Cmo funcionan las tarjetas de pago?

Parte IV: Banda magntica

Continuando con la serie Cmo funcionan las tarjetas de pago?, en esta cuarta entrega se har referencia a la
tecnologa pionera y actualmente ms utilizada en tarjetas de pago, pero a su vez la ms insegura: la banda
magntica (magnetic stripe en ingls).

Historia de la banda magntica

En 1967, las aerolneas tuvieron un espectacular crecimiento. Cada vez las filas para comprar un tiquete o para
abordar eran ms largas y demoradas y por ello se requera la contratacin de ms personal para la atencin al
pblico. Muchos de estos problemas eran causados por la necesidad de registrar cada pasajero manualmente y la
realizacin de cobros en efectivo.
Por otro lado, los bancos tenan un problema similar. Por cada transaccin realizada por un cliente, un asistente tena
que registrar todos los datos de forma manual llevando un libro. Los comercios tambin se vean afectados, ya que
no tenan un medio efectivo que les permitiera gestionar otro tipo de cobros diferentes a los realizados en efectivo.
Los cheques eran el medio empleado por aquella poca, pero implicaban que el comerciante tena que comunicarse
con el banco para verificar la validez de dicho cheque y los tiempos de respuesta y atencin no eran los mejores.
La alternativa que podra dar solucin a este tipo de problemas era aquella que permitiera que el propio usuario
pudiera gestionar su transaccin sin la necesidad de personal asociado al servicio. Con esta premisa, la Divisin de
Sistemas Avanzados de IBM (IBM Advanced Systems Division) desarroll un modelo de tarjeta con una banda
magntica en su parte frontal que contena los datos del cliente, que poda ser leda por un dispositivo especial y que
serva tanto para las aerolneas como para los bancos. Durante el desarrollo de este proyecto se analizaron otras
opciones, tales como cdigos de barras y cintas de papel perforado, pero fueron descartadas debido a su poca
operatividad.

Fuente: IEEE Spectrum magazine

A manera de curiosidad, IBM no patent ni el diseo de la tarjeta ni la mquina para leerla. Sin embargo, el retorno
de la inversin en dicha investigacin se obtuvo ms adelante con la venta de equipos de cmputo vinculados al
procesamiento de la transaccin con tarjetas con banda magntica.
Con el paso del tiempo y por temas estticos la banda magntica se ubic en el anverso de la tarjeta, mientras que
la parte frontal fue utilizada para la impresin de la informacin del titular, del PAN (Primary Account Number) y del
banco emisor.

Estructura de la banda magntica

La banda magntica de una tarjeta de pago emplea el mismo concepto que se usa en los casetes para el registro y
reproduccin de sonido. Est compuesta por partculas magnticas en forma de barras sobre una pelcula de plstico
(poliepxido o resina epoxi).
 Fuente: Wikipedia

Los datos son codificados en dicha cinta dependiendo de la polaridad de cada partcula. Cada bit representa una
longitud definida en la cinta. La presencia o ausencia de un cambio de polaridad en la mitad del bit indica si se trata
de un uno o de un cero.

Cada banda magntica puede contener hasta tres pistas de grabacin, cada una de 2,79mm con separadores entre
ellas. La informacin almacenada en cada pista ha sido estandarizada en los estndares ISO 7813 (TRACK 1 y 2)
e ISO 4909 (TRACK 3).

Cada pista tiene una funcionalidad diferente:

TRACK 1 (IATA)
Usada habitualmente por aerolneas. Actualmente puede ser usada para almacenar datos de tarjetas de pago
bancarias.
CI: Centinela Inicial
CF: Cdigo de formato
PAN: Nmero de cuenta principal de acuerdo con el estndar ISO 7812
CS: Campo separador
Nombre: Nombre del titular de la tarjeta
CS: Campo separador
Datos adicionales: Informacin como fecha de expiracin y cdigo de servicio
Datos discrecionales: informacin como:
(PVKI) PIN Verification Key Indicator
(PVV) PIN Verification Value
(CVV) Card Verification Value
(CVC) Card Validation Code
CF: Centinela final
LRC: Caracter de verificacin de redundancia longitudinal

TRACK 2 (ABA)

Usada para almacenamiento de informacin bancaria.

