¿Por qué está ganando popularidad el chip+firma EMV frente al chip+PIN en Estados Unidos?

Question

Con la transición de Estados Unidos a la tecnología EMV, me sorprende que los principales bancos apuesten por la tecnología Chip+Firma en lugar de Chip+PIN. Creo que es mucho más cómodo para el consumidor utilizar Chip+PIN que la firma. ¿Por qué los principales bancos han optado por la tecnología Chip+Firma en lugar de Chip+PIN?

No recuerdo dónde lo oí, pero creo que Visa ha declarado que sólo admitirá Chip+Firma, y MasterCard emitirá principalmente Chip+Firma, pero también podría procesar Chip+PIN.

Answer 1

Krebs on Security tenía un excelente artículo sobre este tema a finales de 2014 (justo cuando Estados Unidos comenzaba la transición al chip y la firma). Algunos detalles iniciales:

1. Los sistemas de punto de venta de EE.UU. suelen ser compatibles con el sistema de chip y pin. El problema no es la tecnología: esa tecnología (los PIN) lleva años en EE.UU., permitiendo el uso de tarjetas deibt en los sistemas de TPV. Añadir la aceptación del chip fue el paso tecnológico difícil. Si eres europeo, es posible que tengas que introducir un PIN en la caja registradora.
2. La prioridad de Chip y Pin frente a Chip y Firma frente a Firma la elige el banco emisor. Todos los bancos estadounidenses han elegido la prioridad de Chip y Firma frente a la de Chip y PIN. Algunos bancos permiten establecer un PIN en caso de que viajes a Europa y necesites utilizar un cajero automático que utilice autenticación sin conexión (que probablemente sólo acepte un PIN).

Ahora bien, en cuanto al porqué, el artículo de Krebs señala algunas razones.

En primer lugar, el chip y el PIN no protegen contra un tipo de fraude muy común, ni muy caro. La única ventaja que ofrece el PIN es la protección contra el robo físico. Eso no ocurre muy a menudo, y cuando ocurre suele denunciarse rápidamente, por lo que no es muy caro para los bancos. El desgaste (que la gente decida utilizar una tarjeta diferente o no utilizar ninguna) es un riesgo cuando se pasa a una tecnología diferente, y el desgaste de exigir el PIN puede costar a los bancos más que el fraude de las tarjetas robadas.

El PIN sólo aborda el fraude cuando la tarjeta se pierde o es robada, y en el mercado estadounidense el fraude por pérdida y robo es muy pequeño en comparación con el fraude por falsificación de tarjetas.

En segundo lugar, el chip y el PIN no suelen proteger contra el fraude durante mucho tiempo; los delincuentes ajustan sus métodos, y acaba siendo equivalente a antes del chip y el PIN.

Además, al observar otras zonas geográficas -y nuestra investigación lo ha corroborado-, al ver que estas zonas geográficas adoptan el chip y el PIN, el fraude por pérdida y robo disminuye un poco, pero luego los delincuentes se adaptan. Así, en el Reino Unido, el fraude por pérdida y robo está ahora por encima de lo que había antes de la migración.

En tercer lugar, la adición de PINs da a los ladrones otra vía para robar dinero: Los cajeros automáticos. Aunque ahora muchas tarjetas tienen PIN que permiten sacar dinero, la mayoría de la gente no los utiliza y, por tanto, no se les puede robar el PIN. Retirar dinero de un cajero automático puede suponer una pérdida más importante para el banco. Además, los cajeros automáticos no suelen utilizar Chips ahora mismo en Estados Unidos, lo que significa que si el PIN puede ser robado (mediante ingeniería social, un hackeo, etc.) puede combinarse con los datos de la banda magnética para robar dinero de los cajeros.

La mayoría de los bancos emisores de tarjetas y Visa no quieren los PIN porque éstos pueden ser robados y utilizados con los datos de la banda magnética de las mismas tarjetas (que también tienen una tarjeta con chip) para sacar dinero de los cajeros automáticos. Los bancos asumen los costes del fraude en los cajeros. Este escenario ha ocurrido con la implantación de las tarjetas con chip y PIN, en Europa y en Canadá.

En cuarto lugar, los emisores no quieren cambiar dos cosas a la vez; prefieren hacerlo por etapas. Algunos problemas en el despliegue de Canadá pueden haber sido informativos para esto.

