¿No es peor la seguridad de las tarjetas de crédito con chip que con firma?

(Espero que esta pregunta esté duplicada, pero no pude encontrar ninguna que coincida con el punto)

Me parece que la seguridad de las transacciones con tarjeta de crédito empeoró con el cambio de la firma al uso del chip. Como es bien sabido, casi todos los proveedores en los EE. UU. no solicitan el PIN al pagar (supuestamente porque los estadounidenses no podrían recordar un PIN), por lo que la comparación para mí es:

Antes : si pierdo la tarjeta, el buscador debe falsificar mi firma (no es demasiado difícil, pero no es un obsequio); si marco la tarjeta con 'Comprobar ID', existe la posibilidad de que falle.

Ahora : si pierdo la tarjeta, cualquiera puede usarla libremente en cualquier lugar. Sin límites, cero riesgo de ser descubierto.

Entonces, ¿tenemos un nuevo sistema que es más lento y facilita el abuso de tarjetas perdidas / robadas ? ¿Por qué?

Soy consciente de que puede llamar a la compañía de la tarjeta de crédito y denunciar el robo de la tarjeta, pero eso no siempre es tan fácil. Cuando está de viaje, el roaming puede costarle fácilmente 100 $ solo mientras su llamada está en la línea de espera, y muchos números 1-800 ni siquiera se pueden llamar desde fuera de los EE. UU. De todos modos, ese no es el punto -

¿Por qué la industria gastaría dinero en un sistema que hace que robar y luego usar tarjetas de crédito sea más fácil?