CI: Centinela Inicial
CF: Cdigo de formato
PAN: Nmero de cuenta principal
CS: Campo separador
Datos adicionales: Informacin como fecha de expiracin y cdigo de servicio
Datos discrecionales: informacin como
(PVKI) PIN Verification Key Indicator
(PVV) PIN Verification Value
(CVV) Card Verification Value
(CVC) Card Validation Code
CF: Centinela final
LRC: Caracter de verificacin de redundancia longitudinal

TRACK 3 (THRIFT)
Reservada para otros usos, incluyendo licencias de conduccin, cuentas de ahorro. Por lo general no es usada y no
es incluida en las bandas magnticas actuales
Informacin como densidad de grabacin, configuracin de caracteres y contenido de cada una de las pistas se
muestra a continuacin:

Otro concepto importante en las bandas magnticas es la coercitividad, que permite medir la resistencia del material
empleado a la desimanacin. Este valor se mide en Oersteds (Oe). Existen dos tipos de bandas magnticas
dependiendo del nivel de coercitividad que usen:
Baja coercitividad (LoCo) 300 Oe: Este tipo de bandas magnticas tienen un color marrn y para su
funcionamiento requieren una cantidad baja de energa magntica para la lectura de datos, por lo que los
lectores de este tipo de bandas suelen ser ms baratos.
Alta coercitividad (HiCo) 2100-4000 Oe: Este modelo por lo general es de color negro. Son ms difciles de
borrar y resistentes, por lo que son usadas en tarjetas que requieren una vida til ms larga. Sin embargo, son
ms costosas al igual que sus lectores.

Funcionamiento de la banda magntica y controles de seguridad asociados

La lectura de una tarjeta se realiza mediante el deslizamiento de la banda magntica a travs de un lector especial
(denominado Electronic data capture (EDC)) a una cierta velocidad. Esto permite la generacin de un fenmeno
denominado induccin magntica, cuyo resultado ser una serie de voltajes que posteriormente sern codificados
a datos binarios.

Fuente: Wikipedia
Por otro lado, en un dispositivo de seguridad independiente denominado PIN PAD se realiza la captura del PIN
(Personal Identification Number). Este PIN es codificado usando diferentes datos como su longitud, sus dgitos, una
parte del PAN y otros dgitos de relleno (padding). Obtenido este dato, es cifrado empleando un algoritmo robusto y
pasa a denominarse PIN Block. Como se describi en el artculo Cmo funcionan las tarjetas de pago? Parte III:
PIN (Personal Identification Number), el PIN no es almacenado en la banda magntica, razn por la cual debe ser
obtenido por otro medio (en este caso, un PIN PAD).
Estos datos en conjunto (banda magntica y PIN cifrado (PIN Block)) son enviados a travs de una lnea de
comunicacin cifrada y dedicada al banco emisor para la validacin de informacin y aprobacin de la transaccin,
cuyo flujo es descrito en el artculo Alguna vez te has preguntado por dnde pasan los datos de tu tarjeta cuando
realizas una compra? Aqu est la respuesta.
Adicionalmente, dentro de la banda magntica se incorporan una serie de valores de seguridad denominados Card
Verification Code (CVC) o Card Verification Value(CVV). Estos valores hacen parte de los campos discrecionales
y estn diseados para proteger la integridad de la informacin almacenada en la banda magntica, as como
garantizar que transaccin es originada desde una tarjeta vlida. Este cdigo es calculado mediante la encriptacin
del PAN (Primary Account Number), la fecha de expiracin y el cdigo de servicio con claves nicamente conocidas
por el banco emisor. En funcin de la marca de tarjeta utilizada, el nombre de este cdigo puede variar:
CAV Card Authentication Value (tarjetas de pago JCB)
CVC Card Validation Code (Tarjetas de pago MasterCard)
CVV Card Verification Value (Tarjetas de pago Visa y Discover)
CSC Card Security Code (Tarjetas de pago American Express)
Sin embargo, si la totalidad de la banda magntica es comprometida (por ejemplo usando skimming, tcnica que se
describir ms adelante), estos valores no tendran ningn efecto operativo real.

Ventajas y desventajas del uso de la tecnologa de banda magntica

Al igual que todas las tecnologas, las bandas magnticas tienen una serie de ventajas y desventajas que se
enumeran a continuacin:
Ventajas:
Los costes operativos de estampacin de una tarjeta con banda magntica y los dispositivos de lectura y de
escritura de banda son relativamente baratos en comparacin con otras tecnologas.
Los dispositivos de lectura y escritura son fciles de instalar y acoplar en cajeros automticos, Terminales de
Punto de Venta (TPV) y otros dispositivos en comercios y entidades financieras.
La tecnologa de banda magntica, al ser la pionera en este campo, es la ms empleada y extendida.
Desventajas:
La banda magntica es susceptible a daos causados por la temperatura, el polvo, rayado, friccin
y/o humedad que pueden alterar la lectura o la imanacin de la cinta. La vida til de una banda magntica es
de unas 300-400 lecturas, despus de lo cual empieza un proceso de deterioro hasta su inutilizacin.
Debido a que la tecnologa radica en el almacenamiento de informacin en un medio magntico, la exposicin
de la banda a magnetos o desmagnetizadores pueden afectar su funcionalidad.
La informacin de la banda magntica se encuentra almacenada en texto claro. No se emplea ningn algoritmo
de cifrado para proteger esta informacin, por lo cual esta tecnologa es susceptible a clonacin empleando
para ello dispositivos porttiles denominados skimmers. Estos dispositivos permiten la lectura y
almacenamiento de bandas magnticas para ser grabadas posteriormente en tarjetas vrgenes.

