Rondaban los años ‘60 cuando se crearon las primeras tarjetas bancarias tal y como las conocemos ahora y, desde entonces, han sido muchos los cambios que han experimentado para mejorar su seguridad. Esto es una realidad que afecta tanto a honrados usuarios como a ciberdelincuentes malintencionados, así que conviene ponernos al día para entender cómo han evolucionado las prácticas de los malhechores.
Los usuarios somos el eslabón más débil de la cadena de seguridad
A medida que aumenta la seguridad en el circuito tecnológico, los usuarios nos convertimos en el objetivo más preciado para los ciberdelincuentes, dado que para ellos es más fácil diseñar estrategias de ingeniería social que nos confundan para robarnos nuestras credenciales, que desarrollar sofisticados sistemas para vulnerar las barreras de seguridad impuestas por las tecnológicas. Por este motivo, cada vez debemos ser más rigurosos a la hora de sospechar de prácticas de phishing y no levantar la guardia ni cuando se cree que la cadena de confianza está fuertemente construida. Por otro lado, las empresas proveedoras de servicio deben esforzarse por crear mecanismos altamente confiables de recaudación de pagos online, y renunciar a solicitar dichos pagos por atajos poco seguros. Por poner un ejemplo, los enlaces de pago nunca deberían enviarse vía e-mail o SMS, sino que dicho pago debería facilitarse desde el área privada del cliente en la web de la compañía, para que este pueda tener claro que en ningún momento abandona el espacio seguro creado por dicha compañía.
No obstante, las viejas estrategias para abusar de nuestra confianza siguen muy vigentes, y para ello ni siquiera es necesario tener grandes conocimientos de informática. Como se comentaba en un artículo anterior, es fácil ser más confiado de lo debido y parece lógico ceder la tarjeta bancaria en situaciones que se han normalizado, como cuando se la damos al recepcionista del hotel para pagar la habitación. Hay que recordar que para clonar una tarjeta basta con fotografiar ambas caras de la misma. Así pues, siempre debemos solicitar el TPV para procesar el pago nosotros mismos y, mientras se pueda, usar el método contactless (sin contacto), dado que el datáfono también podría ser objeto de hackeo por parte de los delincuentes. Sirva este consejo también para los cajeros automáticos.
Los pagos contactless han venido para quedarse, aunque todavía hay aspectos de seguridad por resolver relacionados con el chip EMV de las tarjetas: por ejemplo, graban los datos en claro del PAN, la fecha de caducidad y las últimas transacciones de la tarjeta, datos suficientes para procesar pagos en países cuya legislación permita hacerlo sin identificar al cliente de forma segura. No obstante, siguen rodeados de mitos de seguridad que debemos superar, como el del ladronzuelo que se pasea con un datáfono por el metro o los ataques de retransmisión. En este punto, hacer realidad estos mitos roza el límite de lo imposible.
Caliente o frío ¿Cómo lo prefieres?
El hot wallet del móvil (google Pay, Samsung Pay o Apple Pay), junto con otras medidas de seguridad impuestas por políticas marco como la PSD2 europea o las normas de tokenización de EMVCo, resuelven esos flecos de seguridad que quedaron sueltos en el chip EMV de la tarjeta y, tecnológicamente hablando, representan algo así como un búnker para la custodia de tarjetas bancarias. Sin embargo, teniendo en cuenta lo que comentábamos anteriormente, también hacen del smartphone un objetivo demasiado tentador para los ciberdelincuentes, dada su alta concentración de datos sensibles y su conexión permanente a internet. En este punto, nuestro móvil se convierte en un dispositivo crítico para nuestra seguridad digital y, lo que es peor, su uso constante lo hace especialmente vulnerable (tanto va el cántaro a la fuente que al final se rompe).
Por su parte, los anillos de pago son cold wallets que guardan en su chip NFC información clave de nuestra tarjeta bancaria en frío o, dicho de otro modo, completamente desconectados de la red. Estos dispositivos se benefician de las mismas soluciones de seguridad ya empleadas por el móvil, como la tokenización y la PSD2, pero, a diferencia de éste, emplean un chip de alta seguridad (certificado por visa y Mastercard) de uso exclusivo para este cometido, y desconectado de la nube para evitar infecciones por malware malicioso.
Esto significa que un anillo para pagar no guarda los datos de la tarjeta bancaria, sino un token que representa la dupla de dicha tarjeta más el identificador del dispositivo (el anillo), de modo que nadie puede leer información crítica para nuestra seguridad. Para entenderlo mejor, mediante la misma app con la que podemos leer los datos del chip NFC EMV, podemos intentar leer los datos del anillo y comprobar lo que nos devuelve: ninguna información de valor, a diferencia del chip de la tarjeta, que nos devuelve el PAN, la fecha de caducidad y el registro de transacciones.
Por tanto, tenemos que un anillo para pagar nos ofrece: tecnología NFC contactless, tokenización, PSD2, desconexión de la red y chip de alta seguridad dedicado exclusivamente a pagos. ¿Solo eso?
Tecnológicamente hablando, sí, pero justamente este es el mejor de sus atributos, dado que lo hace discreto e invisible para los ciberdelincuentes, se mantiene siempre con nosotros y no requiere que estemos pendiente de él, es difícil de perder y más aún de robar, y evita concentrar otros datos de valor.
Pagar de forma muy segura sin sacar el móvil del bolsillo o del bolso, con un simple gesto de la mano. Un gesto tan sencillo con el que los ciberdelincuentes entrarán en depresión antes de conseguir vulnerarlo. Y para los que les asuste que les roben, claro que pueden hacerlo pero, al igual que la tarjeta o el móvil, podemos desconectarlo en remoto para bloquear los pagos.
En conclusión, no dejaremos de insistir que los usuarios somos el punto más frágil de la cadena de seguridad y, por tanto, somos el bocado más apetitoso para los ciberdelincuentes. Sea tarjeta, móvil o anillo, siempre mejor el contactless que el contacto, el instrumento de pago nunca en manos de otros y, cuando se trate de pagos online, no bajar la guardia para prevenir posibles prácticas de phishing.
