Icono del sitio Centilex Abogado Ica

La insuficiente modificación del Reglamento de tarjetas de crédito

Reglamento tarjetas credito

Reglamento tarjetas de credito

Antecedentes

La Superintendencia de Banca, Seguros y AFP mediante RESOLUCIÓN SBS N° 5570-2019 ha modificado el Reglamento de tarjetas de crédito y débito, el cuál dada las actuales circunstancias aparentemente resulta insuficiente para proteger al consumidor

La aparente vulnerabilidad del código CVV

Existen varios componentes que garantizan la seguridad de las operaciones que se llevan a cabo con las tarjetas. Por ejemplo un elemento que garantiza la seguridad de su tarjeta es el Número de Identificación Personal (NIP), más conocido por sus siglas en inglés PIN o lo que comúnmente conocemos como CLAVE. Estos 4 números son necesarios en las operaciones en cajeros automáticos, para utilizar servicios de banca electrónica y realizar compras.[1]

Otra de las medidas de seguridad es el CVV. El CVV (Card Verification Value) es un código de verificación de la tarjeta bancaria que inicialmente  servía para confirmar que quien utilizaba la tarjeta la tenia en su poder. Actualmente cuando se realiza una compra online, además del número de la tarjeta de crédito, se pide este número que aparece en la parte posterior de la tarjeta, la indicación que brindan las entidades financieras es que es necesario para evitar fraudes. Este código aparece en las tarjetas de crédito, de débito y en las tarjetas pre pago cuando se recargan.[2]

La principal función del CVV se concibió para demostrar que la tarjeta se encuentra en posesión del cliente al momento de realizar la compra. Debido a que el CVV no es almacenado en la banda magnética o en el chip que posee la tarjeta, realizar la verificación del CVV requiere, en teoría, necesariamente la comunicación con el proveedor de la tarjeta a fin de brindar la comprobación del código y por ende mayor seguridad, en caso de demasiados intentos de registro con CVV equivocado, se debería bloquear la tarjeta como medida de protección anti fraude, al igual que sucede cuando se digita más de tres veces la clave PIN.

La principal medida de seguridad que se estableció en el CVV fue su impresión de “manera plana” o bidimensional. Antes de la existencia de medios electrónicos y durante mucho tiempo la mayor parte de la información de la tarjeta (número, fechas, titular, etc.) se realizó (y aún se continúa realizando) en alto relieve o tridimensional, con la finalidad que pueda ser trasladada con dispositivos mecánicos al papel para acreditar los pagos (en épocas que no existían los actuales POS), de esta manera el código CVV tampoco podía ser capturado o almacenado (en una época que utilizar cámaras para tomarle fotos a las tarjetas era sumamente evidente y difícil).

En aquellas epocas imprimir el CVV en la tarjeta evitaba que el cliente tuviera que recordar demasiadas claves, códigos o contraseñas y de esta manera se facilitaba por ejemplo las antiguas compras que se realizaban por teléfono y facilitaba su pago con las tarjetas.

Sin embargo, esta característica (encontrarse impresa en la tarjeta), con la aparición de nuevas tecnologías se ha transformado en una vulnerabilidad debido a la facilidad de ser grabadas en foto, en vídeo o simplemente ser transcrita a mano

Vulnerabilidad

A pesar de la medida que supuestamente han establecido los proveedores de tarjetas de crédito y débito para bloquear la transacción, es necesario tener presente los siguientes escenarios:

  • Bloqueo de tarjeta por intentos erróneos del CVV.- A diferencia del PIN que  origina el bloqueo de la tarjeta de crédito o débito cuando se ingresa hasta 3 o 4 veces de manera equivocada, en el CVV no se tiene claro cuántos intentos erróneos son suficientes antes que se bloquee la tarjeta, tampoco existen evidencias claras que todos las empresas establezcan la comunicación con el proveedor de la tarjeta para la confirmación, algunos estudios señalan que los intentos pueden ser ILIMITADOS.
  • CVV impreso en la tarjeta. – Para proporcionar el CVV al cliente, debido a que no lo incluyen en la información contenida en la banda magnética o el chip, las empresas han optado por imprimirlo en la tarjeta (anverso o reverso). Esta práctica en la actualidad equivale a “pegar un post it con la contraseña en algún lugar visible”, pués a diferencia del PIN que solo es conocido por el cliente, el CVV puede ser observado (y capturado) en algún momento por personas no autorizadas. Es como si escribiéramos la contraseña de nuestro correo y la pegáramos en la ventana de nuestra casa o como si escribiéramos nuestra clave PIN en la tarjeta de crédito. Por tanto toda la información necesaria para hacer un pago o una compra se encuentra impresa a la vista en la tarjeta, no esta oculta, no se requiere preguntar o solicitar claves o información adicional al poseedor o titular de la tarjeta

 

 

 

En ambos casos, toda la información necesaria esta expuesta

 

  • Compras en sitios web.- Cada vez proliferan más sitios en los cuales se puede comprar diversos productos por
    internet, desde un lápiz  hasta un auto, pasajes de avión, viajes en crucero, etc. , la principal característica es que solamente solicitan los siguientes datos para validar la compra:

     

    • Número de la tarjeta de débito o crédito
    • Fecha de caducidad 
    • CVV

Cada vez son menos los sitios que solicitan el nombre del titular de la tarjeta, sin embargo, nada impide que pasajes de avión puedan ser comprados a nombre de terceros que no tienen relación alguna con el titular de la tarjeta. Otra característica que podemos observar es que todos los datos solicitados para validar la compra están impresos en la tarjeta, dejando de lado el único medio de seguridad que es responsabilidad exclusiva del titular, es decir la clave PIN.

