viernes, 13 de enero de 2023

El fraude en los pagos. Parte III - Entrega I: Innovaciones en las tarjetas de pago y los sistemas bancarios en pro de la seguridad

Este tercer artículo, que a su vez se divide en tres partes, cierra la publicación «El fraude en los pagos». En él, se introducen las mejoras que han ido incorporando las tarjetas de pago a lo largo del tiempo. Puede ser habitual pensar que los únicos cambios aportados hayan sido, en primer lugar, la aparición del chip EMV para realizar pagos con el PIN, y, en segundo lugar, la tecnología contactless para realizar pagos sin contacto. Pero esto no es así, hay otras novedades disponibles a disposición del titular de una tarjeta, y muchas otras están siendo probadas, certificadas y homologadas, por lo que llegarán próximamente. Además, las entidades bancarias también están ofreciendo más servicios a los clientes, con el fin de que tengan un control más directo sobre sus tarjetas de pago. Finalmente, la entrada en vigor de la directiva europea de pagos (PSD2) también supuso un hecho relevante que ha implicado muchos cambios en beneficio de la seguridad y la prevención del fraude.

Soluciones dirigidas a combatir el fraude

Pagos no presenciales

Una de las soluciones más destacadas en este ámbito es la que proporciona la tecnología Motion Code TM facilitada por la empresa IDEMIA.

Como puede apreciarse en la Figura 1, este tipo de tarjetas requieren de algunos elementos adicionales para poder facilitar el CVV2 de forma dinámica. Además, externamente, en el anverso y en el reverso de la tarjeta no se aprecia la presencia de estos elementos, salvo la pantalla que muestra el valor CVV dinámico.

Figura 1
Interior de una tarjeta de pago del fabricante IDEMIA























































 Nota: Esta imagen representa el interior de una tarjeta de pago del fabricante IDEMIA. Se pueden apreciar los diferentes elementos que debe incorporar la tarjeta para proporcionar un CVV2 dinámico: una batería, un reloj, una pantalla electrónica y una unidad de procesamiento central. Esta imagen es una captura de pantalla del fotograma presente en el minuto 0:35 del vídeo publicado en YouTube por IDEMIA en el año 2018, titulado “Securing online payments: Motion Code”. https://www.youtube.com/watch?v=SjVjQMAc5qE Copyright IDEMIA.

Figura 2
Reverso de una tarjeta física de este fabricante
Nota: En esta figura se puede apreciar el reverso de una tarjeta de pago con la funcionalidad Motion Code. Se aprecia la pantalla de tinta electrónica que muestra el CVV de forma dinámica. También se muestra que el anverso de la tarjeta tiene impresos el valor del PAN, la fecha de caducidad, y el nombre del titular de la tarjeta. Captura de pantalla de parte del Tweet publicado por IDEMIA https://twitter.com/IdemiaGroup/status/1148347803757940737
 

Del conjunto de elementos que indica IDEMIA (2017) en su documento de especificidades, destacan los siguientes:

  1. El tiempo de cambio del código dinámico puede ser modificado acorde con las necesidades de cada entidad bancaria, si bien se indica que normalmente se encuentra establecido en una hora.
  2. La batería tiene una duración de más de 3 años, lo que en principio basta para el tiempo de validez de las tarjetas de pago, ya que este acostumbra a ser de 3 años. Además, la batería incorporada es seca, por lo que, si se corta, no fluye.

De acuerdo con la nota de prensa publicada por Mastercard (2019), en el Estado español Deutsche Bank ofrece la posibilidad de tener una tarjeta física con el código CVV2 dinámico utilizando la tecnología Motion CodeTM. La tarjeta de pago se denomina “Mastercard Calma DB”, y modifica el código CVV2 cada 4 horas. El plástico tiene un coste de emisión extra de 20€, y tiene impreso el PAN, el nombre del titular de la tarjeta, y la fecha de caducidad.

