La seguridad en las redes de cajeros automáticos
Tecnología de encriptación, un elemento de seguridad
El cajero automático es un elemento familiar en la vida diaria de los españoles. Se trata del medio más utilizado, no solamente para conseguir efectivo, sino también para relacionarse con sus entidades financieras. Cada día, más de tres millones de españoles acceden a un cajero automático, retirando unos 300 millones diarios de euros en efectivo.
El hecho de que en los cajeros haya dinero físico les ha convertido desde el principio en objeto de deseo para la delincuencia, pero también lo son las tarjetas, los números secretos de los usuarios y las claves que cifran la información sensible que viaja entre el cajero y los centros autorizadores. Son piezas que, usadas de forma fraudulenta, pueden proporcionar también dinero en efectivo.
La delincuencia alrededor de los cajeros automáticos ha ido evolucionando de acuerdo con los tiempos. Actualmente nos enfrentamos a tres tipos básicos de ataques:
• Ataques físicos: encaminados simplemente al “asalto” de las cajas fuertes y el acceso al dinero físico.
• Robo de tarjetas: encaminados no a robar el cajero, sino las tarjetas de los usuarios y sus números secretos.
• Robo de información: dirigidos no a robar nada físicamente, sino información sensible manejada en las redes de cajeros, datos de tarjetas, claves de cifrado…
Sin embargo, es notable destacar que el número de delitos con violencia alrededor de los cajeros es bajo, y los usuarios tienen una percepción de gran seguridad en su uso. Frente a estas amenazas, las entidades fi nancieras no han escatimado recursos para conseguir aumentar la seguridad de los usuarios de cajeros y minimizar el asalto físico a los mismos.
Ante el ataque físico, la defensa ha sido el reforzamiento de las cajas fuertes de los cajeros y la progresiva sofisticación de los sistemas de alarmas, capaces de detectar vibraciones o ruidos sospechosos.
Algunos fabricantes disponen, además, de soluciones para el “manchado de billetes”, que, en el caso de detectar un ataque físico al cajero, pueden hacer explotar unas pequeñas bombas de tinta que manchan los billetes por ambas caras, dejándolos inutilizados.
Los asaltos “tecnológicos”, por el contrario, no tratan de hacerse con el dinero, sino con la tarjeta del usuario o con la información almacenada en la misma y con su número secreto. Con estos datos, los delincuentes tienen la información sufi ciente para hacer duplicados y dedicarse a realizar compras fraudulentas o reintegros en los cajeros.
El medio utilizado por los delincuentes para hacerse con la tarjeta o con la información almacenada es mediante la colocación de mecanismos y dispositivos en los cajeros.
La lucha contra este nuevo tipo de ataque se ha basado en la detección de estos mecanismos. Los cajeros comienzan a incorporar sensores muy sofisticados que detectan la presencia de estos artilugios provocando la correspondiente intervención y “limpieza” de cualquier elemento fraudulento en el cajero.
El otro tipo de asalto tecnológico, el robo de información, viene dado por el acceso a los canales de comunicación utilizados en los cajeros automáticos y a las claves empleadas para encriptar la información. A este respecto toman gran importancia el desarrollo existente en la tecnología de encriptación de datos y la implementación de procedimientos “seguros” de control y transmisión de información clave.
Los dispositivos de los cajeros automáticos se comunican entre sí mediante información cifrada, previniendo los ataques que pudieran venir por la existencia de “virus” o espías de línea.
El cifrado asimétrico con algoritmos tipo RSA comienza a implantarse en las redes de cajeros. Este sistema se basa en el uso de un par de claves, una pública y otra privada, de manera que el emisor cifra la información con la clave pública del receptor, siendo imposible descifrarlo si no se utiliza la clave privada, solamente conocida por el usuario.
Los dispositivos de cifrado del cajero, EPP, en lo que se refi ere a la encriptación de la información y al almacenamiento de las claves están fabricados de tal forma que cualquier manipulación o intento de acceso provoca la destrucción de la información contenida en su interior.
El uso de estos sistemas de cifrado asimétrico y encriptación hace que todo el sistema de cifrado de información en las redes de cajeros sea virtualmente inviolable: ni los programadores ni los técnicos de campo ni personal de las entidades tienen, de esta forma, acceso a los números secretos de los usuarios ni a las claves utilizadas para manejar la información.
Sin lugar a dudas, hay que reconocer el esfuerzo que las entidades propietarias de los cajeros y las emisoras de tarjetas están realizando en su lucha contra el fraude, una batalla sin descanso que se ve reforzada por los fabricantes de cajeros automáticos, que dedican sus inversiones a diseñar máquinas más seguras.
Como complemento, las empresas emisoras de tarjetas Europay, Mastercard y Visa se han unido en el desarrollo de un complejo proyecto para incrementar la seguridad de las tarjetas de crédito/débito. El estándar EMV (Europay, Mastercard y Visa) proporciona nuevas funcionalidades en las tarjetas de crédito y débito; y, sobre todo, introduce nuevos medios para luchar contra el fraude en las transacciones que se realicen en cajeros automáticos y comercios. Las nuevas tarjetas EMV tendrán, además de la banda magnética, un chip. Se trata de tecnologías que, utilizadas conjuntamente, refuerzan la consistencia de los datos almacenados, garantizando al máximo la seguridad de las tarjetas.
