¿Cómo se protegen Visa payWave y MasterCard PayPass contra el uso no autorizado?

Question

Visa payWave y MasterCard PayPass tienen una descripción similar - la tarjeta está equipada con una antena que utiliza para hablar con la terminal. Para compras pequeñas (algo menos de 50 dólares) la transacción se autoriza acercando la tarjeta (no más de dos pulgadas) a la terminal.

¿Y si mi tarjeta está en mi bolsillo y alguien se acerca a mí en una multitud con un dispositivo fraudulento comportándose como un terminal? ¿Qué pasa si pierdo mi tarjeta y alguien la recoge y la usa para muchas compras pequeñas? ¿Cómo es que el hecho de que la tarjeta esté cerca de la terminal es el único requisito para la transacción y no se requiere ninguna otra participación del portador de la tarjeta para autorizar una transacción dirigida?

Answer 1

No lo son. Básicamente, aparte de los datos que se transmiten utilizando el RFID chip, la protección es exactamente la misma que la que tiene en su banda magnética: NONE .

Pero, has etiquetado esto como "tarjeta chip". No te confundas, una tarjeta chip es algo diferente. Las tarjetas con chip se utilizan en Europa y en muchos otros lugares donde la privacidad y la seguridad preocupan a la gente. Este tipo de tarjetas es muy seguro y está protegido muy bien . El chip de la tarjeta es en realidad un tarjeta inteligente que transmite datos cifrados que sólo pueden utilizarse con un pin que se teclea por separado. Robar la tarjeta o copiar los datos del chip, aunque sea posible, no aporta nada utilizable al ladrón, del mismo modo que robar tu tarjeta de cajero automático sin conocer su pin la hace totalmente inútil. En muchos lugares de Europa no aceptan las tarjetas americanas que sólo tienen banda magnética.

Pero muchas tarjetas ofrecen protección de responsabilidad cero, y siempre puedes impugnar los cargos fraudulentos. Así que dejemos que los minoristas sufran los daños del inseguro sistema bancario estadounidense, y quizá presionen a los bancos para que adopten el sistema europeo de tarjetas con chip.

Answer 2

Desde un punto de vista técnico, existen dos versiones principales de tarjetas de pago sin contacto: para MasterCard están PayPass M/Chip y PayPass MagStripe. Creo que la versión Mag Stripe sólo se utiliza en EE.UU., donde hay menos tarjetas con chip, mientras que M/Chip se utiliza en tarjetas que tienen chips EMV. ( ref )

Creo que las versiones actuales de PayPass M/Chip realizan criptografía en el chip y producen hashes dinámicos, lo que significa que las transacciones no pueden reproducirse. Este valor se llama CVC3 y puede ser estático o calculado dinámicamente dependiendo de su emisor. ( ref ) Creo que la dinámica es más común ahora, pero no soy un experto. Naturalmente, sólo los valores CVC3 generados dinámicamente no se pueden reproducir.

He oído a mucha gente hacer la pregunta sobre alguien en una multitud con un terminal PayPass. No puedo creer que ningún comerciante permita que esto ocurra, porque MasterCard y VISA, y probablemente su banco, se enfadarían muchísimo y cerrarían el comercio rápidamente. Como el fraude lo realiza un comerciante, no un cliente, creo que se descubriría y se detendría rápidamente. Tal vez sea ingenuo, pero me parece un método terrible de cometer fraude.

Desde el punto de vista bancario, al menos en Australia, siempre que denuncies la pérdida o el robo de tu tarjeta, tu responsabilidad se limita a una cantidad nominal (no soy abogado, consulta a tu banco). Aquí los importes de las transacciones se limitan a 100 dólares. Supongo que los bancos / MasterCard / VISA han hecho números y siguen pensando que la posibilidad de que se produzcan más transacciones y las comisiones asociadas a las mismas compensan los riesgos.

Además, ahora también vemos que las transacciones con VISA de poco valor no requieren PIN ni firma, por lo que este tipo de problema existe ahora para las transacciones sin paypass.

Independientemente de todo esto, estoy bastante seguro de que VISA y MasterCard impondrán en algún momento la inclusión de PayPass/Paywave en las nuevas tarjetas emitidas.

Answer 3

No mezcle la seguridad con la RFID. Una tarjeta chip con contacto NO es más o menos segura que una sin contacto. Hay que pensar que la capa de transporte no es segura de ninguna manera. La seguridad está en otra parte: protocolo, criptografía, claves, etc...

Answer 4

Las tarjetas sin contacto EMV (que ahora deberían incluir casi todas las tarjetas de nueva emisión) utilizan un contador de transacciones offline para aumentar la seguridad. Este contador se mantiene dentro de la tarjeta y se incrementa cada vez que la tarjeta confirma una transacción sin contacto.

Al menos algunos emisores utilizan ese contador para limitar el número de transacciones sin contacto antes de que la tarjeta tenga que utilizarse para una transacción con contacto, que normalmente requeriría la verificación del titular mediante la introducción del PIN o la firma.

Esto limita el riesgo al número de transacciones sin contacto permitidas multiplicado por el importe máximo por transacción.

Answer 5

Creo que el contacto es intrínsecamente más seguro. La tarjeta tiene que entrar en el lector. ¿Qué pasaría si un ladrón pudiera sacar dinero de tu cartera simplemente acercando la mano a tu bolsillo? Sin una implementación adecuada de PDOL parece que esto podría ser posible.