Vulnerabilidad en las tarjetas de Crédito y Débito en Perú

vulnerabilidad tarjetas credito

Tabla de Contenido

El 27 de noviembre del 2019, Superintendencia de Banca, Seguros y AFP mediante Resolución SBS n° 5570-2019 ha modificado el Reglamento de Tarjetas de Crédito y Débito, en el cual no se ha tomado en cuenta una aparente vulnerabilidad en las tarjetas de crédito y débito. El anterior reglamento se encontraba vigente desde el año 2013.

Entre las principales modificaciones, relacionadas con la seguridad, se encuentra la disposición de eliminar el nombre del titular de la tarjeta y las notificaciones por correo o similar de los consumos realizados.

Sin embargo, las medidas de seguridad dispuestas por el reglamento parecen insuficientes en el contexto actual debido al uso del CVV

El Cvv

El CVV (Card Verification Value) es un código de verificación de la tarjeta que generalmente va impreso en la parte posterior, no se encuentra incluido dentro de la información que contiene la banda magnética de la tarjeta, por ello si la tarjeta es clonada en algunos casos no puede ser utilizada si no se dispone del CVV. El CVV es una medida de seguridad que se desarrolló en 1995.

En caso que se llegue a comprometer una base de datos que almacena números de tarjetas su  uso sería limitado ya que los CVV no son almacenados, solo están impresos en la tarjeta. Es justo esta medida de seguridad  lo que a su vez constituye su
principal vulnerabilidad 

La vulnerabilidad en las tarjetas de crédito y débito con respecto al CVV

La principal vulnerabilidad del CVV consiste en encontrarse impreso en la propia tarjeta y el hecho que la gran mayoría de comercios en internet lo han implementado y lo utilizan como factor de autenticación para realizar las ventas, debido a la facilidad que representa para los consumidores, quienes al usar el CVV ya no tienen que memorizar y recordar contraseñas para comprar con sus tarjetas.

Por ejemplo, muchas plataformas solo solicitan:

  • el número de la tarjeta
  • la fecha de vencimiento de la tarjeta y
  • el CVV

Es decir, existe plataformas que solo piden esos tres datos y no solicitan ninguna clave, ni el nombre del titular o autenticación adicional, lo cual constituye un gran riesgo debido a que:

  • Un delincuente no necesita tener la tarjeta en su poder para realizar compras
  • No se requiere saber u obtener la clave o PIN del cliente
  • Es suficiente tener una imagen o foto de ambos lados de la tarjeta para realizar compras no autorizadas
  • Es suficiente con anotar los datos de ambos lados de la tarjeta para realizar compras no autorizadas
  • No se requieren sofisticadas técnicas o medios tecnológicos (phishing, clonación, skimmer,etc ) para obtener los datos
    necesarios de la tarjeta sin que el usuario se percate.
  • No se requiere clonar las tarjetas
  • No es necesario utilizar el denominado phishing para tener la información necesaria pare realizar compras
  • Se pueden utilizar sitios legítimos o páginas web seguras, con las respectivas medidas de seguridad como https por ejemplo, para realizar compras válidas pero no autorizadas

Se está utilizando una medida de seguridad que fue diseñada con la finalidad de brindar  protección de otra vulnerabilidad totalmente distinta.

Observar a partir del segundo 58” 

Riesgos de utilizar el CVV como factor de validación

 

Esto genera riesgos para el cliente por cuanto:

 

  • El cliente no denuncia el robo, clonación o perdida de la tarjeta porque es muy probable que no sea necesario que le roben o clonen la tarjeta
  • Al no haber reportado la pérdida o clonación es más difícil realizar reclamos por compras no reconocidas
  • Los bancos pueden aducir que las compras se realizaron de manera válida cuando en realidad no lo fueron y por tanto se
    cargan los gastos a cuenta del cliente

 

Adicionalmente  

 

