Las importantes violaciones de datos a minoristas publicadas recientemente, justo en medio de la temporada de compras navideñas, muestran que la construcción de una fosa cibernética alrededor de las empresas no es suficiente. Los datos en sí tienen que ser asegurados, añadiendo una capa potente de seguridad que pueda derrotar a la mayoría de los intentos por monetizar los datos robados.
Los ladrones de identidad pueden traspasar hasta el firewall más ágil de un minorista. Le pasa a las agencias gubernamentales más seguras. Así que no es sorpresa que les pueda suceder a los comerciantes aun siguiendo las pautas PCI (Payment Card Industry). Así que es el momento de comenzar la partida y asegurar los datos.
PCI ha adoptado el concepto de «Encriptación Punto por Punto» y «Tokenización» para bloquear los datos en sí. Es un concepto simple – cifrar los datos antes de que cualquier software pueda leerlos y no los guarde en el sistema del comerciante.
¿Por qué tienen éxito los ladrones de identidad?
Una manera en que los ladrones de identidad han tenido éxito es mediante la búsqueda de formas inteligentes de traspasar un firewall, por ejemplo, el robo de credenciales bona fide y sembrando malware que intercepte y almacene los datos del tarjetahabiente para después subir los datos robados venciendo así el cifrado de datos de las tarjetas. Por lo tanto, este ejemplo es un recuerdo de la evolución de la seguridad Wi-Fi. Originalmente los datos a través de Wi-Fi eran enviados sin encriptar. Los ladrones comenzaron a “rastrear” y a registrar los datos tratando de cerrar la brecha, inicialmente, mediante la encriptación de datos pero, sin asegurar las claves de cifrado que deben intercambiarse para facilitar la comunicación (WEP). Ese incumplimiento finalmente se cerró en la siguiente ronda de normas de seguridad (WPA / 2), donde se adoptó la criptografía fuerte y el intercambios de claves cifradas.
¿Cómo trabaja la encriptación Point to Point?
PCI está siguiendo un enfoque similar al de la seguridad de datos Wi-Fi. PCI primero recomienda que los datos del tarjetahabiente queden encriptados, antes de que cualquier software pueda leerlos. Los datos cifrados se envían como de costumbre a la puerta de enlace del comerciante o al procesador de pago «solución P2PE», que es el procesador de puerta de enlace que desencripta los datos del titular de la tarjeta antes de enviarlos a través de una conexión segura a las redes de tarjetas (Visa, MasterCard, Discover, American Express). Al igual que en la analogía Wi-Fi, el lector de tarjetas PCI recomienda utilizar TDES (Triple Data Encryption Algorithm) fuertes o criptografía AES (Advanced Encryption Standard) -WPA / 2 utiliza AES- y las tareas del «proveedor de soluciones» P2PE para administrar las claves de cifrado, como lo hacen hoy en día para los dispositivos de entrada de PIN.
¿EMV no resolverá el problema?
EMV (Europay, MasterCard and Visa) va a ayudar, pero no va a resolver por completo el problema. Los ladrones de identidad se dirigen a los comerciantes de Estados Unidos, ya que pueden obtener beneficios económicos de los datos robados de dos maneras: a través de la creación tarjetas duplicadas para su uso en el comercio minorista y utilizando los datos para realizar compras de comercio electrónico en línea. EMV autentifica la tarjeta en el punto de interacción, eliminando la posibilidad de poder duplicar la tarjeta para que no pueda convertirse en una fuente de ingresos para los ladrones de identidad. La capacidad de duplicar fácilmente las tarjetas estadounidenses crea un sesgo para atacar el comercio de Estados Unidos. Una vez que EMV sea utilizado ampliamente en los EE.UU., este sesgo será eliminado. Sin embargo, EMV no elimina la necesidad de pasar datos del titular de la tarjeta de nuevo en el sistema de pago. Así que la necesidad de proteger los datos todavía existirá.
¿Cómo es que las llaves de encriptación brindan seguridad?
PCI recomienda que las claves de cifrado queden inyectadas en una instalación segura y certificada por un proveedor de servicios PCI, lo cual permitirá que se descarguen las claves de manera segura desde el proveedor del servicio P2PE. PCI también recomienda que esas llaves se «roten» cada año, para reducir el riesgo de que los ladrones de identidad obtengan las claves de cifrado. Un método aprobado y más seguro es utilizar la gestión de claves DUKPT (Derived Unique Key Per Transaction). Con DUKPT, el lector de tarjetas calcula una clave de cifrado única para cada transacción de pago para que no sea necesaria la rotación de claves anualmente.