 

La clave PIN en las compras por internet, a diferencia de las compras que se realizan físicamente, no es requerida ni validada y sin embargo a pesar de ello las empresas aducen que las compras fueron realizadas de manera válida y que no se puede tratar de compras fraudulentas, cuando lo único que basta es tener a la vista la tarjeta de crédito o débito para poder realizar la compra sin que el titular de la tarjeta se entere de ello.

 

Una vez realizada la compra de manera fraudulenta, teniendo el CVV, fecha de vencimiento y número de la tarjeta, el titular no se enterará de la compra; en el mejor de los casos se enterará cuando después de un mes reciba el Estado de Cuenta de la tarjeta (si es de crédito).

 

En esta modalidad, para realizar el consumo fraudulento no se requiere realizar “phishing”, utilizar páginas web falsas, clonar tarjetas, manipular cajeros electrónicos, utilizar equipos como skimmers, firmar contratos o documentos, etc., es decir no se necesita NADA que requiera avanzados conocimiento en tecnología, lo único que el delincuente necesita es tener a la vista los datos de la tarjeta de crédito o débito de la victima.

Referencias

  • Video tutorial de entidad financiera (extranjera) dónde explican cómo realizar la compra por internet, aplica para empresas en Perú. Se puede apreciar que no es necesario ingresar el PIN para realizar la compra: 

 

 

  • Video de programa periodístico en el que se muestra como varias personas están pagando viajes y pasajes que nunca adquirieron y no se explican la manera en la que la empresa obtuvo acceso a sus datos financieros, sin embargo, en el minuto 2:40 se aprecia que la representante de la empresa le solicita al periodista “que para acceder a premios adicionales le muestre sus tarjetas”. Si la empresa en mención pudo recopilar los números de tarjeta, fecha de vencimiento y CVV, no
    ha necesitado datos adicionales para comprometer las cuentas de los clientes   https://www.youtube.com/watch? v=dxf3G_D_XLU
  • Publicación en redes sociales donde se aprecia la captura no autorizada de los datos de la tarjeta, es necesario indicar que con la resolución actual de las cámaras de seguridad no es necesario la toma de fotos con un teléfono, es suficiente que la videocámara de seguridad enfoque la tarjeta para obtener todos los datos necesarios  https://www.facebook.com/sheilamaria.couto/videos/2035097876611324/UzpfSTEwMDAwMDcwNzA3MDcxNToyMzc2NDM1NDE5MDU2Njcx/
  • Video de INDECOPI sobre “Consumos fraudulentos o consumos no reconocidos”, a partir del minuto 15:50 el representante de INDECOPI manifiesta que “por internet es mucho más sencillo, porque solo se necesitan son los datos de la tarjeta, el número de la tarjeta, la fecha de vencimiento y el CVV que está a la vuelta de la tarjeta, con esos datos uno ya puede hacer transacciones por internet
  • En el año 2016 la Newcastle University publicó el artículo “Six seconds to hack a credit card” [3] , en el que describen que calcular el número de la tarjeta de crédito, fecha de expiración y el CVV de la tarjeta puede tardar tan solo 6 segundos (con lo cual se pueden realizar transacciones en internet).

Lo más preocupante del estudio indica que los límites de intentos (10 o 20) para prevenir el fraude no se encuentran centralizados, lo que significa que en cada uno de los sitios web que se realicen los 20 intentos no tendrá incidencia si se intenta en otro sitio web donde se puede volver a intentar otras 20 veces:

“Firstly, the current online payment system does not detect multiple invalid payment requests from different websites. This allows unlimited guesses on each card data field, using up to the allowed number of attempts – typically 10 or 20 guesses – on each website.”

 Añaden que un atacante de manera deliberada puede generar todos los detalles de las tarjetas, necesarios para realizar las
transacciones o compras 

“The unlimited guesses, when combined with the variations in the payment data fields make it frighteningly easy for attackers to generate all the card details one field at a time.”

La investigación menciona también que en el caso de las tarjetas de una conocida marca no se estarían previniendo los ataques, pues a la fecha de realización de la investigación permitía intentos ilimitados de ingreso de datos.

