Perspectivas de Wallester: PSD2 y cumplimiento estricto de autenticación de clientes

Cualquier software debe incluir herramientas de autenticación para garantizar su credibilidad y facilidad de uso entre diferentes audiencias. Se ha convertido en un componente crucial de la arquitectura de seguridad y protección, y su papel difícilmente puede subestimarse en la industria FinTech. Con varias transacciones de comercio electrónico ocurriendo cada segundo, este mercado es propenso a enfrentar más amenazas de fraude y lavado de dinero. Desde esta perspectiva, elegir un servicio de emisión de tarjetas que cumpla con los estándares de autenticación y ciberseguridad de alta gama es más que una simple recomendación.

Ahí es donde entran las regulaciones de PSD2. Estén atentos para entender el verdadero significado del término y el papel de su impacto en el entorno financiero de cualquier negocio. ¡Adelante!

Técnicas de clonación mejoradas

Actualmente, la autorización en tiempo real de tarjetas EMV clonadas sigue siendo una tarea inviable. La extracción de claves criptográficas esenciales para generar criptogramas de pago sigue siendo difícil de alcanzar tanto para los actores maliciosos como para los investigadores diligentes. Sin embargo, es crucial reconocer que existen métodos alternativos para crear réplicas de tarjetas funcionales:

Uno de esos métodos empleados por los delincuentes consiste en inscribir el valor equivalente de Track2 en la banda magnética. Al duplicar la información presente en la banda magnética de una tarjeta, conocida como Track2 Equivalent, esta técnica sirve como parámetro para la identificación de la tarjeta dentro de los sistemas del módulo de seguridad de hardware (HSM) y otros subsistemas dedicados responsables del procesamiento de la tarjeta.

En consecuencia, las personas malintencionadas ocasionalmente emplean este ataque al incorporar datos equivalentes a Track2 en una banda magnética, lo que les permite ejecutar transacciones fraudulentas, ya sea como transacciones típicas de banda magnética o utilizando el modo de respaldo técnico. Los skimmers, dispositivos diseñados específicamente para extraer dichos datos de los cajeros automáticos, se usan comúnmente en estos casos.

Para duplicar transacciones, los perpetradores pueden recurrir al empleo de los ataques EMV Pre-play y Re-play. El ataque Re-play se centra en eludir mecanismos diseñados para garantizar la singularidad de cada transacción y criptograma. Al explotar esta vulnerabilidad, los atacantes pueden "clonar" transacciones para uso futuro sin necesidad de poseer la tarjeta original. En los casos en que un terminal comprometido genere el mismo campo UN (Número impredecible), un criptograma obtenido de la tarjeta con un valor UN predecible se puede reutilizar un número ilimitado de veces.

Incluso en días posteriores, los atacantes pueden enviar información sobre un criptograma antiguo con la solicitud de autorización marcada con la fecha del día anterior. El esquema Pre-play cobra relevancia cuando un terminal comprometido genera una ONU predecible en lugar de una idéntica. En tales escenarios, un atacante, al acceder físicamente a la tarjeta, puede clonar múltiples transacciones para uso futuro. Sin embargo, a diferencia del ataque inicial, cada transacción solo se puede usar una vez en este escenario particular.

Relacionado: Cumplimiento de PCI de WooCommerce: ¡Todo lo que necesita saber!

PSD2: definición, influencia y objetivos

Desde que se publicó la primera Directiva de Servicios de Pago en 2007, el mercado ha sufrido cambios y modificaciones drásticos. El avance de las tecnologías y el auge de los pagos online también muestran la otra cara de la moneda. Los nuevos modelos comerciales a menudo vienen con políticas no reguladas, mientras que el desarrollo de la economía API contribuye al aumento constante del nivel de fraude en Europa.

En pocas palabras, PSD2 es un conjunto de estándares y leyes que debe seguir cualquier servicio de pago para poder funcionar en la UE y el EEE. Esta política asegura las transacciones basadas en Internet y fortalece el entorno económico tanto en la teoría como en la práctica.

Aquí hay algunas características que distinguen a PSD2 de otras normas financieras:

• Hace que la emisión de tarjetas sea más transparente, ya que se vuelve obligatorio para los proveedores de servicios que cumplan con los requisitos revelar públicamente su información financiera. Al mismo tiempo, esta innovación ayuda a los nuevos jugadores a ser competitivos y ofrecer sus soluciones a la par de organizaciones bien establecidas.
• PSD2 ha establecido licencias para soluciones de emisión de tarjetas. Por un lado, permite a las empresas que ofrecen este tipo de servicios en la UE demostrar su fiabilidad y credibilidad, a pesar de tener menos experiencia. Por otro lado, este método también es eficiente para el público objetivo, ya que les permite elegir fácilmente la mejor institución emisora ​​y procesadora de tarjetas.
• PSD2 viene de la mano con una sólida autenticación del cliente. La autenticación de dos factores y medios similares respaldan la mayor parte de los pagos en línea y sirven como una capa de protección adicional para tales operaciones financieras. Hay una pequeña laguna en esta directiva. Cuando una de las partes comprometidas no se encuentra dentro del EEE, no debería obligar al requisito de implementar el llamado SCA.

A partir de 2022, se esperaba que más de quinientos millones de personas realizaran compras en línea en Europa. Es probable que esta tasa aumente aún más. La copia de seguridad de una cantidad tan grande de transacciones mediante servicios compatibles con PSD2 seguramente traerá beneficios a largo plazo.