Figura 3
Anverso y reverso de la tarjeta Mastercard Calma DB
Nota: Esta figura representa el anverso y el reverso de una tarjeta de pago Mastercard Calma DB. Cabe destacar que, la tarjeta física real, tiene impreso el PAN, la fecha de caducidad, y el nombre del titular de la tarjeta. Imagen en movimiento obtenida de la página web oficial del banco. https://www.deutsche-bank.es/pbc/docs/PCC-gif-calma.gif

Pero, la tecnología de IDEMIA, no es la única que ofrece la opción de tener CVV2 dinámicos en tarjetas físicas. Thales Group (2021) también tiene su propia tecnología, denominada Thales Gemalto DCV. Dicha tarjeta dispone de un código de verificación dinámico que se muestra en una pantalla de papel electrónico. Además, la misma empresa también ofrece otros servicios adicionales, tales como una aplicación móvil y un servidor de autenticación. La duración aproximada de la batería es de 4 años.

Como se puede observar en la siguiente figura, dicha tarjeta también requiere de diferentes elementos, con el fin de proporcionar el servicio del código dinámico.

Figura 4
Elementos que conforman una tarjeta Thales Gemalto DCV
Nota: En la figura se pueden observar los diferentos elementos que componen la tarjeta Thales Gemalto DCV, y el conjunto de información que se facilita en el anverso y en el reverso de la misma. La publicación se encuentra en inglés, algunos elementos de la imagen han sido adaptados y traducidos al castellano para la publicación del presente artículo. La imagen original ha sido obtenida del documento “Thales Gemalto Dynamic Code Verification (DCV) card Next Generation Payment Card”(p.3) publicado por Thales Group, n.d. (https://www.thalesgroup.com/sites/default/files/gemalto/fs-dcv-card.pdf).

Del conjunto de características indicadas por Thales Group (n.d.) destaca que la batería puede generar un total de 125.000 códigos distintos. Thales Group (2021) estima que, en función del tiempo de refresco establecido, esta tiene una vida útil de 3 años (refresco cada 30 minutos) o de 4 años (refresco cada 60 minutos).

En la República Francesa, son varios los bancos que ofrecen tarjetas físicas con CVV2 dinámicos. En un artículo publicado por Balbastre et al. (2020), se enumeran el conjunto de bancos que brindan esta posibilidad, y se cuentan hasta 6 entidades distintas, entre las cuales destacan Société Générale y BNP Paribas.

La marca de pago VISA (n.d.) también pone a disposición de los bancos emisores el servicio VISA DCVV2 con el que se generan códigos CVV2 dinámicos, y se validan durante el proceso de autorización. Estos códigos dinámicos pueden ser facilitados a los titulares de tarjetas de pago por múltiples vías: aplicación móvil utilizada por el banco, aplicación móvil independiente, o mensaje SMS. Además, el servicio puede facilitar opciones adicionales a los bancos emisores, con el fin de actuar como una capa intermedia, y:

  • Evitar que estos tengan que desarrollar funcionalidades de validación de este valor dinámico, ya que los valores son validados por VISA durante el proceso de autorización, con el servicio dCVV2 Authenticate.
  • Reemplazar el valor dCVV2 por el valor CVV2 estático, con el fin de que estos no tengan que identificar y tratar transacciones con valores dinámicos.

Pagos presenciales

Hasta ahora, se han visto medidas que ayudan a mitigar el fraude acometido en pagos no presenciales. Pero también hay innovaciones enfocadas a los pagos presenciales, con el fin de poner más difícil la captura de datos de una tarjeta de pago de forma ilegítima. En este sentido, cada vez es más común que las tarjetas de pago tengan toda la información impresa en la cara posterior.

En una nota de prensa, Banc Sabadell (2020) indicó que las nuevas tarjetas emitidas únicamente tendrán datos impresos en el reverso. Por lo tanto, en el anverso, o cara principal de la tarjeta, no se muestra información alguna.

Figura 5
Anverso de una tarjeta del Banc Sabadell
Nota: La figura representa el anverso de una tarjeta sin ningún tipo de dato impreso (PAN, fecha caducidad, nombre del titular). Captura de pantalla de elaboración propia, tomada de la nota de prensa titulada Banco Sabadell presenta el diseño de tarjetas más seguras y sostenibles para sus clientes, publicada en la web de Banc Sabadell, 2020. (https://prensa.bancsabadell.com/es/Noticias/2020/12/banco-sabadell-presenta-el-diseno-de-tarjetas-mas-seguras-y-sostenibles-para-sus-clientes)

Algunas entidades utilizan esta medida de protección en pagos presenciales, en combinación con otras medidas de protección en pagos no presenciales. A continuación, se analizan estos casos.

