proceso continúa, y al final de todo se genera un certificado de transacción del que se hacen dos copias, una para el cliente y otra para el banco emisor. Ahora bien, es posible que el terminal esté fuera de línea y no pueda comunicarse con el emisor. En ese caso puede autorizarse la transacción de modo “offline,” en cuyo caso la tarjeta enviará al terminal el equivalente electrónico de un “bueno, vale, apúntamelo,” y cuando se restablezcan las comunicaciones el terminal procederá a cobrarse del banco. La decisión de proceder sin saber si la transacción ha sido autorizada la toma la propia tarjeta, que ha sido programada por el emisor. Es evidente que permitir la transacción fuera de línea disminuye la seguridad del sistema, porque nos pone en manos de defraudadores, pero permite al usuario legítimo completar la transacción en condiciones de desconexión.
Cuando se comenzó a utilizar EMV, la autenticación se efectuaba mediante una variante conocida como SDA (autenticación estática de datos), en la cual la firma digital era estática, esto es, nunca cambiaba. Eso permite un ataque de repetición, en el que la tarjeta legítima es leída y copiada en una segunda tarjeta. Como la firma digital no cambia y tiene un valor constante sea cual sea la transacción, el clonado no es detectado y la fase primera (autenticación) se cumple con éxito. La segunda fase (verificación) es aún más sencilla. El malo de turno se limita a programar su tarjeta clonada de forma que siempre siga sí cada vez que alguien le pregunte “¿es este el PIN correcto?” Eso le granjeó a este tipo de tarjeta clonada el apodo de “tarjeta sí” (yes card). Queda por cumplir la tercera fase, para lo cual no hay más que buscar un terminal que no tenga conexión con la red bancaria. Para cuando el banco pueda comprobar si la transacción es válida o no, ésta ya se ha llevado a cabo horas antes.
Afortunadamente, la flexibilidad del estándar EMV permitió solventar este problema. La solución se llama DDA (autenticación dinámica de datos), y consiste en dotar a la tarjeta de un sistema criptográfico de clave pública. Para negociar la autenticación, el terminal enviará a la tarjeta un número aleatorio llamado nonce. La tarjeta deberá firmar digitalmente ese número con su clave privada y devolverlo al terminal. El terminal, por su parte, verificará la firma con la correspondiente clave pública que la tarjeta le acaba de enviar. Como el nonce es distinto para cada transacción, la firma también lo será, lo que impide poder usar la firma digital de una transacción anterior. Y, puesto que las claves son únicas, una tarjeta que haya sido clonada o robada puede ser detectada con mucha mayor rapidez. Una segunda modificación, llamada CDA (autenticación combinada de datos), efectúa una operación de firma digital similar en la tercera fase, la de autenticación de la transacción.
Lo triste del asunto es que, aunque las tarjetas con chip podían haber llevado la autenticación DDA activada dese el principio, no todos los países la implantaron por defecto. Una tarjeta con DDA debe llevar un cripto-procesador, y cuesta más caro de producir que uno con SDA. El coste no es muy elevado, digamos un euro por tarjeta, y los terminales y cajeros automáticos no tendrían que ser modificados, ya que DDA es parte del paquete de protocolos incluidos en el sistema EMV. El coste extra de equipar con autenticación DDA todas las tarjetas emitidas en un país representa una fracción del ahorro que se lograría con la reducción de costes por fraude que ello conllevaría.
Algunos países como Suiza, Alemania y Francia se decidieron desde el principio por DDA o bien forzaron su adopción temprana, sacrificando mayores costes iniciales a cambio de una mayor seguridad para sus clientes a largo plazo. Otros, como el Reino Unido, prefirieron apostar por los menores costes del SDA, ahorrando con ello en el chocolate del loro, y por cruzar los dedos con la esperanza de que el fraude no se resintiese por ello. A tenor de las cifras de fraude, la apuesta, que algunos expertos llamaron “pragmática”[44] no les salió bien. Eso sí, la práctica de “el cliente es culpable” les permitió salirse con la suya y no costear el fraude que podían haber evitado, aunque queda por evaluar el coste adicional en mala publicidad y caída de la confianza de sus clientes.
En cualquier caso, llegó un momento en que incluso los bancos ingleses se dieron cuenta de lo poco inteligente que resultaba mantenerse anclado en la opción insegura de un sistema seguro, y en 2009 comenzaron la migración hacia el DDA. Para comienzos del año 2010, dos tercios de todas las tarjetas EMV de Europa tenían ya el nuevo sistema DDA. En Asia oriental, donde EMV aún no se había impuesto frente a otro tipo de tarjetas, la adopción de la autenticación DDA fue menor, 25-30%, cifra similar a la de África. El continente americano era el más retrasado en este respecto, con un 4-6% de uso de la DDA[45]. Estas cifras tan bajas se explican si recordamos que Estados Unidos ha sido un país muy retrasado en la adopción del estándar EMV.
Pero incluso las grandes empresas de crédito norteamericanas (que a fin de cuentas habían creado EMV) reconocieron la vulnerabilidad de la autenticación SDA y la necesidad de acabar con ella para reducir el fraude. En junio de 2009, VISA y MasterCard decidieron que todas las tarjetas EMV emitidas a partir del 1 de enero de 2011 incorporarían el sistema DDA.
No parece haber datos sobre el tipo de autenticación utilizado en España (o, al menos, yo reconozco humildemente no haberla encontrado). Sin embargo, la lenta implantación del sistema EMV en España hace suponer que el impacto de la vulnerabilidad derivado de la autenticación estática de datos (SDA) fue pequeña. En junio de 2009, cuando VISA y MasterCard dieron su aviso contra el uso de SDA, menos del 15% de las tarjetas que circulaban en España tenían chip[46]. No hay cifras acerca del grado de incorporación del sistema DDA en esas tarjetas. En 2005, Caixa Penedés ya anunciaba la adopción de soluciones EMV con DDA[47]. En el extremo opuesto, la empresa de seguridad Gemalto presentó las nuevas tarjetas EMV+DDA de Diners Club España… en febrero de 2012[48].