Este tercer artículo, que a su vez se divide en tres partes, cierra la publicación «El fraude en los pagos». En él, se introducen las mejoras que han ido incorporando las tarjetas de pago a lo largo del tiempo. Puede ser habitual pensar que los únicos cambios aportados hayan sido, en primer lugar, la aparición del chip EMV para realizar pagos con el PIN, y, en segundo lugar, la tecnología contactless para realizar pagos sin contacto. Pero esto no es así, hay otras novedades disponibles a disposición del titular de una tarjeta, y muchas otras están siendo probadas, certificadas y homologadas, por lo que llegarán próximamente. Además, las entidades bancarias también están ofreciendo más servicios a los clientes, con el fin de que tengan un control más directo sobre sus tarjetas de pago. Finalmente, la entrada en vigor de la directiva europea de pagos (PSD2) también supuso un hecho relevante que ha implicado muchos cambios en beneficio de la seguridad y la prevención del fraude.
Soluciones dirigidas a combatir el fraude
Pagos no presenciales
Una de las soluciones más destacadas en este ámbito es la que proporciona la tecnología Motion Code TM facilitada por la empresa IDEMIA.
Como puede apreciarse en la Figura 1, este tipo de tarjetas requieren de algunos elementos adicionales para poder facilitar el CVV2 de forma dinámica. Además, externamente, en el anverso y en el reverso de la tarjeta no se aprecia la presencia de estos elementos, salvo la pantalla que muestra el valor CVV dinámico.
 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Figura 1 Interior de una tarjeta de pago del fabricante IDEMIA |
 |
| Figura 2 Reverso de una tarjeta física de este fabricante |
Del conjunto de elementos que indica IDEMIA (2017) en su documento de especificidades, destacan los siguientes:
- El tiempo de cambio del código dinámico puede ser modificado acorde con las necesidades de cada entidad bancaria, si bien se indica que normalmente se encuentra establecido en una hora.
- La batería tiene una duración de más de 3 años, lo que en principio basta para el tiempo de validez de las tarjetas de pago, ya que este acostumbra a ser de 3 años. Además, la batería incorporada es seca, por lo que, si se corta, no fluye.
De acuerdo con la nota de prensa publicada por Mastercard (2019), en el Estado español Deutsche Bank ofrece la posibilidad de tener una tarjeta física con el código CVV2 dinámico utilizando la tecnología Motion CodeTM. La tarjeta de pago se denomina “Mastercard Calma DB”, y modifica el código CVV2 cada 4 horas. El plástico tiene un coste de emisión extra de 20€, y tiene impreso el PAN, el nombre del titular de la tarjeta, y la fecha de caducidad.
 |
| Figura 3 Anverso y reverso de la tarjeta Mastercard Calma DB |
Pero, la tecnología de IDEMIA, no es la única que ofrece la opción de tener CVV2 dinámicos en tarjetas físicas. Thales Group (2021) también tiene su propia tecnología, denominada Thales Gemalto DCV. Dicha tarjeta dispone de un código de verificación dinámico que se muestra en una pantalla de papel electrónico. Además, la misma empresa también ofrece otros servicios adicionales, tales como una aplicación móvil y un servidor de autenticación. La duración aproximada de la batería es de 4 años.
Como se puede observar en la siguiente figura, dicha tarjeta también requiere de diferentes elementos, con el fin de proporcionar el servicio del código dinámico.
 |
| Figura 4 Elementos que conforman una tarjeta Thales Gemalto DCV |
Del conjunto de características indicadas por Thales Group (n.d.) destaca que la batería puede generar un total de 125.000 códigos distintos. Thales Group (2021) estima que, en función del tiempo de refresco establecido, esta tiene una vida útil de 3 años (refresco cada 30 minutos) o de 4 años (refresco cada 60 minutos).
En la República Francesa, son varios los bancos que ofrecen tarjetas físicas con CVV2 dinámicos. En un artículo publicado por Balbastre et al. (2020), se enumeran el conjunto de bancos que brindan esta posibilidad, y se cuentan hasta 6 entidades distintas, entre las cuales destacan Société Générale y BNP Paribas.