La Directiva de Servicios de Pago Revisada (PSD2)

Todos los países del mundo tienen sus propias recomendaciones con respecto a los límites Sin CVM (Método de verificación del titular de la tarjeta), que se aplican cuando no se requiere la verificación del pagador. Esto se conoce comúnmente como el esquema Tap & Go. Por ejemplo, dentro del Espacio Económico Europeo, existe un límite de transacción recomendado de 50 €.

Si bien las tiendas y los bancos adquirientes tienen la libertad de establecer sus propios límites para las terminales, también asumen los riesgos asociados al fraude No CVM. Es por esto que no todos los bancos o comercios pueden optar por establecer límites superiores a la media, ya que podría atraer a un mayor número de estafadores.

Una estafa frecuente que involucra tarjetas sin contacto robadas es aprovechar el esquema Tap & Go al realizar múltiples transacciones dentro de los límites de No CVM. Los sistemas antifraude rara vez intervienen para bloquear tales transacciones. Algunos estafadores audaces incluso han encontrado cajeros dispuestos a dividir un billete grande en varias transacciones más pequeñas, como £ 30 cada una, eludiendo efectivamente las restricciones.

Combatir estas actividades fraudulentas

Para combatir estas actividades fraudulentas, la Unión Europea ha introducido un conjunto de nuevas regulaciones conocidas como la Directiva de Servicios de Pago, versión 2 (PSD2). Estas regulaciones incluyen requisitos específicos con respecto a la frecuencia de verificación del pagador. A partir de 2020, los bancos emisores deben imponer límites al número de transacciones por debajo del umbral Tap & Go. Deben realizar un seguimiento del importe total gastado y solicitar un PIN cada cinco transacciones o cuando el titular de la tarjeta alcanza el equivalente al importe máximo en cinco transacciones Tap & Go, como 250 euros.

MasterCard y Visa brindan dos alternativas para transacciones que exceden los límites de Tap & Go: límites flexibles y límites estrictos. La mayoría de los países siguen el esquema de límites blandos, que requiere una verificación adicional del pagador, como una firma o un PIN en línea, para pagos que superen el límite establecido. Sin embargo, el Reino Unido opera bajo el esquema Hard Limits, que exige el uso de una tarjeta con chip para pagos que excedan los límites de 'Tap & Go'. Es importante tener en cuenta que este escenario no se aplica a las billeteras móviles, ya que tienen límites separados.

Los expertos en seguridad han realizado pruebas para evaluar la efectividad de estas reglas y explorar posibles formas de eludirlas utilizando vulnerabilidades conocidas públicamente o variaciones recién descubiertas. Los resultados revelaron que los piratas informáticos que poseían tarjetas robadas y un terminal personalizado podían realizar pagos en tiendas regulares que superaban los límites predeterminados restableciendo estos límites utilizando su terminal comprometido.

Trabajar con plataformas de emisión de tarjetas profesionales: Edición Wallester

La cantidad y variedad de servicios que siguen las normas de PSD2 siguen aumentando, lo que es una oportunidad perfecta para que las empresas encuentren el mejor ajuste estratégico y económico para sus necesidades y objetivos. Al cooperar con Wallester, usted decide qué tarjetas de crédito y débito son seguras para usar en la UE con fines de comercio electrónico. Con tecnologías SCA avanzadas como 3D Secure, verificación biométrica, PIN y otras, usted da un paso proactivo hacia el establecimiento de un entorno financiero fiable y creíble para los posibles usuarios de sus servicios.

La cantidad y la regularidad de los procedimientos de SCA están determinadas por varios factores, desde el comportamiento y los hábitos de compra de su audiencia hasta el tipo de comerciante que es usted.

La lista de limitaciones y verificaciones típicas incluye lo siguiente:

• El sistema restringirá la cantidad disponible de pagos sin contacto y requerirá que los usuarios finales ingresen un PIN cuando se alcance el límite.
• El servicio verifica los pagos si exceden la cantidad máxima de dinero a gastar por compra o por compras en línea en general.

Los criterios antes mencionados dependen también de su propia normativa. Wallester permite a los clientes configurar restricciones de rendimiento personalizadas al emitir el tipo y la cantidad de tarjetas deseados, visite su sitio web https://wallester.com.

Relacionado: Automatización del cumplimiento de HIPAA con DevOps | ¡Todo lo que necesitas saber!

Envuélvelo

Si bien las tarjetas bancarias sin contacto ofrecen comodidad, también poseen vulnerabilidades que los estafadores pueden aprovechar. Los modos heredados y la utilización de bandas magnéticas presentan riesgos de seguridad, lo que permite a los atacantes clonar tarjetas y manipular datos de transacciones. A pesar de estos riesgos, los bancos continúan admitiendo métodos de pago obsoletos por varias razones, incluida la compatibilidad, los costos asociados, la adopción del usuario y la aceptación internacional.

Además, los métodos de verificación del titular de la tarjeta se pueden eludir y el esquema Tap & Go es susceptible de abuso. Aunque se han introducido regulaciones como PSD2 para combatir el fraude, aún se pueden eludir los límites utilizando terminales comprometidos. Los avances continuos en la seguridad de los pagos son cruciales para abordar estos desafíos de manera efectiva.

Si desea garantizar la salud y el estado de su empresa a largo plazo, es mejor cuidar su cumplimiento con las últimas normas y reglamentos ahora. Gracias a soluciones como Wallester, no tiene que preocuparse por cómo implementar los estándares PSD2 y SCA; se hace por usted de forma predeterminada.