No, chip-plus-pin o chip-plus-signature son más fuertes que la firma sola. Chip-only no lo es, pero sigue siendo más fuerte que mag-stripe-only, al que reemplaza.
Eso es solo teórico. En la práctica, 'banda magnética y firma' se reemplaza por 'chip y nada'. Ese es mi punto.
¿Es esta una pregunta legítima o simplemente viniste aquí para discutir ?
@JoeTaxpayer, tal vez tengas razón y no debería haber preguntado. No es una pregunta cuya respuesta influirá en mi vida o mis decisiones, pero realmente me gustaría entender por qué. Siento que mis tarjetas se han vuelto menos seguras y estoy preocupado (aunque solo sea un poco), y pensé que alguien podría decirme cuál es el motivo de este cambio aparentemente tonto. Así que diría que es principalmente curiosidad. No estoy tratando de tener una discusión.
Leí este antes de publicarlo; tiene seis años y la realidad parecía diferente ahora de lo que se planeó en 2010. Pero posiblemente no haya mejor respuesta que esa, puede ser que la cantidad total de fraude que observo sea mucho más pequeña que la copia de la tira magnética tipo, por lo que es una especie de 'daño colateral' aceptado...
Consulte también security.stackexchange.com/questions/49234/… hay muchas preguntas sobre ellos en el sitio de seguridad. Robar la tarjeta real es mucho menos común que clonar la tira magnética.
Chip-and-nothing es un riesgo para el proveedor, no para usted; aceptan ese riesgo a cambio de tarifas de procesamiento más bajas. En realidad, las tarjetas de crédito tienen una protección al consumidor bastante buena en general, al menos en los EE. UU., por lo que este no es el tema por el que pasar mucho tiempo preocupándose.
Acerca de su último punto, muchas tarjetas de crédito (las tres mías) tienen un número que no es 800 y aceptarán llamadas por cobrar por problemas al viajar internacionalmente.
Porque incluso si un minorista implementa (incorrectamente) "chip + nada" para el uso de tarjetas EMV frente a banda magnética + firma para tarjetas antiguas, el paso de "firma" es funcionalmente equivalente a "nada" en casi todos los casos. Nadie se molesta nunca en verificar si hay una firma en una tarjeta, y mucho menos la compara con la firma que da el comprador, y mucho menos rechaza una transacción porque las dos no parecen coincidir lo suficiente. Por lo tanto, incluso cuando una tienda deja de requerir firmas, enfrenta los beneficios (no perfectos, pero aún significativos) que vienen con el uso de chips contra pérdidas prácticas mínimas o nulas.
Entonces, ¿EE. UU. finalmente comenzó a usar tarjetas con chip pero no hizo cumplir el PIN? Mientras tanto, todos hemos pasado a la tecnología sin contacto :)
@OrangeDog: correcto, se adelantaron a la curva. Solo estamos fallando en hacer cumplir el PIN para transacciones pequeñas, lo están haciendo para todo ;-)
Nunca entendí cómo las firmas pueden considerarse confiables. Es solo un garabato en una hoja de papel, ¡vamos! Incluso si las personas realmente verificaron las firmas (lo cual es increíblemente raro), no le brindan ninguna garantía decente de que la firma fue realizada por la persona adecuada. Tomaré una criptofirma cualquier día, gracias;)
@JoeTaxpayer: ¿cómo diablos eso hace que una pregunta sea "ilegítima"? ¿La pregunta es legítima solo si te la sacas del culo, sin contexto ni razón?
@Davor - interesante. A mi comentario de legitimidad, OP no se ofendió y respondió amablemente, luego yo a cambio. ¿Cuál fue exactamente su problema con ese diálogo? Desde entonces, hace 12 horas, han sucedido muchas cosas, incluida una respuesta de +15 de un miembro que lo aborda directamente.
@JoeTaxpayer: te estoy haciendo una pregunta simple. ¿Qué hay de tener un contexto que hace que una pregunta sea ilegítima?
@Davor Porque muchas preguntas que surgen a través de estas pilas son simplemente diatribas que están apenas disimuladas como una pregunta. JoeTaxpayer parece estar abordando eso al preguntar si OP realmente estaba preocupado por la respuesta o si simplemente era un cliente descontento al que no le gustaba la nueva tarjeta. No digo que ninguna de las personas esté en lo correcto o que tome partido, solo digo lo que he visto muchas veces antes en este sitio.
@OrangeDog, muchos cajeros automáticos y sistemas de tarjetas de débito en los EE. UU. todavía usan banda magnética y PIN. En esa situación, el chip y nada es más seguro que el chip y el PIN: muchos lectores de tarjetas usan la misma ranura para leer chips y bandas magnéticas, por lo que un skimmer puede robar tanto la banda magnética como el PIN de un chip y PIN. transacción, pero solo obtiene la banda magnética de una transacción con chip y nada.
Cabe señalar que 'Verificar ID' o 'Ver ID' no es técnicamente válido (sin firma) en la mayoría de las principales tarjetas de crédito (ver, por ejemplo, TARJETAS DE CRÉDITO SIN FIRMA ), y los proveedores aceptan dichas tarjetas bajo su propio riesgo.
En mi experiencia, nadie que haya robado una tarjeta (o copiado sus datos) va nunca a una tienda a comprar cosas. Se conectan en línea y ordenan cosas, donde no necesitas un pin ni una firma.
Como han mencionado otros, el beneficio principal de las tarjetas con chip es reducir la capacidad de 'desnatar' datos; no es para proteger contra tarjetas perdidas o robadas, que de todos modos es un pequeño porcentaje de fraude de cc. Dicho esto, estoy confundido en cuanto a lo que quiere decir con tarjetas con chip que no requieren firma. Mis tarjetas de crédito con chip requieren una firma para compras superiores a un monto pequeño (¿creo que son $25?) igual que mi tarjeta de banda magnética, y mis tarjetas de débito con chip requieren un PIN (o una firma si borro la pantalla del PIN) igual que mi banda magnética.

Respuestas (4)

Una de las ventajas de las tarjetas con chip es que la información de la tarjeta necesaria para realizar compras no se puede leer o "robar" fácilmente. Otra es que es más difícil crear una tarjeta física falsa. Estas ventajas siguen existiendo independientemente de qué forma de verificación se utilice (o incluso si no se utiliza ninguna verificación).

El tipo de fraude que está describiendo, en el que su tarjeta se pierde físicamente o es robada, es una proporción relativamente pequeña del fraude total (14 % según este sitio ). Una de las razones por las que esto no es un problema tan grande es que, a menudo, si pierde su tarjeta o le roban, sabe que la tarjeta está comprometida y puede cancelarla. (Incluso si le toma un tiempo hacer esto, al menos está alerta). El verdadero peligro surge cuando la información de su tarjeta es robada sin su conocimiento, y esto es más difícil de hacer con una tarjeta con chip.

