Obsoleta: así es actualmente la seguridad de las tarjetas de crédito

Me pasó alrededor de un mes atrás. Llega el resumen de mi tarjeta de crédito y no me “cerraban los números”. En un momento me pongo a revisar en detalle y veo una compra realizada a través de Mercadopago (el sistema de pagos de MercadoLibre) por ar$3000, en 6 cuotas de ar$500. Comencé a revisar mi cuenta, y enseguida recordé que última compra a través de ese sistema había sido de una mochila que uso y mucho – quizás por eso la recordaba – en noviembre del año pasado. Lo que me llamó todavía más la atención de todo esto es que las últimas veces en cada compra que hacía a través de este sistema tenía que llamar a VISA para “confirmar el pago” y sin embargo esta compra de casi u$s 400 pasó directamente por un tubo. Extraño.

Llamé al banco, ellos me hicieron llamar directamente a VISA. VISA Argentina me atendió muy amablemente y me dijeron que cancelaban la compra, ¿así nomás dije yo? Si, me dijeron ellos. Yo quería más datos del pedazo de forro que me había robado los datos de la misma. Estaba seguro que había sido alguien de alguna tienda en donde compré algo, pero, ¿cómo saberlo? En cualquier lugar y más ahora con las cámaras de seguridad pueden tener los datos de tu tarjeta de crédito. Además, por paranoia, suelo “meter la tarjeta” desde una distribución Live de GNU/Linux, porque uno nunca sabe, así que la opción de que “me hackeron” la PC está totalmente descartada.

El plástico se volvió increíblemente inseguro

En épocas donde ya no alcanza con una contraseña en Internet, sino que los sitios van migrando hacia un segundo tipo de autenticación (conocida en partes como autenticación de doble vía) la seguridad de las tarjetas de crédito descansa en un simple código de 3 cifras. Es por eso que el sistema actual que se utiliza en el país es totalmente obsoleto desde que comenzaron las compras por internet donde se pide solamente eso: número de tarjeta y número de seguridad. Así que en un mundo tan tecnológico, nuestro dinero está casi al azar de que un mal vendedor nos robe los números de tarjeta y después haga una compra a través de Internet. Encima después la solución del único gateway de compras (que es MercadoPago, por más que no uses Mercadolibre) es “banear” a cualquier tarjeta con mi nombre. Tarjetas de crédito

¿Existe solución al respecto

GUILLOTEMAYORAZ es el usuario de Mercadolibre que usaron para hacer una compra a mi nombre. Nunca sabré que compró por ar$3000 y realmente a priori me dan ganas de prenderle fuego todos los locales en los que usé la tarjeta, pero como no son pocos, supongo que sería peor el remedio que la enfermedad. Después de haber desconocido la compra, llamé nuevamente al banco y a VISA para ofrecerles una solución: ¿qué tal si cada compra que hacía a través de Internet debía verificarla? De esa manera tendría la tan ansiada autenticación de doble vía que se realiza por teléfono y en la cual un operador de VISA nos pregunta cosas personales y bastante sensibles como las últimas compras, cosas que un “hacker” no podría saber. La respuesta fue: “no podemos, las verificaciones se hacen al azar y no podemos determinar que un usuario deba verificar siempre”.

Así que, querido amigo, si usás tarjeta de crédito para hacer compras a través de Internet y por más paranoico que seas, siempre podés caer en la trampa de un vendedor al que le guste hacer este tipo de cosas o peor aún, de algún informático que se encarga de instalar cámaras y al revisar las de la caja “saque” los números de alguna tarjeta y luego vaya anotando y se tire a comprar algunas cosas al voleo. Hace poco vi que a Milton Vieyra, un reconocido blogger – autor de Quelapaseslindo! –  haber sufrido algo similar pero de un valor muy importante luego de haber hecho compras en un viaje a Estados Unidos.

El fraude de las tarjetas de crédito está muy latente y parece que tenemos para rato con esto. Con el sistema actual hasta un mozo con un buen entrenamiento de memoria puede aprenderse los 16 números más los 3 de seguridad en el trayecto desde que se la damos hasta que la pasan por el PostNET. Por Dios, existen tantos lugares simples en donde el sistema de seguridad es vulnerable que dan ganas de llorar, o también ponerlas con un poco de C4 y volarlas por los aires. Una solución sería que la gente pueda manejar los sistemas de PostNET (esa cajita con teclas y una pantalla) pero realmente son una de las cosas menos intuitivas que hay.

La verdadera solución sería agregar un sistema de coordenadas – algo que ya se usa en muchas tarjetas de débito – junto a un PIN. Con estas dos cosas se le agrega un nivel de seguridad extrema al sistema y por más que cualquier malhechor memorice los 16 números de nuestra tarjeta y los 3 de seguridad, la clave encriptada de coordenadas varía, y nuestro PIN nos confirma como los dueños de la misma y evitaría que la usen en caso de robo.

