Blogs

La criptografía en el mundo financiero

Martes 02 de septiembre de 2014

Aunque la Banca comienza a usar la criptografía por la obligatoriedad impuesta por las marcas franquiciadoras de Medios de Pago (para el uso del código PIN en las tarjetas de crédito) es a partir del año 2000, con la creación del consorcio EMV (Europey Mastercard, Visa), cuando se impulsa el uso del cifrado asimétrico. Es entonces cuando se plantea la sustitución de las tarjetas de banda magnética por otras criptográficas con chip, aprovechando la capacidad de cálculo de éstas como medio confiable para la autenticación del titular.



El objetivo perseguido por la Banca con la utilización de estas nuevas smart-cards, no ha sido otro que el de fortalecer el uso del dinero de plástico, mitigar los riesgos de fraude detectados en las tarjetas de banda magnética, y acabar con la extorsión de las organizaciones delictivas. Éstas últimas, habían conseguido especializarse en vulnerar la tecnología de las tarjetas de banda magnética que, hasta ese momento, se había considerado segura.

Así mismo, en esta década, la Banca abandona la utilización del cifrado basado en algoritmo DES, que queda descatalogado, sustituyéndolo por el algoritmo 3DES, considerado como un algoritmo de cifrado seguro por la comunidad científica y matemática.

Frente a la simple verificación del código PIN que venía realizando la banca, que tan sólo utilizaba criptografía como protección durante el transporte de la información, el uso de tarjetas EMV ha supuesto el intercambio de criptogramas entre la propia tarjeta chip y el Banco emisor de la tarjeta. Ello ha contribuido a disparar la demanda de cálculo criptográfico para procesar cada una de las transacciones realizadas con estas nuevas tarjetas, al tiempo que ha impulsado que la Banca haya tenido que implantar sistemas criptográficos hardware más potente y con certificaciones FIPS 140 2 Level 3 para sus centros autorizadores de tarjetas.

A lo anterior debemos añadir las exigencias establecidas por las Normas de Seguridad de Datos de la Industria de Pago Estándar, Normativa PCI, surgida por el acuerdo de las marcas franquiciadoras de Medios de Pago, (VISA, Mastercard, American Express etc.). Dichas imposiciones obligan a las entidades, comercio y empresas de servicios vinculadas a los Medios de Pago a cumplir con toda una serie de requerimientos de seguridad para proteger los datos de los titulares de tarjetas de crédito. Dentro de esas medidas de seguridad se encuentra el cifrado de los datos de los titulares cuando éstos sean transferidos entre departamentos dentro de la propia organización o a terceros.

Aunque la Normativa PCI no determina específicamente el tipo de algoritmo de cifrado a utilizar, ni tampoco hace alusión a sí el cifrado debe de realizarse por hardware (HSM) o por software, sí fija la fortaleza que ha de tener. Esto supone un avance en cuanto al uso de los sistemas de cifrado para proteger y custodiar los datos de los titulares y así evitar los riesgos de fraude por el uso indebido de los mismos.

Otros posts.
Evolución de la criptografía y sus ámbitos de aplicación durante la última década