La marca de pago VISA (n.d.) también pone a disposición de los bancos emisores el servicio VISA DCVV2 con el que se generan códigos CVV2 dinámicos, y se validan durante el proceso de autorización. Estos códigos dinámicos pueden ser facilitados a los titulares de tarjetas de pago por múltiples vías: aplicación móvil utilizada por el banco, aplicación móvil independiente, o mensaje SMS. Además, el servicio puede facilitar opciones adicionales a los bancos emisores, con el fin de actuar como una capa intermedia, y:
- Evitar que estos tengan que desarrollar funcionalidades de validación de este valor dinámico, ya que los valores son validados por VISA durante el proceso de autorización, con el servicio dCVV2 Authenticate.
- Reemplazar el valor dCVV2 por el valor CVV2 estático, con el fin de que estos no tengan que identificar y tratar transacciones con valores dinámicos.
Pagos presenciales
Hasta ahora, se han visto medidas que ayudan a mitigar el fraude acometido en pagos no presenciales. Pero también hay innovaciones enfocadas a los pagos presenciales, con el fin de poner más difícil la captura de datos de una tarjeta de pago de forma ilegítima. En este sentido, cada vez es más común que las tarjetas de pago tengan toda la información impresa en la cara posterior.
En una nota de prensa, Banc Sabadell (2020) indicó que las nuevas tarjetas emitidas únicamente tendrán datos impresos en el reverso. Por lo tanto, en el anverso, o cara principal de la tarjeta, no se muestra información alguna.
 |
| Figura 5 Anverso de una tarjeta del Banc Sabadell |
Algunas entidades utilizan esta medida de protección en pagos presenciales, en combinación con otras medidas de protección en pagos no presenciales. A continuación, se analizan estos casos.
Además, de acuerdo con Hyman, V. (2021), Mastercard anunció una gran novedad, y es que va a prohibir que sus tarjetas se emitan con la típica banda magnética. Este cambio será gradual, de modo que a partir del año 2024 será opcional incluir la banda magnética, y en 2033 ya estará completamente prohibido. Claro está que el hecho de no disponer de banda magnética evitará ciertos tipos de fraude acometidos en canales presenciales.
Pagos presenciales y no presenciales
Hasta ahora, se han visto medidas que ayudan a mitigar el fraude acometido en pagos no presenciales y en pagos presenciales. Para terminar el artículo, se analizan algunos ejemplos de innovación centrados en ambos tipos de pago.
El primer ejemplo ha sido desarrollado por la empresa Dynamics Inc. (n.d.) e incluye distintas innovaciones, centradas en el CVV2, pero también en el PAN y en el CVV:
- Enmascaramiento del PAN
La tarjeta únicamente tiene impreso el BIN y las últimas 4 cifras del PAN, de modo que solamente se muestran los 6 primeros números y los 4 últimos. Así pues, para mostrar todos los valores, es necesario que el usuario introduzca un código personal. Se puede establecer un tiempo de desbloqueo, pasado el cuál, el valor del PAN vuelve a quedar enmascarado.
Nota: La figura muestra el anverso de una tarjeta que contiene varios elementos diferenciadores, tales como distintos botones y una pantalla de tinta electrónica. La imagen ha sido obtenida de la página web oficial de Dynamics Inc. https://www.dynamicsinc.com/banks/security
Figura 6
Anverso de una tarjeta del fabricante Dynamics - Valor CVV
Se modifica el valor CVV presente en la banda magnética, en el chip EMV y en la información facilitada mediante tecnología contactless. Este código va cambiando dinámicamente cada vez que se realiza una compra, y es enviado a los sistemas de verificación de Dynamics Inc. para verificar su validez en una ventana temporal preestablecida. La tecnología de verificación puede integrarse en el sistema de procesamiento de pagos del emisor.