Actualmente VISA está intentando implementar un sistema con chip en lugar de la clásica banda magnética junto con un sistema de PIN. Lo está probando en Gran Bretaña con muy buenos resultados ya que el fraude cayó en más del 80%. Sufrir este tipo de cosas realmente te sacan las ganas de comprar con una tarjeta, incluso cuando yo me considero un comprador muy poco ansioso y la uso siempre y cuando me convenga u obtenga algún tipo de beneficio sobre pagar al contado. Quizás sea hora de comenzar a darles de baja y desprenderme del plástico. ¿Ustedes han sufrido algún tipo de fraude con sus tarjetas de crédito u otro tipo de documentación?

36 Comentarios

  1. Me haces acordar a un episodio del programa “alterados por pi” donde Paenza explicaba que para el era igual de “peligroso” darle la tarjeta a un mozo y que la lleve a la caja que ingresar el numero de la misma en una web

  2. Como dice Mariano, de nada sirve cuidar con 4 ojos la tarjeta si se la damos a un mozo, a un cajero, o al que sea, se la lleva (o la pone bajo un mostrador) y puede tener todo el tiempo del mundo para copiarte los datos…

    Tampoco me parece fiable el tema de la doble verificación para cada cosa que se compra por internet, aunque podría haber un piso tipo $1000. Soy de comprar bastante cosas, y llevo un control de cuándo y en qué gasto virtualmente. Nunca he tenido problemas (toco madera, por las dudas :D). Si bien hay métodos para quedarte con tu número en el cyberespacio, es más factible que te la hayan copiado con papel y lapiz en algún comercio “amigo”. Lástima que nunca sabemos si Visa o el que sea investiga que pasó… porque nosotros tenemos que seguir el proceso de dar de baja la tarjeta, esperar 2 semanas por una nueva (48hs de reposición las bolas…) y acomodar el tema de los débitos automáticos, y el querido ladrón de números queda impune.

    Hace poco estuve alojando una chica de Eslovaquia, y no le gustaba ni un poquito tener que darle la tarjeta en todos los negocios que compraba, como así tampoco su identificación… y claro, su tarjeta con chip acá servia de nada

    • Cuando pasa esto que compran en ML con tu tarjeta, se puede investigar adonde fue enviado el producto, si le preguntas al vendedor, o no?

      Ya teniendo la dirección de envio podes ir a buscar al ladron… salvo que este haya retirado el producto en persona donde lo compro… en ese caso habría que ver las cámaras de seguridad si es que tiene el local…

      Estoy confundido con lo que digo?

  3. Ultimamente venia pensando esto mismo, cualquier persona con solo anotarse unos numeritos de nuestras billeteras puede acceder a robarnos de una manera rápida y hasta sutil… lo gracioso es que se busca la seguridad en facebook pero no en este tipo de cosas donde el nivel de gravedad puede afectarnos realmente.

    Lo peor? aunque el sistema cambie, recien en esta epoca los negocios empezaron a ponerse las pilas con las tarjetas, por lo que renovar el sistema va a ser algo odioso y MUUUUUY lento…

    • No creas,en realidad modificar algo ya instaurado y de uso común no lo veo tan problemático, la lentitud en la implementación se debió a dos cosas, por un lado lo obsoleto de la líneas telefónicas y por otro, el mas importante, es que si vendés con tarjeta no podés vender en negro, lo que se cobra, se declara. En algunos casos tuvieron que implementar de a poco apropósito ya que declaraban tan poco que al declarar sólo las tarjetas la diferencia era tan alta que hacía saltar las alarmas en AFIP.

  4. No es una solución para evitar el fraude, pero es muy útil. Yo tengo que, con cada compra que haga con la tarjeta, se me envíe un SMS con el monto de la compra y un detalle mínimo y llega un ratito después de haberla usado. No sirve para evitar que nos roben los datos ni para evitar que hagan compras, pero te das cuenta al instante de cuando alguien está usando tu tarjeta… incluso es útil si tenés adicionales… los buchonea también.

    Ventaja importante… no hay que esperar el resumen para saber que te afanaron y se puede evitar que te sigan haciendo compras fraudulentas.
    No es gratis, pero no es tan caro, creo que alrededor de $5.

    PD: Guille, te quedó incompleta la última oración del primer párrafo.

  5. Me paso con mi tarjeta, extencion de la de mi vieja… Hasta mi hermano me llamo preguntandome si la tenia, si no la habia perdido y si tenia mi documento que estaban claramente en mi billetera, y aunque los veia con mis ojos, me seguian preguntando si estaba seguro.

    La duplicaron, hicieron compras en McDonalds (nunca piden documento) y en Carrefour (cajero amigo?) y un par de cosas mas, compras de menos de $500. Aunque no se si volvieron a comprar algo despues de las denuncias.

