El pasado mes, en nuestro stand del IT Now, nos realizaron una entrevista sobre los riesgos de las tarjetas de crédito, de antemano le damos muchísimas gracias al Periódico de Guatemala por darnos la oportunidad de compartir.
Bueno, al tema, el tema de clonación es bastante grave en Guatemala y en todo el mundo, ¿porque realmente?
La tecnología de la banda magnética es bastante "obsoleta", en qué sentido le llamamos obsoleta, inventada por IBM en los años 60, la banda magnética se ha utilizado por la mayoría de instituciones financieras en el mundo para que la información pueda ser leída por cualquier dispositivo de Hardware del mundo, la información que va dentro de la banda magnética debe de tener el mismo formato, de lo contrario imagínate cada local donde compras con más de 10 POS (dispositivos de punto de venta) diferentes cada uno por una institución financiera.
Es por ello que se inventaron los estándares de resguardo de información dentro de las bandas magnéticas y de donde surgió el ISO/IEC 7813. Este define 2 formas de resguardo de información, dependiendo del tamaño se utiliza ya sea el Track 1 o 2 de la tarjeta.
¿Qué es eso de un Track?
La banda magnética contiene 3 pistas ósea “tracks” en las cuales se puede almacenar información, desarrolladas para usos diferentes en la época de los 60, la pista 1 y 3 pueden almacenar 210 bits de información y la pista 2 únicamente 75 bits.
Ok, hasta ahorita podemos darnos cuenta, que entonces esta información puede ser leída por cualquier dispositivo que se acople al formato universal de lectura significando que esto puede ser leído fácilmente.
¿Ahora donde está la verdadera seguridad en una tarjeta magnética?
La verdadera seguridad en una tarjeta magnética podría aplicarse en dos factores, el lógico (cifrado) y el físico (hardware).
En el lógico, la seguridad seria poder cifrar nuestros datos dentro de la tarjeta magnética, para que únicamente utilizando nuestro algoritmo de cifrado los datos puedan ser extraídos por el dispositivo y descifrados por nuestro software, el problema en este enfoque radica que TODOS los POS deben de poder conocer nuestros datos, entonces sería ilógico cifrar la data con nuestro algoritmo, grabarla en la banda magnética y que esta sea descifrada por cualquier POS en el mundo, daría lo mismo que esta no estuviera cifrada.
Este factor de seguridad únicamente sería útil si nosotros implementamos una tarjeta magnética en donde nosotros somos los dueños de todos los dispositivos de lectura, dándonos así el control de poder utilizar un cifrado a la hora que una persona lea la información, esta será ilegible si no posee el algoritmo de cifrado utilizado; Esto se puede ver en sistemas como tarjetas de metro y trenes que utilizan este sistema, pero no en sistemas bancarios ya que para utilizar nuestra tarjeta seria únicamente utilizable en dispositivos que sean propios del banco.
Por último tenemos el factor físico, aunque no lo consideramos un factor de seguridad como tal, es el único factor que existe a la hora de seguridad en la banda magnética e involucra su coercitividad.
¿Qué es la coercitividad?
La coercitividad es la intensidad del campo magnético requerido para remover la magnetización del material, ósea la resistencia del material en ser desmagnetizado, en últimas palabras, que podamos escribir en la mentada tarjetita. Existen dos tipos de coercitividad, baja y alta.
La coercitividad Baja (LoCo): es una tarjeta magnética que puede ser reescrita muy fácilmente pero tiene el problema que los datos magnéticos de la tarjeta no se quedan guardados mucho tiempo, este tipo de tarjetas son por ejemplo utilizadas en las tarjetas de las llaves de hoteles, puertas, etc. El hardware utilizado para escribir en ellas es bastante más barato y muy fácil de adquirir.
La coercitividad Alta (HiCo): es una tarjeta que para ser sobrescrita necesita un escritor de arriba de 4000 Oe, estas son utilizadas para tarjetas que deban de guardar o almacenar la información por tiempos bastante prolongados (3-5 años) como por ejemplo nuestras tarjetas de crédito.
¿Donde quedo lo de la clonación?
Finalmente, luego de esta breve pero necesaria explicación, el problema radica en que anteriormente un dispositivo para grabar en tarjetas de crédito de alta coercitividad era bastante caro de $1,000 - $5,000 dólares, ahora desde hace ya unos años estos dispositivos se encuentran fácilmente en el mercado por alrededor de $300-$400 dólares, el que tenemos en nuestro laboratorio es el siguiente MSR206 (Algo obsoleto ya que es de interface serial, pero hay nuevos modelos con interfaces USB).
Pues como verán, la baja de precios y tecnología hizo un alza en comodidad y crimen que cualquier persona puede gastarse $500 dólares y sacar sus propias tarjetas bancarias. Pueden buscar en google y encontraran combos como estos:
Lastimosamente este tipo de amenazas siguen y seguirán existiendo por la alta proliferación de la tecnología de la banda magnética, a muchas instituciones les sería de una masiva inversión el cambio a una nueva tecnología como por ejemplo el de una smart card.