  • Se generan riesgos para el comercio electrónico generando desconfianza
  • Se pone en riesgo a los vendedores quienes tendrían que asumir costos por consumos no reconocidos
  • Se expone a los clientes a asaltos con el fin de obtener sus tarjetas

 

Legislación comparada

 

España

 

El 25 de noviembre del 2018 entró en vigencia en España el Real Decreto-ley 19/2018, de servicios de pago y otras medidas urgentes en materia financiera, el cual establece entre otros:

 

  • Se prohíbe que un comercio realice un recargo al cliente por pagar de forma electrónica.
  • En los casos en que el fraude se produzca como consecuencia del robo o pérdida de tarjeta, el usuario es responsable por el uso fraudulento antes de la comunicación del robo o la pérdida, pero por una cuantía limitada a un máximo de 50 euros y además establece que la reclamación, que éste plantee en su entidad, se resuelva en un plazo máximo de 15 días.
  • En los supuestos de copia o duplicado de la tarjeta, como el usuario no pierde en ningún momento su posesión y no tiene
    forma de conocer que se está produciendo el fraude, el banco le deberá devolver de inmediato el importe total de la operación no autorizada, sin que el usuario deba responsabilizarse de ninguna cantidad
  • Se introduce la «autentificación reforzada» del cliente, como medida de seguridad adicional para realizar pagos o acceder a su cuenta. Esto implica que, para cualquier tipo de pago, la empresa deberá utilizar un sistema de doble autentificación. Por ejemplo, el cliente deberá introducir una contraseña y además, un código de SMS enviado a su teléfono.
  • Crea el llamado «Open Banking», por el que se obliga a los bancos a que concedan acceso a terceros a las cuentas de sus
    clientes. Estos terceros serán prestadores de servicios como aquellos para pagar sin tarjeta y Apps para ver la información financiera. Esto implica que las entidades financieras deban reforzar sus medidas de seguridad

 

Colombia

 

El Decreto 587 del 2016 estableció la posibilidad de revertir los pagos de los clientes cuando se realizaràn compras con tarjetas de crédito o cualquier medio de pago electrónico a través de internet, comercio electrónico, tiendas virtuales, call center o Proveedores de Servicios Electrónicos. Los participantes en el proceso de pago deben revertir los pagos en los siguientes casos:

 

  • Cuando el consumidor sea objeto del fraude.
  • Cuando corresponda a una operación no solicitada
  • Cuando el producto adquirido no sea recibido
  • Cuando el producto entregado no corresponda a lo solicitado, no cumpla con las características inherentes o las atribuidas por la información que se suministre sobre él.
  • Cuando el producto entregado se encuentre defectuoso.

 

Recomendaciones

 

Hasta que en el Perú no se tomen medidas de seguridad adecuadas al respecto es recomendable tomar las siguientes
precauciones:

 

  • Borre el código CVV de las tarjetas donde recibe su sueldo y tiene sus ahorros importantes (el código CVV solo es necesario en caso de compras por internet o por teléfono)
  • Escoja las tarjetas que va a utilizar para realizar compras por internet y/o teléfono, anote a mano los datos en un lugar
    seguro y borre el CVV. Cuando necesite hacer compras virtuales utilice los datos anotados. No lleve consigo estos datos
  • Identifique a que bancos pertenecen sus tarjetas, anote en casa los números telefónicos del banco para reportar robos.
  • Si se le extravía o roban la tarjeta diríjase inmediatamente a la dependencia policial más cercana a presentar la denuncia y a la vez reporte al banco el extravío lo antes posible.
  • Active las alertas por compras o consumos realizados por sus tarjetas, Usted determine el medio que considere más efectivo, tome con precaución las sugerencias que le hagan al respecto
Abogado José Sabastizagal
Abogado José Sabastizagal
Comparte el artículo
Facebook
Twitter
LinkedIn
WhatsApp
Email

Deja un comentario