Fuente: http://www.magencoders.com

Recomendaciones de seguridad en el uso de tarjetas con banda magntica

A continuacin se enumeran algunas recomendaciones de seguridad para usuarios este tipo de tecnologa, con el
fin de minimizar potenciales riesgos con sus tarjetas:
Firmar la tarjeta: cada tarjeta de pago tiene un espacio para la firma del titular. Este es un control de
seguridad para transacciones presenciales que involucran a una persona para que valide la firma contra un
documento de identidad.
Utilice un PIN robusto y protjalo en el momento de ingresarlo cubriendo el teclado con la mano. Evite un
patrn de teclas que pueda ser memorizado por alguien que pueda ver este proceso.
Proteja su recibo: evite tirar el recibo de la transaccin, ya que contiene informacin que puede ser empleada
por un atacante. Si ya no lo necesita, rmpalo de una forma segura.
Vigile siempre su tarjeta cuando se la entrega a otra persona para la realizacin de un pago. Si puede, solicite
el dispositivo TPV y realice usted mismo la lectura de la tarjeta. Esto evitar que personas malintencionadas
lean su tarjeta en skimmers.
Mantenga una lista de sus tarjetas y nmeros telefnicos para bloqueo en caso de robo o prdida. Notifique
inmediatamente a su banco en caso de problemas o dudas.
Revise de forma peridica el saldo de sus tarjetas de pago con el fin de detectar cobros no autorizados.

Cmo se fabrica una tarjeta de pago?

En el siguiente vdeo se describe en detalle el procedimiento de fabricacin y personalizacin de los plsticos,
incluyendo la estampacin y grabacin de datos tanto en la banda magntica como en el chip EMV
(fuente: www.computerhoy.com):

Los datos de la banda magntica y el cumplimiento de PCI DSS

Como se ha explicado previamente, la banda magntica contiene la informacin de la tarjeta de pago que se requiere
para la realizacin de transacciones presenciales (esto es: aquellas transacciones que requieren que el titular de
tarjeta est presente y tenga en su poder el plstico). Esta informacin viene esquematizada de la siguiente forma
empleando el TRACK 1 y el TRACK 2:
TRACK 1

Fuente: Navigating PCI DSS

TRACK 2
 Fuente: Navigating PCI DSS

Como se puede observar, se identifican dos secciones:

OK to store: Se trata de una serie de datos que pueden ser almacenados de forma segura por el comercio o
proveedor de servicio si existe una justificacin de negocio. Dentro de estos datos se encuentran el PAN (que
debe ser almacenado con base en los mtodos indicados en el requerimiento 3.4 de PCI DSS), la informacin
del titular de tarjeta, el cdigo de servicio y la fecha de expiracin.
Violation to store: Estos datos no pueden ser almacenados bajo ningn criterio. Dentro de estos datos se
encuentran los datos discrecionales, los cdigos de verificacin de PIN y el Card Verification Code (CVC) o
Card Verification Value (CVV)
La siguiente tabla describe los tipos de datos de una transaccin con tarjeta de pago y si est permitido su
almacenamiento o no:

Fuente: PCI Data Security Standard

El requerimiento de PCI DSS relacionado con la proteccin de los datos de tarjeta almacenados en la banda
magntica es el 3.2.1:
3.2.1 No almacene contenido completo de ninguna pista de la banda magntica (ubicada en el reverso de la tarjeta,
datos equivalentes que estn en un chip o en cualquier otro dispositivo). Estos datos se denominan alternativamente
pista completa, pista, pista 1, pista 2 y datos de banda magntica.
Siendo as, dentro del proceso de validacin de PCI DSS el comercio o proveedor de servicios debe garantizar que
en sus flujos de negocio no se almacena la banda magntica completa y el PAN se encuentra cifrado (si se requiere).
Con el fin de facilitar esta tarea, se pueden emplear de forma preventiva herramientas informticas para la bsqueda
de esta informacin en medios de almacenamiento, como se describe en el artculo Herramientas Free y Open
Source para la bsqueda de datos de tarjetas de pago en medios de almacenamiento.
Finalmente, en Agosto de 2009 el PCI SSC public el documento Information Supplement: Skimming Prevention
Best Practices for Merchantsen el cual describe los ataques que puede realizar personal malintencionado contra
los dispositivos de lectura de tarjetas y analiza en detalle los controles fsicos, lgicos y administrativos a ser
implementados para minimizar este riesgo.
Referencias