Como se analizó en el primer artículo de esta publicación, el valor CVV dinámico se denomina CVV3. - Valor CVV2
La tarjeta dispone de un botón que permite activar/desactivar la visualización del valor CVV2. Cada vez que se activa, se genera un nuevo código.
Nota: La imagen representa el reverso de una tarjeta de pago, con algunos elementos diferenciadores, tales como una pantalla de tinta electrónica, y un botón de pulsación. La imagen ha sido obtenida de la página web oficial de Dynamics Inc. https://www.dynamicsinc.com/banks/security/security-features
Figura 7
Reverso de una tarjeta de Dynamics
En la India se encuentran en uso tarjetas de pago con botones, pero, desafortunadamente, no implementan la pantalla de protección del CVV2 ni del PAN. Así mismo, todo parece indicar que no tiene CVV2 dinámico virtual.
 |
| Figura 8 Anverso y reverso de la tarjeta de pago NEXXT |
Finalmente, cabe destacar que Mastercard (2020) publicó una nota de prensa en la que anunciaba una asociación entre MasterCard y Dynamics Inc con el fin de impulsar la innovación en el mercado interactivo de tarjetas de pago.
Una tendencia creciente, seguramente por su sencillez, es la emisión de tarjetas de pago que omiten la presencia de ciertos tipos de datos. Es decir, se trata de tarjetas impresas que van desde contener el PAN de forma parcial (por ejemplo, últimas cuatro cifras) hasta no contenerlo. Algunas tarjetas, tampoco tienen impreso el valor de la fecha de caducidad ni el CVV2. Se encuentran multitud de ejemplos en este sentido, y si bien sigue con la misma filosofía del último caso estudiado, la principal diferencia radica en que, si los datos no se encuentran impresos, y no hay forma alguna de visualizarlos en la propia tarjeta, el titular de la tarjeta de pago debe acceder a su área de cliente para consultar dichos valores por Internet. Esto puede ser útil y encajar en función del target objetivo. No es lo mismo un perfil joven que un perfil más sénior. A continuación, veremos algunos ejemplos representativos en el Estado.
En primer lugar, según indica Orange Bank (n.d.) las tarjetas emitidas a sus clientes no contienen impresos el número de la tarjeta (PAN), la fecha de caducidad ni el CVV2.
 |
| Figura 9 Anverso de la tarjeta de pago facilitada por Orange Bank |
En segundo lugar, BBVA también ofrece una tarjeta de pago similar, que no tiene impresos el PAN, la fecha de caducidad ni el CVV2. Pero, lo que destaca de esta tarjeta, es que el código CVV2 es dinámico y único por cada compra online. Así pues, si un cliente desea realizar una compra online, tiene que acceder a la aplicación del banco, y consultar el número de la tarjeta, el CVV2 generado dinámicamente, y la fecha de caducidad.
 |
| Figura 10 Anverso y reverso de la tarjeta de pago Aqua |
Según una nota de prensa de BBVA (2021) desde la fecha de lanzamiento de estas tarjetas y hasta el mes de agosto de 2021, han sido emitidas más de un millón de tarjetas Aqua. En notas de prensa posteriores, BBVA (2022) idica que las tarjetas Aqua ya son el producto más contratado de su historia en España, con un total de 2,2 millones de tarjetas. Además, estas también se encuentran disponibles en países de América Latina tales como México o Perú.
Finalmente, cabe destacar que en otros países fuera de la zona Euro también se están popularizando tarjetas de pago de este tipo. En México, Banco Santander (n.d.) anunció en nota de prensa que lanzaba la primera tarjeta de crédito sin numeración. Dicha tarjeta, no tiene impreso el PAN ni el CVV2. Sigue mostrando el nombre del titular de la tarjeta de pago, y la fecha de caducidad, pero estos valores los muestra en el reverso de la tarjeta de pago, de modo que en el anverso no hay información alguna. Para pagar en comercios online se tiene que hacer uso de la versión digital de la tarjeta, de nuevo, teniendo que acceder por Internet a los sistemas del banco para poder visualizar los datos de esta. Cabe destacar, además, que el CVV2 es dinámico.