También vale la pena señalar que hay más formas de atrapar a un estafador que ser atrapado in fraganti ingresando el PIN incorrecto en el punto de venta. Las compañías de tarjetas de crédito siguen rastreando el uso de la tarjeta y observando compras inusuales que puedan indicar fraude. Además, a veces los estafadores hacen cosas sorprendentemente tontas, como usar la tarjeta para comprar algo en línea y enviárselo por correo. Por lo tanto, no es correcto decir que hay "riesgo cero de ser atrapado". Con las tarjetas de banda y con chip, puede atrapar a la persona siguiéndola a través del uso de la tarjeta.

El mayor riesgo de seguridad con las nuevas tarjetas es que muchos proveedores en realidad no requieren el uso del chip en absoluto, aún le permiten deslizar. Sin embargo, con los cambios en las políticas de responsabilidad de las tarjetas de crédito, este es un riesgo para los proveedores, no para usted.

Sí. Al evaluar un procedimiento de seguridad, debe considerar todas las amenazas realistas. Es muy posible que un nuevo procedimiento lo haga más vulnerable al ataque X, pero sin embargo, sería una buena idea porque lo hace menos vulnerable a Y hasta el punto de compensar X. Y agregaría, las firmas no Realmente no ofrece mucha seguridad. Rara vez veo que las tiendas revisen mi firma. Y si alguien robó tu tarjeta, podría practicar falsificando tu firma.
"El mayor riesgo de seguridad con las nuevas tarjetas es que muchos proveedores en realidad no requieren el uso del chip en absoluto, todavía te permiten deslizarlo". Este. El día en que las nuevas tarjetas de pago en los EE. UU. ya no vengan con bandas magnéticas será un gran día para la seguridad de la información financiera.
@halfinformed o al menos el día en que la terminal pueda verificar con el emisor si se supone que la tarjeta tiene un chip, y denegar un deslizamiento si es así. Hasta entonces, un atacante puede clonar una tarjeta de la banda magnética y simplemente poner a cero el bit "Tengo un chip", y el mensaje "INSERTAR TARJETA POR FAVOR" no aparecerá.
@halfinformed Personalmente, arruiné intencionalmente mi banda magnética y no la uso en ningún lugar que me obligue a deslizarla. Para mí, cualquier lugar que no tenga un lector de chips es incompleto.
"Las compañías de tarjetas de crédito siguen rastreando el uso de la tarjeta y observando compras inusuales que puedan indicar fraude". Lo cual es genial hasta que no lo es. Cuando me mudé hace algunos años, el banco tenía registros de que descontinué los pagos automáticos en mi antigua ubicación, y tenían registros de que compré gasolina, comidas y habitaciones de hotel a lo largo de mi ruta, pero cuando fui a comprar algunos muebles para el nuevo lugar, se marcó como fraudulento debido a que era una compra costosa lejos de donde vivía, ¡y me tomó 2 horas al teléfono con los representantes del banco para aclarar! :(
@MasonWheeler: ¿Le informó a su banco de su nueva dirección antes de realizar la compra? Si no lo hizo, eso significa que el sistema de detección de fraude está funcionando muy bien; Me habría molestado mucho más si el banco ingenuamente dejara pasar esa transacción. No es lo mismo dejar constancia de la suspensión de los pagos automáticos que decirle al banco que te mudas.
Entonces, ¿su sugerencia es ocultar bien el cuerpo al robar las tarjetas de crédito de alguien para un uso óptimo?
@Cruncher No estoy seguro de por qué crees que no tener un lector de chips es inherentemente incompleto. Hace menos de un año, la responsabilidad por fraude de Stripe se transfirió legalmente a los minoristas, y algunos proveedores de software de punto de venta aún no han actualizado su software, por lo que las tiendas que usan esos proveedores no tienen otra opción. Tampoco he visto ningún lector de tarjetas basado en teléfonos inteligentes o tabletas que use chip todavía. Se quedaría fuera de muchos minoristas, incluidas casi todas las estaciones de servicio y restaurantes.
@hobbs ya hacen eso. Intenté deslizar mi tarjeta con chip y la terminal la rechazó diciendo que tenía que usar el chip.
@Andy sí, pero lo hace según la información de la tarjeta , específicamente la banda magnética.
Anoche tuve que deslizar e insertar la tarjeta. Antes en esta tienda, solo insertaba, pero por alguna razón, cuando coloqué la tarjeta, me pidió que la sacara, la pasara y luego la volviera a insertar.
@JustinLardinois: Tengo un lector de chips para mi teléfono inteligente desde hace un par de años, de iZettle (en el Reino Unido).
@halfinformed De hecho, diría que deshacerse de las letras en relieve también sería una buena medida: los comerciantes aún pueden enviar cargos utilizando las viejas máquinas de tarjetas "click-clack" con impresión de rodillo, aunque toman una firma.
@AndrewAylett Bueno, por supuesto, están disponibles fácilmente fuera de los EE. UU. Solo decía que los lectores basados ​​en dispositivos inteligentes que he encontrado aquí (casi siempre Square) son solo de banda magnética.

