2018-12-18 20:59:35 +0000 2018-12-18 20:59:35 +0000
91
91

¿Por qué las tarjetas de crédito llevan impreso el número y el código CVC a la vista de todos?

Desde que el comercio en línea se hizo realidad, bastaba con conocer el número de la tarjeta de crédito, la fecha de caducidad y el código CVC para comprar cualquier cosa en línea. Las cosas están cambiando poco a poco a medida que la AMF es adoptada por más y más bancos en todo el mundo, pero este no era el caso de la mayoría de las tiendas online en los últimos 20 años. Incluso antes de que las compras en línea fueran una realidad, todavía se podían comprar artículos deletreando los datos de la tarjeta por teléfono.

Entonces, ¿por qué los bancos y las compañías de tarjetas de crédito decidieron seguir imprimiendo esos códigos supuestamente secretos directamente en la propia tarjeta? De este modo, cualquiera puede hacer una foto de la tarjeta o memorizar los números y estafar al propietario de la cuenta. Esto es especialmente fácil para alguien como un camarero, ya que suele sacar la tarjeta fuera de su alcance durante un par de minutos mientras pagas la cuenta.

Respuestas (6)

130
130
130
2018-12-18 21:52:20 +0000

En última instancia, usted no asume el riesgo de fraude, por lo que no establece la tolerancia al riesgo. El código de tres dígitos, el número completo de la tarjeta, el chip y el pin, el chip y la firma, la firma en un recibo, la información en la banda magnética, etc. Tu banco te dirá que todos ellos son realmente secretos y que debes protegerlos pero que te los tatuarían en la cara si pudieran.

El nombre del juego es la menor fricción posible en las transacciones en relación con los costes de fraude aceptables.

¿Por qué el número de tres dígitos está impreso en la tarjeta? Porque se supone que uno tiene la tarjeta en la mano cuando quiere utilizarla. Este código “secreto” surgió para combatir y/o prevenir el fraude de bajo nivel, principalmente relacionado con el skimming de la banda magnética y los viejos tiempos en los que los recibos eran impresiones de la tarjeta. Este número no forma parte de los datos de la banda magnética, y sólo pretende ser un secreto para la banda magnética y para las personas que puedan encontrarse en posesión de un gran número de recibos impresos (en los primeros tiempos de las tarjetas de crédito) o de una base de datos llena de números de tarjetas de crédito. Su único objetivo era ofrecer una prueba de bajo nivel de la presencia de la tarjeta para luchar contra los casos en los que se sustraían grandes cantidades de números de cuenta; no autentifica ni asegura las transacciones, no es una suma de comprobación, es sólo un número que no está en la banda magnética ni en la impresión. Curiosamente, aunque no es sorprendente, el número no es simplemente aleatorio, sino que se deriva del número de cuenta principal criptográficamente de una manera que sólo conoce el emisor de la tarjeta.

¿Por qué el banco no se esfuerza más en proteger el número? Porque el banco quiere que uses la tarjeta sin tener que recordar un número.

¿Por qué el número “secreto” de cuatro dígitos de American Express está en el anverso de la tarjeta, ni siquiera está escondido de forma segura en el reverso, quién sabe; pero está claro que el número no pretende ser seguro para cualquiera que pueda tener acceso físico a la tarjeta.

¿Por qué la tarjeta no está desnuda sino para marcarla con la información almacenada de forma segura en otro lugar? Porque dos lugares son más lugares y podrías no usar la tarjeta si necesitas desenterrar el pedazo de papel que te enviaron por separado con el código de tres dígitos obviamente nunca pensado para ser seguro impreso en él.

El incentivo del banco es que uses la tarjeta. Si no la usas, o usas una tarjeta de la competencia, el banco no gana nada.

Si quieres asegurar tus métodos de pago mejor que el nivel con el que el banco se siente cómodo, eres libre de hacerlo. Raspar los números, arrancar la banda magnética, lo que sea; aunque probablemente alterar la tarjeta sea un incumplimiento de tu contrato de socio. El banco no lo hace porque no le importa.

54
54
54
2018-12-18 21:14:02 +0000

El propósito del código de seguridad no es un PIN secreto. El propósito es “probar” que usted tiene la tarjeta física en su posesión en el momento de la compra. Sólo se utiliza cuando el comerciante no puede confirmar que usted tiene la tarjeta física en su poder. Se utiliza cuando se compra algo en una página web, pero también se utiliza en una tienda física cuando no se puede escanear la tarjeta y hay que teclear el número manualmente.

