El protocolo WEP no se usará más para transacciones por sus enormes fallos de seguridad

as empresas más grandes de tarjetas de crédito formaron en el año 2006 una organización que se encargó de crear y mantener actualizado un "Estándar de Seguridad de Datos para la Industria de Tarjeta de Crédito" (en inglés, PCI Security Standards Council - PCI SSC). En Europa este estándar es manejado por la European Payment Council (EPC).

El principal motivo para crear estas organizaciones fue prevenir los fraudes y la clonación de tarjetas, además de hallar soluciones para minimizar las vulnerabilidades y amenazas diversas que afectan este mercado.

En un artículo que publicáramos anteriormente, hacíamos referencia a los protocolos de cifrado para redes inalámbricas tales como WEP, WPA y WPA2. Del primero se conocen múltiples vulnerabilidades, todas ellas divulgadas en Internet.

El primero de octubre, la PCI SSC publicó la versión 1.2 de los Estándares de Seguridad para Datos (DSS - Data Security Standard), en los cuales una de las medidas establece la fecha límite para el uso del protocolo WEP (Wired Equivalent Privacy), por parte de las instituciones que realicen transacciones financieras relacionadas.

Específicamente en el apartado 2.1.1, se establece que debe utilizarse encriptación avanzada tanto para autorización como para transmisión de datos. También establece que los dispositivos deben ser actualizados para cumplir con los estándares establecidos.

Hoy en día muchas cadenas de tienda utilizan este protocolo para interconectar diferentes terminales de puntos de venta. De acuerdo con los estatutos que se manejan, si un comercio estuviera en falta con respecto a estos estándares, se le retiraría el permiso para trabajar con tarjetas de crédito.

Después de marzo de 2009 no podría instalarse ningún sistema que utilice WEP, y para mitad del año 2010 estaría prohibido el uso de este protocolo vulnerable en cualquier transacción con tarjeta de crédito.

Se ha constatado que las compañías más vulneradas son aquellas que no habrían implementado los sistemas de cifrado pertinentes, o que utilicen algún dispositivo con un fallo de carácter público.

Desde el año 2004 existe WPA (Wi-Fi Protected Access) y su siguiente versión, el WPA2, los cuales corrigen muchos fallos de seguridad de su predecesor, además de cifrar de una manera más compleja y segura una señal inalámbrica.