Además, de acuerdo con Hyman, V. (2021), Mastercard anunció una gran novedad, y es que va a prohibir que sus tarjetas se emitan con la típica banda magnética. Este cambio será gradual, de modo que a partir del año 2024 será opcional incluir la banda magnética, y en 2033 ya estará completamente prohibido. Claro está que el hecho de no disponer de banda magnética evitará ciertos tipos de fraude acometidos en canales presenciales.

Pagos presenciales y no presenciales

Hasta ahora, se han visto medidas que ayudan a mitigar el fraude acometido en pagos no presenciales y en pagos presenciales. Para terminar el artículo, se analizan algunos ejemplos de innovación centrados en ambos tipos de pago.
El primer ejemplo ha sido desarrollado por la empresa Dynamics Inc. (n.d.) e incluye distintas innovaciones, centradas en el CVV2, pero también en el PAN y en el CVV:

  • Enmascaramiento del PAN
    La tarjeta únicamente tiene impreso el BIN y las últimas 4 cifras del PAN, de modo que solamente se muestran los 6 primeros números y los 4 últimos. Así pues, para mostrar todos los valores, es necesario que el usuario introduzca un código personal. Se puede establecer un tiempo de desbloqueo, pasado el cuál, el valor del PAN vuelve a quedar enmascarado.

    Figura 6
    Anverso de una tarjeta del fabricante Dynamics
    Nota: La figura muestra el anverso de una tarjeta que contiene varios elementos diferenciadores, tales como distintos botones y una pantalla de tinta electrónica. La imagen ha sido obtenida de la página web oficial de Dynamics Inc. https://www.dynamicsinc.com/banks/security

  • Valor CVV
    Se modifica el valor CVV presente en la banda magnética, en el chip EMV y en la información facilitada mediante tecnología contactless. Este código va cambiando dinámicamente cada vez que se realiza una compra, y es enviado a los sistemas de verificación de Dynamics Inc. para verificar su validez en una ventana temporal preestablecida. La tecnología de verificación puede integrarse en el sistema de procesamiento de pagos del emisor.

    Como se analizó en el primer artículo de esta publicación, el valor CVV dinámico se denomina CVV3.

  • Valor CVV2
    La tarjeta dispone de un botón que permite activar/desactivar la visualización del valor CVV2. Cada vez que se activa, se genera un nuevo código.

    Figura 7
    Reverso de una tarjeta de Dynamics
    Nota: La imagen representa el reverso de una tarjeta de pago, con algunos elementos diferenciadores, tales como una pantalla de tinta electrónica, y un botón de pulsación. La imagen ha sido obtenida de la página web oficial de Dynamics Inc. https://www.dynamicsinc.com/banks/security/security-features

En la India se encuentran en uso tarjetas de pago con botones, pero, desafortunadamente, no implementan la pantalla de protección del CVV2 ni del PAN. Así mismo, todo parece indicar que no tiene CVV2 dinámico virtual.

Figura 8
Anverso y reverso de la tarjeta de pago NEXXT
Nota: Figura que muestra el anverso y el reverso de una tarjeta de pago NEXXT virtualizada. Se trata de la primera tarjeta interactiva con botones de la India. Las figuras son fotogramas (0:28 y 0:40) del vídeo comercial #PushTheButton to enjoy hassle-free shopping publicado por IndusIndBank en Youtube, 2018. (https://www.youtube.com/watch?v=O5TtuI_HYfE)

Finalmente, cabe destacar que Mastercard (2020) publicó una nota de prensa en la que anunciaba una asociación entre MasterCard y Dynamics Inc con el fin de impulsar la innovación en el mercado interactivo de tarjetas de pago.

