Continuando con la serie “¿Cómo funcionan las tarjetas de pago?”, en esta cuarta entrega se hará referencia a la tecnología pionera y actualmente más utilizada en tarjetas de pago, pero a su vez la más insegura: la banda magnética (“magnetic stripe” en inglés).

Historia de la banda magnética

En 1967, las aerolíneas tuvieron un espectacular crecimiento. Cada vez las filas para comprar un tiquete o para abordar eran más largas y demoradas y por ello se requería la contratación de más personal para la atención al público. Muchos de estos problemas eran causados por la necesidad de registrar cada pasajero manualmente y la realización de cobros en efectivo.

Por otro lado, los bancos tenían un problema similar. Por cada transacción realizada por un cliente, un asistente tenía que registrar todos los datos de forma manual llevando un libro. Los comercios también se veían afectados, ya que no tenían un medio efectivo que les permitiera gestionar otro tipo de cobros diferentes a los realizados en efectivo. Los cheques eran el medio empleado por aquella época, pero implicaban que el comerciante tenía que comunicarse con el banco para verificar la validez de dicho cheque y los tiempos de respuesta y atención no eran los mejores.

La alternativa que podría dar solución a este tipo de problemas era aquella que permitiera que el propio usuario pudiera gestionar su transacción sin la necesidad de personal asociado al servicio.  Con esta premisa, la División de Sistemas Avanzados de IBM (IBM Advanced Systems Division) desarrolló un modelo de tarjeta con una banda magnética en su parte frontal que contenía los datos del cliente, que podía ser leída por un dispositivo especial y que servía tanto para las aerolíneas como para los bancos.  Durante el desarrollo de este proyecto se analizaron otras opciones, tales como códigos de barras y cintas de papel perforado, pero fueron descartadas debido a su poca operatividad.

card

Fuente: IEEE Spectrum magazine

A manera de curiosidad, IBM no patentó ni el diseño de la tarjeta ni la máquina para leerla. Sin embargo, el retorno de la inversión en dicha investigación se obtuvo más adelante con la venta de equipos de cómputo vinculados al procesamiento de la transacción con tarjetas con banda magnética.

Con el paso del tiempo y por temas estéticos la banda magnética se ubicó en el anverso de la tarjeta, mientras que la parte frontal fue utilizada para la impresión de la información del titular, del PAN (Primary Account Number) y del banco emisor.

Estructura de la banda magnética

La banda magnética de una tarjeta de pago emplea el mismo concepto que se usa en los casetes para el registro y reproducción de sonido.  Está compuesta por partículas magnéticas en forma de barras sobre una película de plástico (poliepóxido o resina epoxi).

band

Fuente: Wikipedia

Los datos son codificados en dicha cinta dependiendo de la polaridad de cada partícula. Cada bit representa una longitud definida en la cinta. La presencia o ausencia de un cambio de polaridad en la mitad del bit indica si se trata de un uno o de un cero.

polaridad

Cada banda magnética puede contener hasta tres pistas de grabación, cada una de 2,79mm con separadores entre ellas.  La información almacenada en cada pista ha sido estandarizada en los estándares ISO 7813 (TRACK 1 y 2) e  ISO 4909 (TRACK 3).

banda

Cada pista tiene una funcionalidad diferente:

TRACK 1 (IATA)

T1

Usada habitualmente por aerolíneas. Actualmente puede ser usada para almacenar datos de tarjetas de pago bancarias.

CI: Centinela Inicial
CF: Código de formato
PAN: Número de cuenta principal de acuerdo con el estándar ISO 7812
CS: Campo separador
Nombre: Nombre del titular de la tarjeta
CS: Campo separador
Datos adicionales: Información como fecha de expiración y código de servicio
Datos discrecionales: información como:
(PVKI) PIN Verification Key Indicator
(PVV) PIN Verification Value
(CVV) Card Verification Value
(CVC) Card Validation Code
CF: Centinela final
LRC: Caracter de verificación de redundancia longitudinal

TRACK 2 (ABA)

T2

Usada para almacenamiento de información bancaria.

