¿Qué es el Chip EMV?

¿Qué es un chip EMV?

Un chip EMV es un pequeño microprocesador embebido en una tarjeta de pago que genera un código único para cada transacción. EMV son las siglas de Europay, Mastercard y Visa, las tres empresas que desarrollaron originalmente el estándar. Hoy, la especificación EMV la gestiona EMVCo y la utilizan todas las principales redes de tarjetas del mundo.

A diferencia de la antigua tecnología de banda magnética, que guarda datos estáticos que pueden copiarse y reutilizarse, el chip EMV crea datos de transacción dinámicos y de un solo uso. Eso hace extremadamente difícil que los delincuentes clonen una tarjeta con chip y la usen para compras fraudulentas.

Cómo funciona la tecnología de chip EMV

Cuando un cliente introduce su tarjeta con chip en un terminal de pago (o la acerca para contactless), el chip se comunica directamente con el terminal mediante una serie de intercambios cifrados. Esto es lo que ocurre:

• Autenticación de la tarjeta: el terminal lee el chip y verifica que es una tarjeta auténtica e inalterada usando claves criptográficas almacenadas en el chip.
• Verificación del titular: el sistema confirma que la persona que usa la tarjeta está autorizada a hacerlo. Esto puede implicar introducir un PIN, firmar o, simplemente, acercar la tarjeta (en transacciones contactless de bajo importe).
• Autorización de la transacción: el chip genera un criptograma único, un código de un solo uso específico de esa transacción. Ese código se envía al banco emisor junto con los detalles de la transacción. Como el criptograma es único, no puede reutilizarse aunque se intercepte.

Este proceso de tres pasos es lo que hace al EMV significativamente más seguro que la tecnología de banda magnética. Cada transacción produce un conjunto de datos único que carece de valor para quien lo capture después.

EMV frente a banda magnética

La banda magnética almacena los mismos datos cada vez que se desliza la tarjeta. Si un delincuente copia esos datos —con un skimmer en un cajero, por ejemplo— puede crear una tarjeta falsificada que funciona exactamente igual que la original. Este tipo de fraude era rampante antes de la adopción del EMV.

Los chips EMV eliminaron esa vulnerabilidad al hacer los datos dinámicos. Aunque alguien capture los datos de una transacción con chip, no puede usarlos para hacer otra compra porque el criptograma ya se ha usado y será rechazado si se presenta de nuevo.

El paso de la banda magnética al EMV ha sido una de las mayores reducciones del fraude con tarjeta presente en la historia de los pagos con tarjeta. Los países que adoptaron EMV pronto —como el Reino Unido y buena parte de Europa— vieron caer en picado el fraude por falsificación de tarjetas.

El traspaso de responsabilidad

Para impulsar la adopción, las redes de tarjetas introdujeron un traspaso de responsabilidad (liability shift). Antes del EMV, si se usaba una tarjeta falsificada en una transacción fraudulenta, el banco emisor solía asumir la pérdida. Después de la fecha del traspaso, si un comercio no tiene un terminal con capacidad EMV y se usa una tarjeta falsificada con chip, la responsabilidad recae en el comercio.

Esto dio a los comercios un fuerte incentivo económico para actualizar sus terminales. En el Reino Unido y en Europa, el traspaso ocurrió a mediados de la década de los 2000. En Estados Unidos entró en vigor en octubre de 2015. El resultado ha sido una adopción casi universal de los terminales EMV en los puntos de venta físicos.

EMV y transacciones sin presencia de tarjeta

La tecnología EMV está diseñada para escenarios con presencia de tarjeta, en los que la tarjeta física se introduce o se acerca a un terminal. No protege directamente las transacciones sin presencia de tarjeta (CNP), que incluyen los pagos online, los pagos por correo y los pagos telefónicos.

Esta es una distinción importante. A medida que el EMV ha hecho mucho más difícil el fraude con tarjeta presente, los delincuentes han desplazado su atención hacia los canales CNP. Los pagos telefónicos, en particular, son un objetivo porque la tarjeta física no interviene y las protecciones de EMV no aplican. Por eso son esenciales otras medidas de seguridad —como el enmascaramiento DTMF, la tokenización y 3D Secure— para proteger las transacciones CNP.

Contactless y EMV

Los pagos contactless utilizan la misma tecnología subyacente de chip EMV, pero se comunican mediante NFC (near-field communication) en lugar de contacto físico con el terminal. El chip sigue generando un criptograma único para cada transacción, manteniendo el mismo nivel de seguridad que una operación de chip y PIN.

Los límites de transacción contactless varían según el país y la red de tarjetas. En el Reino Unido, el límite actual es de 100 GBP por transacción. Las operaciones por encima de ese importe requieren verificación con chip y PIN.

Adopción global

El EMV es ahora la tecnología de tarjeta de pago dominante en todo el mundo. Según EMVCo, más del 90 % de las transacciones con tarjeta presente a nivel global usan tecnología de chip EMV. El Reino Unido y Europa lideraron la adopción a principios de los 2000, seguidos de Asia-Pacífico, Latinoamérica y, por último, Norteamérica.

La banda magnética no ha desaparecido por completo —muchas tarjetas siguen incluyéndola por compatibilidad— pero está en proceso de retirada. Varias redes han anunciado planes para dejar de exigir banda magnética en las nuevas tarjetas, con Mastercard apuntando a 2029 para su retirada total.

Variantes y especificaciones del chip EMV

No todos los chips EMV son idénticos. La especificación EMV admite múltiples tecnologías de chip y métodos de comunicación:

• Chips de contacto: la pastilla dorada visible en el anverso de la mayoría de las tarjetas. La tarjeta tiene que introducirse físicamente en el terminal, haciendo contacto con los conectores metálicos que leen el chip.
• Chips de doble interfaz: la mayoría de las tarjetas modernas incluyen tanto un chip de contacto como una antena NFC, lo que admite pagos por inserción y por contactless. El mismo chip gestiona ambos métodos.
• Chip y PIN: el estándar en el Reino Unido y Europa, en el que el titular introduce un PIN de cuatro dígitos para verificar su identidad durante una transacción con chip.
• Chip y firma: utilizado en algunos mercados (sobre todo en el despliegue temprano de Estados Unidos), donde el titular firma un recibo en lugar de introducir un PIN. Ofrece menos seguridad que el chip y PIN.

La especificación EMV la mantiene EMVCo, un consorcio propiedad conjunta de las seis principales redes de tarjetas: Visa, Mastercard, American Express, Discover, JCB y UnionPay. Las actualizaciones periódicas de la especificación abordan nuevas amenazas de seguridad y dan soporte a nuevas tecnologías de pago.