Tarjetas de pago que limitan la información impresa

Una tendencia creciente, seguramente por su sencillez, es la emisión de tarjetas de pago que omiten la presencia de ciertos tipos de datos. Es decir, se trata de tarjetas impresas que van desde contener el PAN de forma parcial (por ejemplo, últimas cuatro cifras) hasta no contenerlo. Algunas tarjetas, tampoco tienen impreso el valor de la fecha de caducidad ni el CVV2. Se encuentran multitud de ejemplos en este sentido, y si bien sigue con la misma filosofía del último caso estudiado, la principal diferencia radica en que, si los datos no se encuentran impresos, y no hay forma alguna de visualizarlos en la propia tarjeta, el titular de la tarjeta de pago debe acceder a su área de cliente para consultar dichos valores por Internet. Esto puede ser útil y encajar en función del target objetivo. No es lo mismo un perfil joven que un perfil más sénior. A continuación, veremos algunos ejemplos representativos en el Estado.

En primer lugar, según indica Orange Bank (n.d.) las tarjetas emitidas a sus clientes no contienen impresos el número de la tarjeta (PAN), la fecha de caducidad ni el CVV2.

Figura 9
Anverso de la tarjeta de pago facilitada por Orange Bank
Nota: La figura muestra el anverso de una tarjeta de pago de Orange Bank. Se trata de un ejemplo realizado por ordenador, por lo que no es una foto de una tarjeta física real. La tarjeta física dispone del chip EMV.  Puede apreciarse que, el único valor impreso, es el nombre del titular de la tarjeta; en el ejemplo consta “Orange Bank”. Imagen obtenida de la página web oficial de Orange Bank, n.d. (https://orangebank.es/cuenta-orange-bank/tarjeta-debito/#idProducto)

En segundo lugar, BBVA también ofrece una tarjeta de pago similar, que no tiene impresos el PAN, la fecha de caducidad ni el CVV2. Pero, lo que destaca de esta tarjeta, es que el código CVV2 es dinámico y único por cada compra online. Así pues, si un cliente desea realizar una compra online, tiene que acceder a la aplicación del banco, y consultar el número de la tarjeta, el CVV2 generado dinámicamente, y la fecha de caducidad.

Figura 10
Anverso y reverso de la tarjeta de pago Aqua
Nota: Figura que muestra el anverso y el reverso de una tarjeta Aqua Crédito. Se puede observar que la tarjeta no tiene ningún valor impreso, salvo el nombre del titular de la tarjeta. Esta tarjeta se empezó a ofrecer el 14 de Octubre de 2020. Se ha realizado captura de pantalla de la página oficial del banco, n.d. (https://www.bbva.com/es/es/bbva-lanza-aqua-la-primera-tarjeta-sin-numeracion-y-cvv-dinamico-en-espana/)

Según una nota de prensa de BBVA (2021) desde la fecha de lanzamiento de estas tarjetas y hasta el mes de agosto de 2021, han sido emitidas más de un millón de tarjetas Aqua.  En notas de prensa posteriores, BBVA (2022) idica que las tarjetas Aqua ya son el producto más contratado de su historia en España, con un total de 2,2 millones de tarjetas. Además, estas también se encuentran disponibles en países de América Latina tales como México o Perú.

Finalmente, cabe destacar que en otros países fuera de la zona Euro también se están popularizando tarjetas de pago de este tipo. En México, Banco Santander (n.d.) anunció en nota de prensa que lanzaba la primera tarjeta de crédito sin numeración.  Dicha tarjeta, no tiene impreso el PAN ni el CVV2. Sigue mostrando el nombre del titular de la tarjeta de pago, y la fecha de caducidad, pero estos valores los muestra en el reverso de la tarjeta de pago, de modo que en el anverso no hay información alguna. Para pagar en comercios online se tiene que hacer uso de la versión digital de la tarjeta, de nuevo, teniendo que acceder por Internet a los sistemas del banco para poder visualizar los datos de esta. Cabe destacar, además, que el CVV2 es dinámico.

Figura 11
Anverso y reverso de la tarjeta de pago Santander Light

Nota: Esta figura muestra el anverso y el reverso de la tarjeta Santander Light. Se puede observar que el anverso no tiene dato impreso alguno, y que el reverso únicamente contiene el nombre del titular de la tarjeta, y la fecha de caducidad. Imágenes obtenidas de la página web oficial del banco. https://www.santander.com.mx/personas/tarjetas-de-credito/sinnumeros.html
 

Referencias


Autor: Marc de Tébar - ISO 27001 L.A., CISM, PCIP, MCAF, SFPC
Dpto. Consultoría