Las tarjetas Contactless… ¿Seguras?

Recuerdo cuando en el primer día de rebajas decidí salir con mi mujer de compras por el centro; sí, lo sé, es de locos, pero qué queréis que os diga, me gusta el riesgo, pero esa no es la cuestión, así que intentaré no desviarme del tema.

Cuando me disponía a realizar el pago de mi primera compra, la tarjeta falló; no leía el chip. La dependienta volvió a pasarla un par de veces más por el datafono sin éxito, hasta que por fin consiguió leerlo. Esto me sucedió en alguna ocasión más, incluso en una tienda el terminal no fue capaz de leer ni el chip ni la banda magnética de la tarjeta. Me tomé un momento en inspeccionarla detenidamente y vi que estaba demasiado rayada y en mal estado, dicho en otras palabras, mi tarjeta estaba pidiendo a gritos la jubilación.

Aunque no estaba muy lejos de caducar (aproximadamente 8 meses) lo mejor era cambiarla, así que una tarde al salir del trabajo decidí acercarme a mi sucursal bancaria con la intención de solicitar una nueva.

Cuando entré, me fui directo a una de las mesas para comentarles el problema que había tenido para que los terminales de las tiendas leyeran el chip de mi tarjeta y que era necesario que me la cambiaran. La persona que me atendió, muy amablemente me dijo:

-“¿Quieres una Contactless? Es muy cómoda y segura, además se conservan muy bien, no se te rayará tanto y no te dará problemas al ir a pagar.”

En ese momento se me escapó una sonrisa, quizá no debí hacerlo, pero no pude evitarlo. Es cierto que las tarjetas contactless tienen sus ventajas:

  • Mayor comodidad. Al no tener que sacarlas de la cartera, resultan más cómodas para realizar pagos.
  • Menos desgaste de la tarjeta. No hace falta pasarlas por el datafono por lo que el plástico se mantiene intacto.
  • Mayor rapidez para realizar las compras. Si el importe es menor de 20€ no hace falta introducir el PIN.

Con que le hubiera dicho que no me interesaba la tarjeta, habría sido suficiente y ahí habría acabado todo, pero ya que me habló de sus ventajas como algo extraordinario, quise ahondar en la herida y preguntar un poco más acerca de la seguridad de una de sus “ventajas”.

Pagos por importe inferior a 20€ sin necesidad de introducir el PIN.

Esta forma de pago ha despertado mucho recelo entre sus usuarios y presenta ciertas dudas, ya que si perdemos la tarjeta o somos víctimas de un robo, podrían utilizarla sin ningún impedimento siempre que no pasaran de 20€.

Sobre esta cuestión me respondió que el banco disponía de controles que permitían saber si una tarjeta está realizando operaciones de forma irregular sabiendo el comportamiento normal del cliente.

Vale, de acuerdo, entonces si alguien me roba la tarjeta y empieza a comprar como un loco, el banco tarde o temprano se dará cuenta y en teoría me devolverá el dinero, pero ahora pongamos otro caso totalmente distinto.

¿Y si alguien con un datáfono contactless portátil preparado para realizar un cargo de 19,95€ se fuera a una gran superficie como por ejemplo el corte inglés?

Es verdad que para que la tecnología contactless funcione, la tarjeta debe estar como máximo a 3 cm del terminal y se ha mantener durante un segundo frente a él. Pero escondido en un chaquetón y pasándolo disimuladamente a través de los bolsos, solo sería cuestión de tiempo que cazara alguna tarjeta y pudiera realizar el cargo sin que la persona se diera cuenta.

Un solo cargo de 19.95€ en nuestra cuenta puede que pase en la mayoría de los casos desapercibido, sobre todo si no hemos perdido la cartera ni hemos sido víctima de un robo.

Ante esta situación la persona del banco ya no supo qué responderme, no se le había ocurrido poner ese escenario encima de la mesa. Que seas víctima de un fraude sin que te hayan robado, ni clonado la tarjeta es cuanto menos para ser cauteloso y tomar todo tipo de precauciones.

Supongo que los bancos se habrán puesto manos a la obra para garantizar que esto no ocurra, pero por el momento sigo teniendo ciertas reticencias a la hora de utilizar esta tecnología para realizar pagos.

Comments

  1. Hola!

    Puede que a esa persona del banco no se le haya ocurrido respuesta. Te aseguro que la gente de riesgos/fraude de ese mismo sitio y visa/mastercard si que lo han pensado. Como es lógico y obvio.

    La buena noticia es que como lo han pensado, han decidido aceptar el riesgo y ven aceptable devolver N € al año por mini-fraudes que no implantar el sistema. Curioso, ¿verdad? Hace falta unas hojas excel muy largas para entender este tipo de decisiones e incluso puede que jamás lo hagamos con una visión puramente técnica.

    Un saludo.

  2. Hola Alex,

    No me cabe la menor duda que todo esto está estudiado al detalle y que los bancos han aceptado el riesgo de devolver “x” cantidad de dinero debido al fraude.

    Sin embargo hay que tener en cuenta que no todos los bancos funcionan igual; puedes encontrarte con que en algunos casos ni siquiera se hacen responsables de los cargos fraudulentos y más teniendo en cuenta la cantidad de la que estamos hablando.

    Esto se traduce en auténticos quebraderos de cabeza exclusivamente para el cliente para que le devuelvan su dinero en caso de ser víctima de un fraude.

    Un saludo.

  3. Buenos días,

    Como comenta Hilario, en muchos casos un cargo tan pequeño puede pasar desapercibido por el propietario de la tarjeta, por lo que el “malo” lograría su objetivo y la víctima perdería esa pequeña cantidad de dinero sin enterarse.

