¿Qué es una Banda Magnética?

¿Qué es una Banda Magnética?

Una banda magnética —a menudo llamada magstripe— es la franja negra o marrón en el reverso de una tarjeta de pago que almacena datos en un formato legible por máquina. Cuando la tarjeta se desliza por un lector, este detecta los cambios en el campo magnético a lo largo de la banda y decodifica la información almacenada, incluido el número de tarjeta, el nombre del titular y la fecha de caducidad.

La tecnología de banda magnética se usa en tarjetas de pago desde la década de 1960. Durante décadas fue el método principal para leer los datos de la tarjeta en los terminales de punto de venta. Aunque ha sido sustituida en gran medida por la tecnología de chip EMV y los pagos contactless, la banda magnética sigue presente en la mayoría de las tarjetas como mecanismo de respaldo.

Cómo Funcionan las Bandas Magnéticas

Una banda magnética está compuesta por diminutas partículas magnéticas con base de hierro incrustadas en una película plástica. Los datos se codifican magnetizando esas partículas siguiendo patrones específicos. La banda contiene tres pistas de datos:

• Pista 1 — Contiene el nombre del titular, el número de tarjeta, la fecha de caducidad y el código de servicio. Esta pista usa caracteres alfanuméricos y tiene la mayor densidad de datos
• Pista 2 — Contiene el número de tarjeta, la fecha de caducidad y el código de servicio en formato exclusivamente numérico. Es la pista que leen con más frecuencia los terminales de pago
• Pista 3 — Rara vez se usa en tarjetas de pago. En origen estaba pensada para almacenar datos adicionales, pero en la práctica apenas se utiliza

Cuando deslizas una tarjeta, el cabezal del lector detecta las transiciones magnéticas y las convierte en datos digitales. Esto sucede en una fracción de segundo.

El Problema de Seguridad de las Bandas Magnéticas

La debilidad fundamental de la tecnología de banda magnética es que los datos son estáticos: son los mismos cada vez que se desliza la tarjeta. Esto la hace vulnerable a varios tipos de ataque:

Skimming de tarjetas

Los delincuentes pueden colocar un pequeño dispositivo (un skimmer) en un cajero o un terminal de pago que lee y copia los datos de la banda magnética cuando se desliza una tarjeta. Esos datos copiados pueden luego escribirse en una tarjeta en blanco para crear una falsificación.

Clonado de datos

Como los datos son estáticos, cualquiera que los capture —ya sea mediante skimming, una brecha de datos o una interceptación— puede reproducirlos exactamente. A diferencia de los chips EMV, que generan un código único para cada transacción, una banda magnética proporciona los mismos datos cada vez.

Sin autenticación

Una banda magnética no puede realizar ninguna operación criptográfica. Simplemente almacena datos de forma pasiva. Esto significa que no hay forma de que la tarjeta demuestre que es auténtica: solo que contiene los datos esperados. Una falsificación bien hecha con datos de banda copiados es indistinguible del original.

La Transición a la Tecnología de Chip EMV

Las debilidades de seguridad de la banda magnética impulsaron la migración global a la tecnología de chip EMV (Europay, Mastercard y Visa). Los chips EMV contienen un microprocesador que genera un código criptográfico único para cada transacción, lo que hace que la clonación sea, en la práctica, imposible.

El Reino Unido fue uno de los primeros en adoptar la tecnología de chip y PIN, con un despliegue prácticamente completado en 2006. Hoy en día, en el Reino Unido, la inmensa mayoría de las transacciones presenciales usan la función de chip o contactless: los pases de banda magnética son raros y cada vez más rechazados por los terminales.

Estados Unidos fue mucho más lento en adoptar EMV, y la migración no empezó en serio hasta 2015. Incluso ahora, las transacciones por banda magnética siguen siendo más habituales en EE. UU. que en Europa.

El Fin de la Banda Magnética

Las principales redes de tarjetas han ido planificando la retirada gradual de las bandas magnéticas:

• Mastercard anunció que las tarjetas de nueva emisión ya no estarían obligadas a llevar banda magnética a partir de 2024, con la retirada completa prevista para 2033
• Visa ha tomado medidas similares, con planes para eliminar el requisito de banda magnética en las nuevas tarjetas por fases
• American Express y otras redes están siguiendo el mismo camino

Sin embargo, la banda magnética no desaparecerá de la noche a la mañana. Las tarjetas ya en circulación seguirán llevándola hasta que caduquen, y algunos mercados —en particular EE. UU.— todavía dependen, en cierta medida, de las transacciones por deslizamiento.

Bandas Magnéticas y Pagos Telefónicos

Las bandas magnéticas solo son relevantes para los pagos telefónicos de forma indirecta. El número de tarjeta almacenado en la banda es el mismo que el titular leería o introduciría durante un pago por teléfono. Sin embargo, los pagos telefónicos no implican leer la banda magnética: son transacciones sin presencia de tarjeta (card-not-present) en las que los datos de la tarjeta se comunican verbalmente o mediante el teclado.

Aun así, la lección de seguridad de las bandas magnéticas también se aplica a los pagos telefónicos: los datos estáticos transmitidos en claro son vulnerables. Igual que los skimmers podían copiar los datos de la banda, los canales de voz sin protección podrían exponer los números de tarjeta dictados o tecleados durante una llamada. Precisamente por eso existe el enmascaramiento DTMF: para evitar que los datos de la tarjeta sean capturados en el canal de voz.

PCI DSS y los Datos de la Banda Magnética

PCI DSS tiene reglas específicas sobre los datos de la banda magnética. El contenido completo de la banda magnética (también llamado «datos completos de pista» o full track data) no debe almacenarse nunca después de la autorización, con independencia del cifrado. Esto se aplica incluso si los datos se capturaron con un fin legítimo durante el procesamiento de la transacción: una vez completada la autorización, los datos de pista deben eliminarse de forma segura.

Este requisito existe porque los datos completos de pista contienen todo lo necesario para crear una tarjeta falsificada. Almacenarlos genera un riesgo inaceptable.