La razón por la que se imprime en la tarjeta es que alguien que no sea usted puede necesitar leerla. Si se la entrega a un cajero y éste no puede escanear la tarjeta por alguna razón y debe teclear el número, puede darle la vuelta a la tarjeta y teclear el código de seguridad, demostrando al ordenador que tiene la tarjeta en su poder. Nunca fue concebido para ser memorizado, y si los usuarios de la tarjeta memorizan el código, éste pierde su eficacia como prueba de la posesión física de la tarjeta.

Se puede argumentar que tener el código impreso en la tarjeta hace que ésta sea menos segura, y algunos han sugerido raspar el código de la tarjeta después de memorizarlo, pero eso realmente sólo evitaría un tipo específico de fraude con tarjetas de crédito que no es tan común como otros métodos de fraude.

A falta de un verdadero PIN, cada vez es más común utilizar el código postal de facturación como otra validación, ya que es un número que el propietario de la tarjeta ya tiene memorizado y no está impreso en la tarjeta.

16
16
16
2018-12-19 07:05:22 +0000

El objetivo principal del código de seguridad es evitar que la información de la tarjeta pirateada sea reutilizada. La principal forma de conseguirlo es exigir a los procesadores de pagos que no almacenen este código

Los comerciantes, proveedores de servicios y otras entidades implicadas en el procesamiento de tarjetas de pago nunca deben almacenar datos sensibles de autenticación después de la autorización. Esto incluye el código de seguridad de 3 o 4 dígitos impreso en el anverso o el reverso de una tarjeta, los datos almacenados en la banda magnética o el chip de una tarjeta (también llamados “Full Track Data”) - y los números de identificación personal (PIN) introducidos por el titular de la tarjeta. Este capítulo presenta los objetivos de PCI DSS y los 12 requisitos correspondientes Fuente - diapositiva 11

12
12
12
2018-12-19 15:59:18 +0000

Usted pregunta por qué el número de tarjeta y el código de seguridad están impresos en la tarjeta. En ambos casos, repasemos un poco la historia:

El número de tarjeta

El número de tarjeta (llamado PAN en la industria) es sólo un identificador, no tiene por qué ser secreto. Es necesario para cualquier transacción, para que un cargo pueda ser… cargado a la cuenta correspondiente, ya sea:

  • en un punto de venta físico (TPV), utilizando el antiguo método del “impresor” (no estoy seguro de que todavía se utilice en algún lugar). Por eso, el número está realmente grabado, no sólo impreso (junto con los demás datos necesarios para la transacción: fecha de caducidad, nombre del titular de la tarjeta).

  • en un punto de venta, mediante un terminal de punto de venta (“máquina de tarjetas de crédito”), que lee la banda magnética o el chip de la tarjeta, que proporcionan el PAN y el resto de los datos sin ninguna autentificación o cifrado.

  • por teléfono o en papel (lo que en el sector se conoce como “MOTO”: pedido por correo / pedido por teléfono), cuando sólo se leen los datos por teléfono o se escriben en el formulario de pedido.

  • en Internet, donde hay que leer el número de la tarjeta e introducirlo en un formulario. ¿Cómo puedes pedir algo si no puedes leer el número de la tarjeta?

El PAN nunca se ha considerado un secreto. Es sólo un número de cuenta, exactamente igual que el número de cuenta que aparece en los cheques de papel, para saber de qué cuenta hay que sacar el dinero.

Hay quien piensa que la clave (el último dígito) es un elemento de seguridad (pobre), cuando en realidad sólo se utiliza para protegerse de los errores de introducción (dígito cambiado, dígitos intercambiados…).

Hoy en día, la gente empieza a pensar que un PAN debe ser secreto, y esto ha llevado a la introducción de la “tokenización”: en lugar de enviar el número de tarjeta real, se envía otro número de tarjeta, que está limitado a un canal específico (y posiblemente a un dispositivo), o incluso a una sola transacción.

Este es el caso, por ejemplo, de Apple Pay: cuando registras tu tarjeta con su PAN real, el banco te devuelve un token (PAN “falso”) que se utiliza en su lugar, y que solo puede usarse para los pagos realizados con Apple Pay en ese dispositivo. Si alguna vez alguien interceptara ese PAN, no podría hacer nada con él: no se aceptará para añadir una tarjeta a Apple Pay, no se aceptará en la tienda, en línea, por teléfono, ni en ningún otro sitio.

¿Es realmente útil? En un mundo perfecto en el que todas las transacciones se autentifican por otros medios, realmente no debería importar, un PAN por sí mismo debería ser inútil. En la práctica, como hay canales que permiten el uso de métodos de autenticación bastante inseguros, es una línea de defensa adicional.

Hay que tener en cuenta que la necesidad de tokenización es probablemente un poco más importante con la introducción del contactless: se puede leer el PAN de cualquier tarjeta contactless sin ni siquiera tocarla, es sólo cuestión de acercarse lo suficiente.