    Yo sigo sin ver que los beneficios que puedas obtener de esta funcionalidad merezcan la pena.

    Un saludo

  4. Hola,

    clonar una tarjeta con banda magnética lleva 2 segundos (en la RootedCon de este año se hizo una demo pero lleva más de 10 años existiendo este problema). Y se sigue emitiendo tarjetas con banda magnéticas, sigue habiendo tiendas que no se actualizan a “sólo” chip (muchos por miedo a perder clientes de países donde el chip no está extendido) y sigue habiendo sistemas que no piden PIN (peajes, parkings, retirada de entradas de cine/teatro, etc.).

    El ejemplo del artículo es muy bienintencionado: un lector portátil, que podría ser un tablet necesita acercarse a 3 o 5 cm. Es viable pero sólo permitiría “cazar” unas decenas de tarjetas. Imagina un inductor mucho más potente y una antena de 25 cm… te podría dar un rango de 50 cm (en algún sitio comentan que 1 metro). ¿cuánta gente se acerca a menos de 50 cm del escaparate de, por ejemplo, una relojería?

  5. Hola,

    Respecto a lo que comenta Antonio, efectivamente, si lo miramos fríamente…¿Qué beneficios aporta esta tecnología al usuario? ¿Agilidad porque nos permite pagar de una manera más rápida?

    Particularmente no tengo prisa a la hora de ir a pagar, y me imagino que a nadie le importará perder 6 o 10 segundos poniendo el PIN de la tarjeta si con ello estamos más protegidos frente a un posible fraude. Yo sigo sin entender realmente cuál es el beneficio para el usuario y me muestro reacio a su uso, sobre todo porque no termino de ver una seguridad férrea.

    Si a eso le añadimos lo mencionado por Javier, en la que nos expone la posibilidad de aumentar el radio de acción a 50 cm, pues sinceramente me aporta aún más dudas.

    Creo que ésta tecnología ha dejado una puerta trasera a los amigos de lo ajeno, que yo particularmente no estoy dispuesto a dejar abierta.

  6. Interesantes reflexiones. Si os digo la verdad, me mandaron la nueva tarjeta del banco hace unos meses, siendo contactless, pero desconocía que las compras inferiores a 20 € no requiriesen el PIN. Me dí cuenta recientemente al ir a hacer una pequeña compra a una gran superficie. Primero piensas “vaya, que cómodo”, pero lo siguiente que piensas es “cagada desde el punto de vista de la seguridad”. Voy a intentar que el banco solicite el PIN para esta tarjeta en todas las circunstancias.

    Saludos.

  7. A mi me ha pasado dos o tres veces con una tarjeta de PIN en un año (desde que la tengo) que me han cobrado un céntimo de más. Increíble, sorprendente, pero cierto, porque guardo el ticket. Tal vez algún tema de redondeos, no sé. Por un céntimo no me merece la pena llamar a un teléfono (muchas veces un 902) o ir a la oficina. No voy a decir que sea pensado por el banco o por Visa para adueñarse de mi céntimo, creo que sería ridículo.

    Pero cuando decís que los bancos están dispuestos a devolver los casos de fraude, se os olvida matizar, los casos de fraude ‘detectados’ y saben que a pequeña cantidad esos son muy pocos.

    Al banco le interesa (esos 10 segundos de conexión por un millón de operaciones es más banda, que necesitan y equipos en ‘modo espera’), a la tienda le interesa (unos segundos menos cada cliente le permite tener una cajera menos al Carrefour. Todavía nadie ha podido dar un argumento por el que le interese al cliente.

  8. Y para quien quiera un poco más, la explicación de cómo funciona: emiten una señal que lee el aparato. Si alguien te lee la señal de radio de tu tarjeta la puede copiar. A partir de ahí es como si tela hubiera robado, es decir se puede dedicar a utilizarla, como si te la hubiera quitado, sin que físicamente te la haya quitado.

    https://www.youtube.com/watch?v=lLAFhTjsQHw

  9. Como dicen más arriba, los reembolsos que se puedan realizar por fraude compensan los beneficios de desplegar la tecnología, cuyo objetivo principal es fomentar el uso de tarjetas para micropagos.

  10. Y…. cómo un cliente puede demostrar que el pago fraudulento no lo ha hecho él? Dupongo que tienes que denunciar el robo de la tarjeta poniendo la correspondiente denuncia y luego te lo abonan si es asi lo q dice el banco. No estoy de acuerdo con elte tipo de tarjeta. Lo peor es q mi banco Ing direct no me ha dado opción si o si tiene que ser una tarjeta contactless… como mínimo el banco deberia ofrecerte ambas tarjetas y que tu decidas la q quieras. Obligarte y ver mermada la seguridad de tu dinero no me parece muy bueno. Animo a todo el mundo q no esté confirme q ponga una queja formal en su banco, si no no cambiaremos las cosas y al final el usuario es el que está en riesgo.

  11. Según el banco no es posible inhabilitar la opción contactless, sin embargo si es posible hacerlo por tu cuenta y riesgo. Yo acabo de desactivar la mía simplemente haciendo un pequeño taladro en la antena que va por el interior de la tarjeta quedando inservible la inducción y obligando a usar el chip, como toda la vida a sido. Pierdes la opción de pagar sin contacto pero yo personalmente me siento mucho mas seguro. aqui viene como hacerlo https://www.youtube.com/watch?v=Z2uF9JqJESg
    Como apunte decir que se aprecia mejor con un láser que con una simple bombilla.