Caso YesCard: Serge Humpich y el algoritmo que rompió la banca

El 1 de mayo de 2026 no es una fecha cualquiera para la comunidad de la ciberseguridad global. Se cumplen exactamente veinticinco años desde que el ecosistema digital francés —y por extensión, el mundial— terminara de procesar el trauma de lo que hoy conocemos como el Caso YesCard. Con el lanzamiento de un podcast retrospectivo de alto perfil y una serie de documentos desclasificados, la figura de Serge Humpich vuelve a emerger no como la de un criminal común, sino como la de un visionario que, armado con una curiosidad insaciable y una computadora personal, desmanteló la ilusión de invulnerabilidad de un sistema bancario nacional.

La Génesis del Caso YesCard: El Mito de la Seguridad Absoluta

Para entender la magnitud del Caso YesCard, debemos transportarnos a la Francia de finales de los años 90. En aquel entonces, el país era pionero en el uso de tarjetas con microchip (la carte à puce), una tecnología que prometía erradicar el fraude de las tarjetas de banda magnética. El sistema era gestionado por el Groupement des Cartes Bancaires (GIE CB), un consorcio de 175 instituciones financieras que aseguraba que su algoritmo de cifrado, el B1, era matemáticamente “inviolable”.

Sin embargo, Serge Humpich, un ingeniero electrónico con una paciencia monacal, sospechaba lo contrario. En 1997, Humpich adquirió un terminal de pago usado de un comerciante quebrado y, durante meses, se dedicó a realizar ingeniería inversa. Su objetivo no era el enriquecimiento ilícito, sino resolver un rompecabezas matemático que los expertos de la banca daban por cerrado.

El Algoritmo B1: La Vulnerabilidad de los 320 bits

El núcleo técnico del Caso YesCard reside en el algoritmo B1, una implementación del protocolo RSA que utilizaba una clave de cifrado de apenas 96 dígitos decimales (aproximadamente 320 bits). En aquella época, las instituciones financieras creían que factorizar un número de tal magnitud requería una potencia de cálculo inalcanzable para un individuo. Humpich demostró que estaban trágicamente equivocados.

• Factorización de Claves: Humpich utilizó su computadora personal para factorizar el módulo n (el producto de dos números primos grandes p y q) utilizado para firmar las transacciones.
• Poder de Procesamiento: Aunque hoy 320 bits parecen insignificantes frente a los estándares modernos de 2048 o 4096 bits, en 1998 representaba la frontera de lo que una CPU doméstica podía manejar tras meses de cálculo continuo.
• La Firma Digital: Al obtener la clave privada, Humpich pudo generar firmas digitales legítimas que el terminal de pago aceptaba como auténticas, validando así cualquier tarjeta fabricada por él.

¿Cómo Funcionaba la YesCard? Anatomía de un Engaño Perfecto

El nombre “YesCard” no es una denominación técnica, sino una descripción de su comportamiento. El dispositivo consistía en una tarjeta inteligente clonada o fabricada manualmente que contenía un microcontrolador programado por Humpich. Su característica principal era su lógica de respuesta ante la solicitud del código PIN.

En el protocolo de la época, cuando un usuario introducía su PIN en un terminal, el terminal no consultaba con el banco en tiempo real (transacciones offline para montos pequeños). En su lugar, el terminal le preguntaba a la tarjeta: “¿Es este el PIN correcto?”. La genialidad —y simplicidad— de Humpich fue programar la tarjeta para que, independientemente de los cuatro números introducidos, respondiera siempre con un “Sí” (un mensaje de verificación positiva). De ahí el nombre: una tarjeta que siempre decía que sí.

El flujo de la vulnerabilidad era el siguiente:

1. Inserción de la YesCard en un terminal (como un expendedor de billetes de metro).
2. El terminal solicita el PIN al usuario.
3. El usuario introduce cualquier combinación (ej. 0000).
4. La tarjeta intercepta la solicitud y devuelve el comando 0x9000 (Estado OK en estándares ISO 7816).
5. El terminal, confiando en la firma RSA de 320 bits de la tarjeta, autoriza la transacción sin conexión externa.

El Dilema Ético: ¿Hacker o Extorsionador?

