Visa payWave y MasterCard PayPass tienen una descripción similar: la tarjeta está equipada con una antena que usa para comunicarse con el terminal. Para compras pequeñas (algo así como menos de $50) la transacción se autoriza acercando la tarjeta (algo así como no más de dos pulgadas) a la terminal.
Ahora, ¿qué pasa si mi tarjeta está en mi bolsillo y alguien se acerca a mí en una multitud con un dispositivo fraudulento que se comporta como una terminal? ¿Qué pasa si pierdo mi tarjeta y alguien la recoge y la usa para muchas compras pequeñas? ¿Cómo se aborda el hecho de que la tarjeta esté cerca del terminal es el único requisito para la transacción y no se requiere ninguna otra participación del titular de la tarjeta para autorizar una transacción?
Ellos no están. Básicamente, aparte de los datos que se transmiten mediante el chip RFID , la protección es exactamente la misma que la que tiene en su banda magnética: NINGUNA .
Pero, lo etiquetó como "tarjeta con chip". No se confunda, una tarjeta con chip es algo diferente. Las tarjetas con chip se utilizan en Europa y en muchos otros lugares donde la privacidad y la seguridad son una preocupación para las personas. Este tipo de tarjetas es muy segura y está muy bien protegida . El chip de la tarjeta es en realidad un procesador de tarjeta inteligente , que transmite datos encriptados que solo se pueden usar con un pin que se ingresa por separado. Robar la tarjeta o copiar los datos en el chip, incluso si es posible, no proporciona nada útil para el ladrón, de la misma manera que robar su tarjeta de cajero automático sin saber su pin la hace totalmente inútil. En muchos lugares de Europa no aceptan las tarjetas americanas con solo banda magnética.
Sin embargo, muchas tarjetas brindan protección de responsabilidad cero y siempre puede disputar cargos fraudulentos. Por lo tanto, dejemos que los minoristas sufran los daños del inseguro sistema bancario estadounidense y es posible que presionen a los bancos para que adopten el sistema europeo de tarjetas con chip.
Desde un punto de vista técnico, existen dos versiones principales de tarjetas de pago sin contacto: para MasterCard, PayPass M/Chip y PayPass MagStripe. Creo que la versión Mag Stripe solo se puede usar en los EE. UU., donde hay menos tarjetas con chip, mientras que M/Chip se usa en tarjetas que tienen chips EMV. ( referencia )
Creo que las versiones actuales de PayPass M/Chip realizan criptografía en el chip y producen hashes dinámicos, lo que significa que las transacciones no se pueden reproducir. Este valor se llama CVC3 y puede ser estático o calculado dinámicamente según su emisor. ( ref ) Creo que la dinámica es más común ahora, pero no soy un experto. Naturalmente, solo los valores CVC3 generados dinámicamente no se pueden reproducir.
Escuché a muchas personas hacer la pregunta sobre alguien en una multitud con una terminal PayPass. No puedo creer que ningún comerciante permita que esto suceda, porque MasterCard y VISA, y probablemente su banco, estarían muy, muy molestos y cerrarían al comerciante rápidamente. Como el fraude lo realiza un comerciante, no un cliente, creo que se encontraría y se detendría rápidamente. Tal vez sea ingenuo, pero parece que este sería un método terrible para cometer fraude.
Desde el punto de vista bancario, al menos en Australia, siempre que denuncie la pérdida o el robo de su tarjeta, su responsabilidad se limita a una cantidad nominal (no soy abogado; consulte a su banco). Los montos de transacción aquí están limitados a $100. Supongo que los bancos/MasterCard/VISA han calculado los números y aún sienten que la posibilidad de más transacciones y las tarifas de transacción asociadas supera los riesgos.
Además, ahora también estamos viendo transacciones VISA de pequeño valor que no requieren un PIN o una firma, por lo que este tipo de problema ahora existe para las transacciones que no son de pago.
Independientemente de todo esto, estoy bastante seguro de que VISA y MasterCard exigirán en algún momento la inclusión de PayPass/Paywave en las tarjetas recién emitidas.
No mezcle seguridad con RFID. Una Chip-card de contacto NO es más o menos segura que una sin contacto. Tienes que pensarlo como la capa de transporte que no es segura de ninguna manera. La seguridad está en otra parte: protocolo, criptografía, claves, etc...
Las tarjetas sin contacto EMV (que ahora deberían incluir casi todas las tarjetas emitidas recientemente) utilizan un contador de transacciones fuera de línea para aumentar la seguridad. Este contador se mantiene dentro de la tarjeta y se incrementa cada vez que la tarjeta confirma una transacción sin contacto.
Al menos algunos emisores usan ese contador para limitar la cantidad de transacciones sin contacto antes de que la tarjeta deba usarse para una transacción de contacto, lo que generalmente requeriría la verificación del titular de la tarjeta mediante la entrada o firma del PIN.
Esto limita el riesgo a la cantidad de transacciones sin contacto permitidas multiplicada por la cantidad máxima por transacción.
Creo que el contacto tiene una forma en la que es inherentemente más seguro. La tarjeta tiene que ir dentro del lector. ¿Qué pasaría si un ladrón pudiera sacar dinero de su billetera simplemente pasando su mano cerca de su bolsillo? Sin la implementación adecuada de PDOL, parece que esto podría ser posible.
Ellie Kesselman
diente filoso
Ellie Kesselman