Juan Muñoz, consejero delegado Wincor Nixdorf España
El hecho de que en los cajeros haya dinero físico les ha convertido desde el principio en objeto de deseo para la delincuencia, pero también lo son las tarjetas, los números secretos de los usuarios y las claves que cifran la información sensible que viaja entre el cajero y los centros autorizadores. Son piezas que, usadas de forma fraudulenta, pueden proporcionar también dinero en efectivo.
La delincuencia alrededor de los cajeros automáticos ha ido evolucionando de acuerdo con los tiempos. Actualmente nos enfrentamos a tres tipos básicos de ataques:
• Ataques físicos: encaminados simplemente al “asalto” de las cajas fuertes y el acceso al dinero físico.
• Robo de tarjetas: encaminados no a robar el cajero, sino las tarjetas de los usuarios y sus números secretos.
• Robo de información: dirigidos no a robar nada físicamente, sino información sensible manejada en las redes de cajeros, datos de tarjetas, claves de cifrado…
Sin embargo, es notable destacar que el número de delitos con violencia alrededor de los cajeros es bajo, y los usuarios tienen una percepción de gran seguridad en su uso. Frente a estas amenazas, las entidades fi nancieras no han escatimado recursos para conseguir aumentar la seguridad de los usuarios de cajeros y minimizar el asalto físico a los mismos.
Ante el ataque físico, la defensa ha sido el reforzamiento de las cajas fuertes de los cajeros y la progresiva sofisticación de los sistemas de alarmas, capaces de detectar vibraciones o ruidos sospechosos.
Algunos fabricantes disponen, además, de soluciones para el “manchado de billetes”, que, en el caso de detectar un ataque físico al cajero, pueden hacer explotar unas pequeñas bombas de tinta que manchan los billetes por ambas caras, dejándolos inutilizados.
Los asaltos “tecnológicos”, por el contrario, no tratan de hacerse con el dinero, sino con la tarjeta del usuario o con la información almacenada en la misma y con su número secreto. Con estos datos, los delincuentes tienen la información sufi ciente para hacer duplicados y dedicarse a realizar compras fraudulentas o reintegros en los cajeros.
El medio utilizado por los delincuentes para hacerse con la tarjeta o con la información almacenada es mediante la colocación de mecanismos y dispositivos en los cajeros.
La lucha contra este nuevo tipo de ataque se ha basado en la detección de estos mecanismos. Los cajeros comienzan a incorporar sensores muy sofisticados que detectan la presencia de estos artilugios provocando la correspondiente intervención y “limpieza” de cualquier elemento fraudulento en el cajero.
El otro tipo de asalto tecnológico, el robo de información, viene dado por el acceso a los canales de comunicación utilizados en los cajeros automáticos y a las claves empleadas para encriptar la información. A este respecto toman gran importancia el desarrollo existente en la tecnología de encriptación de datos y la implementación de procedimientos “seguros” de control y transmisión de información clave.
Los dispositivos de los cajeros automáticos se comunican entre sí mediante información cifrada, previniendo los ataques que pudieran venir por la existencia de “virus” o espías de línea.
El cifrado asimétrico con algoritmos tipo RSA comienza a implantarse en las redes de cajeros. Este sistema se basa en el uso de un par de claves, una pública y otra privada, de manera que el emisor cifra la información con la clave pública del receptor, siendo imposible descifrarlo si no se utiliza la clave privada, solamente conocida por el usuario.
Los dispositivos de cifrado del cajero, EPP, en lo que se refi ere a la encriptación de la información y al almacenamiento de las claves están fabricados de tal forma que cualquier manipulación o intento de acceso provoca la destrucción de la información contenida en su interior.
El uso de estos sistemas de cifrado asimétrico y encriptación hace que todo el sistema de cifrado de información en las redes de cajeros sea virtualmente inviolable: ni los programadores ni los técnicos de campo ni personal de las entidades tienen, de esta forma, acceso a los números secretos de los usuarios ni a las claves utilizadas para manejar la información.
Sin lugar a dudas, hay que reconocer el esfuerzo que las entidades propietarias de los cajeros y las emisoras de tarjetas están realizando en su lucha contra el fraude, una batalla sin descanso que se ve reforzada por los fabricantes de cajeros automáticos, que dedican sus inversiones a diseñar máquinas más seguras.
Como complemento, las empresas emisoras de tarjetas Europay, Mastercard y Visa se han unido en el desarrollo de un complejo proyecto para incrementar la seguridad de las tarjetas de crédito/débito. El estándar EMV (Europay, Mastercard y Visa) proporciona nuevas funcionalidades en las tarjetas de crédito y débito; y, sobre todo, introduce nuevos medios para luchar contra el fraude en las transacciones que se realicen en cajeros automáticos y comercios. Las nuevas tarjetas EMV tendrán, además de la banda magnética, un chip. Se trata de tecnologías que, utilizadas conjuntamente, refuerzan la consistencia de los datos almacenados, garantizando al máximo la seguridad de las tarjetas.
Juan Muñoz, consejero delegado Wincor Nixdorf España