Lo que diferencia al Caso YesCard de un fraude bancario convencional es la conducta posterior de Humpich. Una vez que tuvo el poder de vaciar cajeros o realizar compras ilimitadas, decidió contactar al GIE CB. A través de un abogado, Humpich informó a los bancos sobre el fallo catastrófico y propuso un contrato de consultoría por 200 millones de francos para ayudarles a corregir la vulnerabilidad y desarrollar un nuevo estándar de seguridad.

La respuesta del Estado francés fue implacable. En lugar de tratarlo como un investigador de seguridad (lo que hoy conoceríamos como un bug bounty hunter), las autoridades lo atraparon en una operación encubierta. El consorcio bancario fingió estar interesado en su propuesta y le pidió una prueba de concepto: comprar diez billetes de metro en París utilizando sus tarjetas falsificadas. Humpich lo hizo, entregó los tickets y las facturas como prueba de su éxito, y días después, una unidad especial de la policía allanó su granja en Tournan.

Los cargos fueron severos:

• Falsificación de tarjetas bancarias.
• Acceso fraudulento a un sistema automatizado de procesamiento de datos.
• Intento de extorsión (aunque este cargo fue posteriormente desestimado por el tribunal al considerar que Humpich no buscaba el lucro cesante, sino el reconocimiento profesional).

El Pánico Nacional: La Filtración de 2000

Aunque Humpich fue condenado en febrero de 1999 a diez meses de prisión en suspenso, el Caso YesCard estaba lejos de terminar. El verdadero caos estalló en marzo de 2000, cuando el código fuente del algoritmo B1 y las instrucciones para fabricar una YesCard fueron publicados de forma anónima en un Bulletin Board System (BBS) de criptología francesa.

La filtración transformó un descubrimiento académico en una amenaza nacional. De repente, cualquier persona con conocimientos básicos de electrónica y acceso a un grabador de chips podía crear su propia tarjeta universal. La prensa francesa entró en un estado de histeria colectiva, advirtiendo que el sistema de pagos del país estaba al borde del colapso. Este evento forzó a la banca francesa a acelerar una actualización masiva de hardware y software, reemplazando las tarjetas de 320 bits por versiones de 792 bits (un estándar que duraría hasta la implementación total de EMV).

2026: Arqueología Digital y el Legado de Humpich

En la retrospectiva publicada este 1 de mayo de 2026, expertos en ciberseguridad analizan el Caso YesCard bajo una nueva luz. Hoy, la industria de la seguridad digital depende de los investigadores independientes. Empresas como Google o Apple pagan millones de dólares en recompensas por errores similares a los que Humpich descubrió gratis.

El Código como Obra de Arte

El código original filtrado en el año 2000 se ha convertido en una pieza de “arqueología digital”. Historiadores de la computación señalan que la elegancia del código de Humpich residía en su eficiencia: cómo logró comprimir la lógica de validación y la firma criptográfica en el limitado espacio de memoria de un chip de finales de los 90. Para los círculos de hackeo ético, este artefacto representa el fin de la “inocencia” de los sistemas electrónicos de pago.

Humpich vs. La Ética Moderna

En el podcast conmemorativo, el propio Humpich reflexiona sobre su decisión de pedir dinero a los bancos. Mientras que en 1999 se vio como un acto criminal, en 2026 se debate si fue simplemente un error de timing. “Yo no quería romper el sistema, quería salvarlo de sí mismo”, menciona en la entrevista. Su caso fue fundamental para la redacción de leyes de ciberseguridad más claras y para el nacimiento de la divulgación responsable (Responsible Disclosure).

Conclusiones de un Cuarto de Siglo de Aprendizaje

El Caso YesCard nos dejó lecciones que siguen siendo vigentes en la era de la computación cuántica y la inteligencia artificial. Primero, que la seguridad a través de la oscuridad (ocultar el algoritmo) nunca funciona. Segundo, que un sistema es tan fuerte como su eslabón más débil, que en este caso no fue solo el algoritmo B1, sino la arrogancia de una institución que se creía invulnerable.

Hoy, las tarjetas que llevamos en nuestras carteras digitales son herederas directas de la crisis provocada por Serge Humpich. El hombre que “rompió una nación” con un billete de metro de 13 francos nos recordó que, en el mundo digital, el conocimiento es el arma más poderosa, y que un solo individuo, movido por la curiosidad, puede obligar a todo un sistema financiero a evolucionar o perecer.