CI: Centinela Inicial
CF: Código de formato
PAN: Número de cuenta principal
CS: Campo separador
Datos adicionales: Información como fecha de expiración y código de servicio
Datos discrecionales: información como
(PVKI) PIN Verification Key Indicator
(PVV) PIN Verification Value
(CVV) Card Verification Value
(CVC) Card Validation Code
CF: Centinela final
LRC: Caracter de verificación de redundancia longitudinal

TRACK 3 (THRIFT)

T3

Reservada para otros usos, incluyendo licencias de conducción, cuentas de ahorro. Por lo general no es usada y no es incluida en las bandas magnéticas actuales

Información como densidad de grabación, configuración de caracteres y contenido de cada una de las pistas se muestra a continuación:

info

Otro concepto importante en las bandas magnéticas es la coercitividad, que permite medir la resistencia del material empleado a la desimanación. Este valor se mide en Oersteds (Oe). Existen dos tipos de bandas magnéticas dependiendo del nivel de coercitividad que usen:

  • Baja coercitividad (LoCo) – 300 Oe: Este tipo de bandas magnéticas tienen un color marrón y para su funcionamiento requieren una cantidad baja de energía magnética para la lectura de datos, por lo que los lectores de este tipo de bandas suelen ser más baratos.
  • Alta coercitividad (HiCo) – 2100-4000 Oe: Este modelo por lo general es de color negro. Son más difíciles de borrar y resistentes, por lo que son usadas en tarjetas que requieren una vida útil más larga. Sin embargo, son más costosas al igual que sus lectores.

Funcionamiento de la banda magnética y controles de seguridad asociados

La lectura de una tarjeta se realiza mediante el deslizamiento de la banda magnética a través de un lector especial (denominado “Electronic data capture” (EDC)) a una cierta velocidad. Esto permite la generación de un fenómeno denominado “inducción magnética“, cuyo resultado será una serie de voltajes que posteriormente serán codificados a datos binarios.

voltajes

Fuente: Wikipedia

Por otro lado, en un dispositivo de seguridad independiente denominado PIN PAD se realiza la captura del PIN (Personal Identification Number). Este PIN es codificado usando diferentes datos como su longitud, sus dígitos, una parte del PAN y otros dígitos de relleno (padding). Obtenido este dato, es cifrado empleando un algoritmo robusto y pasa a denominarse PIN Block.  Como se describió en el artículo ¿Cómo funcionan las tarjetas de pago? Parte III: PIN (Personal Identification Number), el PIN no es almacenado en la banda magnética, razón por la cual debe ser obtenido por otro medio (en este caso, un PIN PAD).

Estos datos en conjunto (banda magnética y PIN cifrado (PIN Block)) son enviados a través de una línea de comunicación cifrada y dedicada al banco emisor para la validación de información y aprobación de la transacción, cuyo flujo es descrito en el artículo “¿Alguna vez te has preguntado por dónde pasan los datos de tu tarjeta cuando realizas una compra? Aquí está la respuesta”.

Adicionalmente, dentro de la banda magnética se incorporan una serie de valores de seguridad denominados Card Verification Code (CVC) o Card Verification Value (CVV). Estos valores hacen parte de los campos discrecionales y están diseñados para proteger la integridad de la información almacenada en la banda magnética, así como garantizar que transacción es originada desde una tarjeta válida. Este código es calculado mediante la encriptación del PAN (Primary Account Number), la fecha de expiración y el código de servicio con claves únicamente conocidas por el banco emisor. En función de la marca de tarjeta utilizada, el nombre de este código puede variar:

  • CAV – Card Authentication Value (tarjetas de pago JCB)
  • CVC – Card Validation Code (Tarjetas de pago MasterCard)
  • CVV – Card Verification Value (Tarjetas de pago Visa y Discover)
  • CSC – Card Security Code (Tarjetas de pago American Express)

Sin embargo, si la totalidad de la banda magnética es comprometida (por ejemplo usando skimming, técnica que se describirá más adelante), estos valores no tendrían ningún efecto operativo real.

Ventajas y desventajas del uso de la tecnología de banda magnética

Al igual que todas las tecnologías, las bandas magnéticas tienen una serie de ventajas y desventajas que se enumeran a continuación:

Ventajas:

  • Los costes operativos de estampación de una tarjeta con banda magnética y los dispositivos de lectura y de escritura de banda son relativamente baratos en comparación con otras tecnologías.
  • Los dispositivos de lectura y escritura son fáciles de instalar y acoplar en cajeros automáticos, Terminales de Punto de Venta (TPV) y otros dispositivos en comercios y entidades financieras.
  • La tecnología de banda magnética, al ser la pionera en este campo, es la más empleada y extendida.

Desventajas:

  • La banda magnética es susceptible a daños causados por la temperatura, el polvo, rayado, fricción y/o  humedad que pueden alterar la lectura o la imanación de la cinta. La vida útil de una banda magnética es de unas 300-400 lecturas, después de lo cual empieza un proceso de deterioro hasta su inutilización.
  • Debido a que la tecnología radica en el almacenamiento de información en un medio magnético, la exposición de la banda a magnetos o desmagnetizadores pueden afectar su funcionalidad.
  • La información de la banda magnética se encuentra almacenada en texto claro. No se emplea ningún algoritmo de cifrado para proteger esta información, por lo cual esta tecnología es susceptible a clonación empleando para ello dispositivos portátiles denominados “skimmers”. Estos dispositivos permiten la lectura y almacenamiento de bandas magnéticas para ser grabadas posteriormente en tarjetas vírgenes.