 |
| Figura 11 Anverso y reverso de la tarjeta de pago Santander Light |
Nota: Esta figura muestra el anverso y el reverso de la tarjeta Santander Light. Se puede observar que el anverso no tiene dato impreso alguno, y que el reverso únicamente contiene el nombre del titular de la tarjeta, y la fecha de caducidad. Imágenes obtenidas de la página web oficial del banco. https://www.santander.com.mx/personas/tarjetas-de-credito/sinnumeros.html
Referencias
- Balbastre,O. & Lormeau,S. (2020). Carte à cryptogramme visuel dynamique : quelles banques la proposent ?. Pricebank. https://www.banques-en-ligne.fr/questions-reponses/questions-frequentes/carte-a-cryptogramme-dynamique.html
- Banc Sabadell. (2020). Banco Sabadell presenta el diseño de tarjetas más seguras y sostenibles para sus clientes. https://prensa.bancsabadell.com/es/Noticias/2020/12/banco-sabadell-presenta-el-diseno-de-tarjetas-mas-seguras-y-sostenibles-para-sus-clientes
- Banco Santander. (n.d.) Santander lanza en México la primera tarjeta de crédito sin números. https://www.santander.com/es/sala-de-comunicacion/actualidad/santander-lanza-en-mexico-la-primera-tarjeta-de-credito-sin-numeros
- BBVA. (2021). BBVA expande el modelo de las tarjetas Aqua a América Latina. https://www.bbva.com/es/bbva-expande-el-modelo-de-las-tarjetas-aqua-a-latinoamerica/
- BBVA. (2022). BBVA revoluciona el pago a plazo en España con la tarjeta Aqua Más, que financia tres meses sin intereses. https://www.bbva.com/es/es/bbva-revoluciona-el-pago-a-plazo-en-espana-con-la-tarjeta-aqua-mas-que-financia-tres-meses-sin-intereses/
- Dynamics Inc. (n.d.) Unprecedented Fraud Protection. https://www.dynamicsinc.com/banks/security
- Hyman, V. (2021). Swiping left on magnetic stripes. Mastercard. https://www.mastercard.com/news/perspectives/2021/magnetic-stripe/
- IDEMIA. (2017). Motion Code Reinvent the code. https://www.idemia.com/wp-content/uploads/2021/01/motion-code-brochure-20171030.pdf
- Mastercard. (2019). Deutsche Bank lanza con Mastercard la Tarjeta Calma con tecnología MOTION CODE. https://newsroom.mastercard.com/eu/es/press-releases/deutsche-bank-lanza-con-mastercard-la-tarjeta-calma-con-tecnologia-motion-codetm/
- Mastercard. (2020). MasterCard and Dynamics Inc. Partner to Drive Innovation within Interactive Payment Card Market. https://newsroom.mastercard.com/press-releases/mastercard-dynamics-inc-partner-drive-innovation-within-interactive-payment-card-market/
- Orange Bank. (n.d.). Tarjeta de Débito. https://orangebank.es/cuenta-orange-bank/tarjeta-debito/#idProducto
- Thales Group. (n.d.). Thales Gemalto Dynamic Code Verification (DCV) card Next Generation Payment Card. https://www.thalesgroup.com/sites/default/files/gemalto/fs-dcv-card.pdf
- Thales Group. (2021). Tarjeta con Código de Verificación Dinámico de Gemalto. https://www.thalesgroup.com/es/countries/americas/latin-america/dis/servicios-financieros/tarjertas/tarjeta-dcv
- VISA. (n.d.). Visa dCVV2 Generate and Authenticate. VISA Developer Center. https://developer.visa.com/capabilities/visa-dcvv2-generate
Autor: Marc de Tébar - ISO 27001 L.A., CISM, PCIP, MCAF, SFPC
Dpto. Consultoría