“Whereas MasterCard’s centralised network detects the guessing attack after fewer than 10 attempts (even when those attempts were distributed across multiple websites), Visa’s payment ecosystem does not prevent the attack (see Section VI.D)”

El enlace al artículo publicado por la Universidad de Newcastle en el “IEEE Security & Privacy”[4]
https://eprint.ncl.ac.uk/file_store/production/230123/19180242-D02E-47AC-BDB3-73C22D6E1FDB.pdf

  • Actualmente existen algunos sitios web (cuya difusión no es pertinente) donde se ofertan de manera ilegal datos válidos de tarjetas de crédito y débito (carding), los cuales luego son utilizados para realizar compras por internet o pagar servicios como por ejemplo de juegos o Netflix, con cargo a las cuentas bancarias de los verdaderos titulares.

En el caso del servicio de Netflix se tiene la característica que las cuentas adquiridas de manera fraudulenta son ofrecidas en redes sociales a un menor precio de la membresía normal, adicional a ello que el servicio una vez contratado no se puede dar de baja hasta culminar el periodo, por lo que el titular de la cuenta bancaria no puede percatarse al momento sino hasta recibir el Estado de Cuenta e inclusive aun así tendrá que pagar el servicio de un desconocido hasta el siguiente periodo.

  • De manera adicional, clientes refieren problemas con tarjetas que son interceptadas por personas extrañas y que realizan consumos no reconocidos, a pesar de lo cual deben pagar al Banco, hechos que se podrían mitigar si el cliente recibiera oportunamente y de manera obligatoria la información sobre la compra. Es necesario tener presente que a diferencia de lo que sucede con las compras físicas en las que la transferencia del recurso monetario se realiza en el momento entre cliente-comprador, en los casos de compras por internet el tiempo desde que el dinero es descontado de la cuenta del cliente, transferido de empresa-empresa,  hasta que finalmente es depositado en la cuenta del vendedor pueden transcurrir entre 48 a 72 horas, tiempo más que suficiente para que el cliente repudie la compra y no se vea afectado e igualmente es un tiempo prudencial para que el vendedor detenga el envío para no verse perjudicado con el futuro extorno.

Lo que no contempla el nuevo Reglamento de Tarjetas de Crédito

  • No obliga a las empresas a facilitar a los usuarios información pertinente para que se pueda comunicar fácil y rápidamente al banco sobre consumos no reconocidos:
  • El usuario debe tener la facultad de repudiar la compra dentro de 24 horas de recibida la comunicación sobre la compra realizada
  • Si bien el Artículo 16 sobre medidas de seguridad respecto a los usuarios ha establecido las notificaciones sobre todas las operaciones, es necesario indicar que también ha agregado que las empresas pueden establecer mecanismos a través de los cuales los usuarios pueden configurar o limitar las notificaciones sobre la base de umbrales o variables como montos mínimos, entre otros, con lo cual se puede dejar desprotegido al cliente
  • Se debió indicar que en la misma comunicación remitida por la empresa se debía facilitar el correo o teléfono para comunicar el rechazo por parte del usuario dentro de las siguientes 24 horas de realizada la supuesta compra y que en caso que el usuario comunique el rechazo de la operación la empresa deberìa responder mediante correo electrónico el acuse de recibo
  • Como se ha indicado las compras realizadas mediante internet utilizando el CVV muestran altos riesgos para el cliente, por lo que debió garantizarse y brindar facilidades al cliente para responsabilizar a las empresas por las operaciones no reconocidas. Así mismo se pudo establecer la obligación de alertar a los proveedores o vendedores a fin que eviten el despacho de productos cuyas compras se hayan realizado de manera fraudulenta para minimizar sus perdidas
  • En el Artículo 23.- Responsabilidad por operaciones no reconocidas se debió incluir a las compras realizadas utilizando el CVV, por ejemplo «10. Cuando la compra se haya realizado mediante una página, sitio web,  teléfono o algún otro medio que solo requiere el ingreso del CVV sin exigir la autenticación o PIN del usuario o algún otro factor de autenticación adicional y no se haya cumplido con notificar al usuario»
  • Así mismo, se debió indicar que si la empresa recibía un reclamo por operación no reconocida, dentro del plazo de 24 horas de realizada la notificación, debía anular o detener el proceso, realizando el extorno del pago y comunicando al vendedor o comercio sobre la anulación. La empresa debería en ese caso demostrar que comunicó válidamente al usuario sobre el pago realizado utilizando el medio que el usuario solicitó y que no recibió la indicación de compra fraudulenta.

[1] https://gestion.pe/tendencias/codigo-verificacion-tarjeta-credito-cvv-ccv-nnda-nnlt-263323-noticia/

[2] https://www.ennaranja.com/economia-facil/que-es-el-cvv-de-las-tarjetas-de-credito-y-por-que-en-algunos-sitios-no-lo-piden/

[3] https://www.ncl.ac.uk/press/articles/archive/2016/12/cyberattack/

[4] https://eprint.ncl.ac.uk/pub_details2.aspx?pub_id=230123

Salir de la versión móvil