portable-magnetic-stripe-reader

Fuente: http://www.magencoders.com

Recomendaciones de seguridad en el uso de tarjetas con banda magnética

A continuación se enumeran algunas recomendaciones de seguridad para usuarios este tipo de tecnología, con el fin de minimizar potenciales riesgos con sus tarjetas:

  • Firmar la tarjeta: cada tarjeta de pago tiene un espacio para la firma del titular. Este es un control de seguridad para transacciones presenciales que involucran a una persona para que valide la firma contra un documento de identidad.
  • Utilice un PIN robusto y protéjalo en el momento de ingresarlo cubriendo el teclado con la mano. Evite un patrón de teclas que pueda ser memorizado por alguien que pueda ver este proceso.
  • Proteja su recibo: evite tirar el recibo de la transacción, ya que contiene información que puede ser empleada por un atacante. Si ya no lo necesita, rómpalo de una forma segura.
  • Vigile siempre su tarjeta cuando se la entrega a otra persona para la realización de un pago. Si puede, solicite el dispositivo TPV y realice usted mismo la lectura de la tarjeta. Esto evitará que personas malintencionadas lean su tarjeta en skimmers.
  • Mantenga una lista de sus tarjetas y números telefónicos para bloqueo en caso de robo o pérdida. Notifique inmediatamente a su banco en caso de problemas o dudas.
  • Revise de forma periódica el saldo de sus tarjetas de pago con el fin de detectar cobros no autorizados.

¿Cómo se fabrica una tarjeta de pago?

En el siguiente vídeo se describe en detalle el procedimiento de fabricación y personalización de los plásticos, incluyendo la estampación y grabación de datos tanto en la banda magnética como en el chip EMV (fuente: www.computerhoy.com):

Los datos de la banda magnética y el cumplimiento de PCI DSS

Como se ha explicado previamente, la banda magnética contiene la información de la tarjeta de pago que se requiere para la realización de transacciones presenciales (esto es: aquellas transacciones que requieren que el titular de tarjeta esté presente y tenga en su poder el plástico).  Esta información viene esquematizada de la siguiente forma empleando el TRACK 1 y el TRACK 2:

TRACK 1

Track1

Fuente: Navigating PCI DSS

TRACK 2

Track2

Fuente: Navigating PCI DSS

Como se puede observar, se identifican dos secciones:

  • OK to store: Se trata de una serie de datos que pueden ser almacenados de forma segura por el comercio o proveedor de servicio si existe una justificación de negocio. Dentro de estos datos se encuentran el PAN (que debe ser almacenado con base en los métodos indicados en el requerimiento 3.4 de PCI DSS), la información del titular de tarjeta, el código de servicio y la fecha de expiración.
  • Violation to store: Estos datos no pueden ser almacenados bajo ningún criterio. Dentro de estos datos se encuentran los datos discrecionales, los códigos de verificación de PIN y el Card Verification Code (CVC) o Card Verification Value (CVV)

La siguiente tabla describe los tipos de datos de una transacción con tarjeta de pago y si está permitido su almacenamiento o no:

tabla

Fuente: PCI Data Security Standard

El requerimiento de PCI DSS relacionado con la protección de los datos de tarjeta almacenados en la banda magnética es el 3.2.1:

3.2.1 No almacene contenido completo de ninguna pista de la banda magnética (ubicada en el reverso de la tarjeta, datos equivalentes que están en un chip o en cualquier otro dispositivo). Estos datos se denominan alternativamente pista completa, pista, pista 1, pista 2 y datos de banda magnética.

Siendo así, dentro del proceso de validación de PCI DSS el comercio o proveedor de servicios debe garantizar que en sus flujos de negocio no se almacena la banda magnética completa y el PAN se encuentra cifrado (si se requiere). Con el fin de facilitar esta tarea, se pueden emplear de forma preventiva herramientas informáticas para la búsqueda de esta información en medios de almacenamiento, como se describe en el artículo “Herramientas Free y Open Source para la búsqueda de datos de tarjetas de pago en medios de almacenamiento”.

Finalmente, en Agosto de 2009 el PCI SSC publicó el documento “Information Supplement: Skimming Prevention – Best Practices for Merchants“en el cual describe los ataques que puede realizar personal malintencionado contra los dispositivos de lectura de tarjetas y analiza en detalle los controles físicos, lógicos y administrativos a ser implementados para minimizar este riesgo.

Referencias

Universidad Complutense de Madrid: Track format of magnetic stripe cards  http://www.gae.ucm.es/~padilla/extrawork/tracks.html

IEEE Spectrum: The long life and imminent death of the mag-stripe card. Junio 2012