"No creemos que podamos enseñar a los estadounidenses a hacer dos cosas a la vez. Así que vamos a empezar por enseñarles a sumergirse, y si tenemos otro acontecimiento decisivo como la brecha de Target y los consumidores empiezan a pedir el PIN, entonces nos ajustaremos". Así que los emisores con los que hablé querían mantener la sencillez: Salir al mercado con un producto sencillo y, una vez que funcione, evaluar la posibilidad de añadir algunos aderezos.

Y los problemas de Canadá:

Hubo un emisor canadiense que, cuando hizo la migración al chip, hizo una gran chapuza con la implantación del chip y el PIN, y los consumidores olvidaban su PIN en el punto de venta. Ese emisor vio un descenso significativo en el volumen de transacciones como resultado. Uno de los errores que cometió este emisor fue que envió sus folletos con el PIN demasiado pronto, antes de que se pudieran realizar transacciones con el PIN en el punto de venta, y los consumidores lo olvidaron. Además, en el momento en que enviaron las tarjetas, [el banco] no tenía la capacidad en los cajeros automáticos ni en los IVR (sistemas automatizados de atención al cliente por teléfono) para que los consumidores pudieran restablecer sus PIN a algo que pudieran recordar.

---

Así que hay muchas razones -en gran parte razonables, al menos desde el punto de vista de los comerciantes- por las que todavía no hemos pasado al chip y al PIN en Estados Unidos. A pesar de todos los comentarios insultantes sobre que los estadounidenses no son capaces de recordar los PIN (no es cierto, recordamos bien los PIN de débito), eso es realmente una parte muy pequeña.

Uno de los analistas mencionó que, con el tiempo, podríamos prescindir de la banda magnética una vez que el chip y la firma estén plenamente aceptados; eso sería lo más útil en términos de seguridad de las tarjetas de crédito.

Una vez que la banda magnética desaparezca, el chip y el PIN serán una solución muy sólida. Se calcula que a finales de 2015, el 50% de las tarjetas y los terminales estarán habilitados para chip, pero pasarán varios años antes de que nos acerquemos al cumplimiento total. Así que, probablemente, en 2018 podremos empezar a hacer planes para eliminar la banda magnética de estas tarjetas.

Answer 2

Esta parece ser la preferencia de los bancos emisores de tarjetas. Mi tarjeta chip Visa aparece como chip-y-sig en la mayoría de los lugares, incluso en el extranjero, donde el chip-y-pin es más común. Sospecho que se trata de una cuestión de cambios progresivos en el software.

Answer 3

El chip y el PIN tienen algunos defectos básicos, probablemente más humanos que tecnológicos.

En primer lugar, el PIN es demasiado corto, por lo que es fácil de ver mientras alguien lo introduce. Muchos terminales con PIN no están adecuadamente protegidos de la línea de visión. La próxima vez que se aburra en una cola, juegue al juego de "descubrir el PIN". Las reglas son que no se puede barajar, pero se ganan puntos si se descubre el PIN a partir de la posición del dedo o simplemente viendo el número introducido. Una vez que tengas el PIN, comprueba cuánta gente no tiene el cuidado necesario para poner la tarjeta fuera del alcance de los carteristas. Si puedes recordar tu número de teléfono móvil (10 dígitos) puedes recordar un PIN más largo.

En segundo lugar, sé de al menos una pareja que intercambia regularmente tarjetas para comprar/gasolina/efectivo y se conocen el PIN del otro. Esto va en contra de todas las normas de emisión de tarjetas y por una buena razón.

Un método mejor sería tener una fotografía del propietario de la tarjeta grabada en ella junto con el chip que almacena un hash de una firma digitalizada. Al obligar al minorista a tener la tarjeta en su poder y comprobar que la fotografía coincide con el portador y que la firma en un digitalizador coincide con el hash de la tarjeta, se eliminarían estos dos problemas. Las fotografías cambian con el tiempo, pero está claro que no cambio de hombre a mujer y si el portador de la tarjeta es claramente de otra raza, habría que levantar sospechas.

Planteé estas preocupaciones a los emisores de mis tarjetas cuando se introdujo el chip y el pin, pero ninguno de ellos se molestó en responder con algo más que una carta genérica de "estamos satisfechos con nuestra seguridad". No estoy convencido de que realmente quieran un sistema seguro, sino uno en el que la culpa y la responsabilidad puedan ser trasladadas a otra persona.