El código de seguridad

El código de seguridad impreso en el reverso de la tarjeta (o en el anverso, en el caso de las tarjetas American Express) no estaba presente originalmente. Se añadió para evitar los siguientes casos de fraude:

  • un recibo de tarjeta de crédito con el número completo de la tarjeta (y el nombre y la caducidad) era desechado y recogido por otra persona (esto era especialmente cierto cuando se utilizaban impresoras, pero también lo era antes de que las redes de tarjetas decidieran finalmente que estaba prohibido imprimir el PAN completo en el recibo del cliente).

  • se “pasa” una tarjeta para registrar el contenido de la banda magnética, que contiene el PAN, la caducidad, el nombre del titular y más…). Esto permitía a las personas que tenían acceso físico a las tarjetas (camareros, cajeros…) registrar un gran número de tarjetas con bastante rapidez sin que se notara.

Para contrarrestarlo, se añadió este nuevo código, que no figura en el recibo (ya que no está grabado en relieve), y tampoco está en la pista magnética.

Este código es necesario sólo para las compras MOTO y en línea, donde no se puede ver si el usuario realmente tiene la tarjeta (una transacción llamada “tarjeta no presente”), y se quiere estar un poco más seguro de que el usuario tiene la tarjeta.

En efecto, esto es bastante fácil de eludir: basta con hacer una copia completa de la tarjeta (por ambas caras) o anotar todos los datos. Pero en muchos de los escenarios anteriores, eso hace que sea un poco más difícil que un usuario deshonesto lo haga sin ser notado.

(La introducción de los terminales portátiles también ayuda mucho, ya que el usuario puede mantener los ojos -y las manos- sobre la tarjeta en todo momento, pero especialmente en los restaurantes de EE.UU., esto no es todavía una práctica estándar).

El código de seguridad también ayuda en el caso de que un sitio almacene los datos de tu tarjeta de crédito y alguien consiga acceder a ellos: en teoría, nadie puede almacenar el código de seguridad, por lo que un pirata informático sólo obtendría el PAN y la caducidad, y no podría volver a utilizarlo, pero, en la práctica, demasiada gente sigue almacenando el código de seguridad. La industria está persiguiendo a estos (es uno de los aspectos de la iniciativa PCI DSS), pero aún queda mucho camino por recorrer.

La verdadera protección proviene de las nuevas medidas de autenticación (3D Secure) que permiten otro modo de verificación más allá de esos datos. Dependiendo del banco (o incluso de la tarjeta), podrían implicar:

  • una contraseña
  • una contraseña de un solo uso (OTP) enviada por SMS u otro medio
  • autenticación biométrica (huella dactilar, reconocimiento facial, escáner de iris…)
  • hablar realmente con el chip de la tarjeta mediante el uso del lector de tarjetas conectado a su ordenador (no estoy seguro de que esto se haya implantado realmente en ningún sitio) …

Tenga en cuenta que el código de seguridad se utiliza sólo para las transacciones en línea/MOTO (transacciones “sin tarjeta”). Las transacciones con tarjeta presente utilizarán:

  • otro código de seguridad que está en la banda magnética (aunque es fácil de copiar)
  • la comunicación con el chip (en las tarjetas que lo tienen) para que la tarjeta se autentique.
0
0
0
2018-12-26 14:47:20 +0000

Simple, la intención detrás del sistema de crédito es utilizar la confianza entre el intercambio de diferentes partes en un asunto oportuno. Sin embargo, el mundo cibernético está lejos de ser a prueba de balas. La mayoría de los exploits suelen estar en el propio diseño y no en otra cosa. Mi consejo para cualquiera que quiera llegar a algún sitio en la vida utilizando ordenadores, es que se dedique a habilidades comercializables como la reparación de pantallas y placas lógicas en lugar de al robo cibernético. Hay muchas más oportunidades en mostrar al mundo lo que lleva tiempo entender, es decir, la ingeniería eléctrica, en lugar de acosar a los demás robándoles (robo de tarjetas de crédito). Parece que la ciberseguridad en el futuro se basará en máquinas pensantes que tomen decisiones repetitivas, y a partir de ahí la gente podrá decidir qué dirección es más beneficiosa a largo plazo.

0
0
0
2018-12-26 17:18:31 +0000

Anteriormente existía un sistema “Verified by Visa” en el que la tarjeta de crédito Visa tenía una contraseña que el consumidor conservaba. La contraseña no estaba en la tarjeta. El sistema “Verified by Visa” se utilizaba en las transacciones por Internet. Los comerciantes tenían la opción de ofrecer el sistema.

Preguntas relacionadas

8
13
7
4
3