En 1969, un equipo de IBM liderado por el ex-militar Jerome Svigals desarrolló el primer prototipo de mecanismo que facilitaba la lectura de los datos de una tarjeta empleando la codificación de dicha información en formato magnético, de forma similar a como la realizaban los casetes de música. Cuando este concepto se empezó a usar en las tarjetas de pago, los datos de la tarjeta (nombre del titular, fecha de expiración, número principal de cuenta y otros datos) fueron codificados en una banda ubicada en la parte superior del anverso del plástico. De esta manera, cuando se necesitaba hacer una transacción, no era necesario transcribir los datos manualmente sino que con un lector especial (y relativamente barato) se capturaban los datos de la banda magnética, eliminando errores de transcripción y optimizando los tiempos de respuesta.

Este método tuvo tal aceptación que su masificación fue inmediata. En el año 2003, más consumidores usaron sus tarjetas con banda magnética para realizar pagos en vez de usar efectivo. Todo esto debido a los costes económicos de su producción, su facilidad de uso y su fiabilidad.

Sin embargo, a medida que el tiempo pasó se empezaron a identificar problemas en este método:

  • Captura no autorizada de datos de la banda magnética empleando skimmers y otros lectores camuflados para «clonación» de tarjetas para realizar transacciones fraudulentas. Los datos de la tarjeta en la banda magnética están almacenados en texto claro.
  • Desgaste de la banda magnética por uso o por daños por temperatura, polvo, fricción o humedad.
  • Problemas con exposición a mecanismos desmagnetizadores.

Precisamente el problema de seguridad derivado de las «clonaciones» de tarjetas fue lo que afectó mayoritariamente la confianza en este método. Como resultado, surgieron otras alternativas más seguras como el uso del chip EMV o pagos sin contacto (contactless), pero la cantidad de lectores (terminales de pago y cajeros automáticos) y tarjetas existentes en el mercado que usaban la banda magnética implicó que estos nuevos métodos deberían convivir conjuntamente con la banda magnética, que se mantuvo como mecanismo de respaldo (backup) en el caso que el chip EMV o las interfaces contactless no funcionaran. Esto implicaba que las tarjetas híbridas (que incluían la banda magnética y con chip EMV/contactless en el mismo plástico) tenían por una parte los datos de la tarjeta protegidos (chip EMV) mientas que por el otro tenían los datos en claro (banda magnética), lo cual era una contradicción desde el punto de vista de seguridad.

Tarjetas híbridas con chip EMV, antena NFC (contactless) y banda magnética en el mismo plástico

Conforme pasaba el tiempo, la adopción de las tarjetas con chip EMV y contactless, la obsolescencia de la firma manuscrita como mecanismo de autenticación de transacciones presenciales, la entrada de otras tecnologías como las billeteras digitales (digital wallets) y pagos empleando códigos QR, las tasas (tarifas) de procesamiento de transacciones con banda (debido a su alto índice de fraude) y la aplicación de criterios de cambio de responsabilidad en caso de fraude (Liability Shift) hicieron que la dependencia de las bandas magnéticas llegara a su mínimo. Con estos problemas en mente, ha sido Mastercard la primera marca de tarjetas de pago que ha dado el paso adelante notificando que removerá la banda magnética de sus tarjetas de pago.

Las fechas indicadas por Mastercard para la obsolescencia de la banda magnética son las siguientes:

  • Remoción de la banda magnética en tarjetas en regiones en las que exista un uso masivo de chips EMV (Europa, principalmente): 2024
  • Remoción de la banda magnética en tarjetas emitidas por bancos en Estados Unidos: 2027
  • Remoción de la banda magnética en tarjetas crédito y débito de Mastercard: 2029 (se excluyen tarjetas prepagadas en Estados Unidos y Canadá)
  • Obsolescencia completa de las bandas magnéticas: 2033

Obviamente, este cambio implica el remplazo o desactivación/desconexión de los lectores de bandas magnéticas (Magnetic Stripe Readers – MSR) en terminales de pago (datáfonos) atendidas y desatendidas y en cajeros automáticos, adicional a los remplazos de las tarjetas que actualmente incluyen la banda magnética, con los consecuentes costes a las entidades financieras y a los usuarios del servicio. Por otro lado, se espera que en el corto plazo las demás marcas de pago (incluyendo Visa) sigan el mismo camino de Mastercard respecto a la obsolescencia de la banda magnética.

Finalmente, desde el punto de vista de seguridad, esta es una decisión que venía siendo esperada por la comunidad desde hace muchos años. El uso de bandas magnéticas es un riesgo para todos los elementos del ecosistema de pagos, desde el titular de tarjeta hasta la entidad emisora y los adquirientes, así como cualquier tercero involucrado, debido a la ausencia de controles para la protección de los datos.


David Acosta

Asesor de Seguridad Calificado (QSA) para PCI DSS, P2PE, PIN, 3DS, TSP y PIN.
CISSP Instructor, CISA, CISM, CRISC, CHFI Trainer, CEH, OPST, BS25999 LA.