No tengo mucho que agregar aparte de que no se requiere su firma para procesar un cargo. Las firmas se mantienen archivadas para que sean válidas en caso de que discuta un cargo. Su firma no se guarda en alguna base de datos mágica con software de reconocimiento de firmas. Si dibuja un tiburón en la sección de la firma de un recibo, eso no detendrá el procesamiento del cargo. De hecho, muchos comerciantes ni siquiera se molestan en exigir la firma por debajo de cierto umbral.

Hay muchas mejoras de procesamiento entre bastidores que ofrece el chip EMV; a saber, la prevención del robo de números de tarjeta y la duplicación mediante la firma de transacciones cifradas. Mientras que requerir un PIN agrega una capa adicional de seguridad, el simple procesamiento a través de un chip mejora drásticamente las herramientas de prevención de fraude en la red de una manera que es casi completamente transparente para el usuario.

A su punto, si su billetera se pierde y un impostor retiene su tarjeta física, no hay mejora antifraude. En cualquier caso, no tiene ninguna responsabilidad por fraude en los EE. UU.

aquí hay una historia que muestra que no se requieren firmas para procesar un cargo: tickld.com/x/…
Mi padre siempre firma con una X para esto y nunca ha sido un problema.
@DamianYerrick Me pregunto por qué un cliente en la fila está dando otro cambio. No cambia el hecho de que las firmas no son importantes para la seguridad, pero la historia no se cuenta de una manera que suene auténtica.

Una de las principales ventajas es que la duplicación de unas pocas fuentes ya no es un vector. Los dos grandes ejemplos, el menor primero, el robo de cartas y las infracciones como la de Target. El chip genera esencialmente un código de transacción único, y eso se genera dentro del chip. Entonces, incluso si instaló un chip skimmer, tendría que vencer al comerciante para usar el código, y solo sería bueno una vez. Lo mismo es cierto si obtiene algo como la infracción de Target. En lugar de un basurero gigante de números de tarjetas, obtienes un basurero gigante de códigos usados, que no son muy útiles para conseguir dinero. Incluso si aumenta el riesgo de robo de tarjetas, debería ser una gran ventaja para los bancos.

Además, varios bancos ahora están implementando congelamientos rápidos y de corto plazo, como la aplicación de tarjeta Discover It. Simplemente haga clic en congelar en la aplicación si no está seguro de dónde está su tarjeta y descongélela cuando lo sepa. La suposición aquí es que es más probable que las personas la congelen y lo hagan antes que si tuvieran que esperar una nueva tarjeta por correo. Teóricamente, no hay nada que impida que un consumidor mantenga la tarjeta congelada todo el tiempo y la descongele cuando ingresa a una tienda, excepto la impracticabilidad de ello.

Las tarjetas Chip y Signature no alteran sustancialmente el paradigma que menciona en su pregunta. El chip altera la forma en que la máquina obtiene su número de cuenta y lo transmite para la autenticación, pero no altera significativamente la interacción con el empleado. Su único objetivo es reducir el "skimming" y ataques similares de robo y falsificación de números de tarjetas.

Específicamente, un empleado aún puede solicitar ver la tarjeta para verificar la firma si lo desea, y/o solicitar ver una identificación para usar la tarjeta. Se produjeron algunos cambios casi al mismo tiempo que se introdujeron Chip y Firma, lo que significó que será menos probable que los empleados soliciten firmas para ciertas compras (aumentando el monto en dólares para las compras que no requieren firma, en su mayoría), pero esos cambios son distintos de los introducción de la autenticación EMV (chip).

¿No es peor la seguridad de las tarjetas de crédito con chip que con firma?
RespuestasAquíPolítica de privacidad1y, 0v