    Tambien me parece una boludes el que este firmada al dorso. Porque NADIE te chequea la firma, la aclaracion ni el DNI en el ticket (siempre me pregunte si el telefono te lo pide la cajera porque te quiere dar)…

    Para VISA antes de ponerse a laburar en que no les suceda esto, te hacen pagar todo, despues vemos como te lo devolvemos.

    La verificacion de 2 pasos no es mala. Si el banco cada 1 año me va a pedir renovacion de un par de claves, que confirme un mail o telefono cada 3 meses para que me manden algo DUDO que sea molesto. Tendria que haber una entrega inmediata del SMS / Mail (mmm mail con la pobre coneccion en ciertos lugares no) y que se ingrese el numero en el Posnet y la compra queda validada.

    Me imagino que los capos de seguridad deben de saber de estas opciones, debe estar en la implementacion el problema.

    Abrazo y exitos con este tema !!

  6. Hola. Que cagada lo que te paso pero te cuento algunas cosas:

    1. Actualmente VISA, MASTER y AMX con las tarjetas nuevas o las Gold, Platinum o como se llamen implementan la combinación banda magnética + chip. Supongo que debe ser más seguro.

    2. Para comprar en ML además de número de tarjeta y número de seguridad te piden vencimiento y DNI.

    3. Vos denunciaste de buena fé una compra. Pero te puedo asegurar (porque me paso) que un cliente que realmente compró después desconoció la compra y VISA me descontó el dinero de la operación sin avisos ni disculpas ni nada. Todo termino con abogados para poder recuperar la venta. El estafador salió impune. Esto es más común que el fraude que te paso a vos me parece. Osea que ahora la persona que vendió ese artículo por AR$3000 te debe estar re puteando!

    Saludos.

  7. creo q del lado del consumidor no hay problema xq visa devuelve siempre el importe, el tema es del lado del vendedor, le desconocen la compra cuando ya entrego el producto, pasa muchisimo con mercadopago

  8. Es un viejo truco usar una cam para tomar imágenes del frente y dorso de las tarjetas.

    En verano en la costa y en navidad es furor ese método.

  9. Para mi la solución a todo esto fue una sola: PAYPAL. Nunca tuve ningún inconveniente y cuando lo tuve fue por trabas realizadas por decisiones de los gobernadores de turno y no por la empresa. Y siempre, pero siempre te atienden en un instante y super amables.

  10. Les tiro una posible solucion: yo saque tarjeta solo para poder irme de vacaciones a Chile, por las dudas que la de debito no sirviera. Y estando alla en Santiago, en cualquier lado, cada vez que usabas tarjeta, el vendedor seteaba el posnet, te lo daba, y vos tenias que ingresar el numero y pasar la tarjeta. No se si es por ley asi, pero es algo muy comun, como una costumbre, ni siquiera te preguntaban. Me paso en un mcdonalds, en falabella, en el lollapalooza, en TODOS lados. A lo mejor implementando esto aca se solucionaria parte del problema. Yo despues de esa experiencia no me gusto seguir dandole la tarjeta al vendedor, es como que te sentis mas inseguro.

    • Coincido, el sistema que usan en Chile es relativamente fácil de implementar, con el posnet de cara al cliente. En algunos la pasaban ellos la tarjeta pero igualmente tenías que confirmar vos el importe. Y en restaurants (al menos a uno que fui) el mozo se acercaba con el aparato y además te preguntaba si querías incluir la propina en el pago con tarjeta. Un golazo.

  11. Lindo tema pero complejo. Acá en Uruguay el banco BBVA tiene la opción de mandarte alertas vía correo o SMS. Yo lo tengo configurado para que me mande correos y funciona muy bien. Yo usé los correos que me mandaron para reclamar una compra que hizo mi señora: fue a un comercio y le pasaron dos veces la tarjeta porque la primera vez no le habían aplicado el descuento, pues bien, llegó el Estado de Cuenta y zás, doble cobro. Llamo al banco BBVA (atención telefónica tercerizada muy, muy mala) y me dicen que tengo que ir al comercio, llamo a VISA y me dicen que el comercio hizo todo bien ya que ellos tienen todos los datos. ¿Solución? Fui al banco, a hablar con alguien en persona y listo. En cuanto a comercios, McDonalds ya ni siquiera te pide DNI, ni firma en el voucher. Lo bueno de eso es que es tan rápido como usar efectivo, lo malo es que ya ni validan de quién es la tarjeta. Es como el sistema americano, usás la tarjeta sin identificarte pues los fraudes ya están contemplados.

    Una recomendación de los bancos es nunca despegarse de la tarjeta. Si vas a un restorán y el mozo tiene el POS lejos, andá con él. En las estaciones de servicio tienen POS inalámbricos y te hacen el cupón al lado tuyo.

    Obviamente que todo esto no es gratis. Los POS se alquilan por mes y eso es un costo para el comercio. ¿Quiénes son los dueños de los POS? Los bancos y/o administradoras de crédito. Es terrible negocio.

    En cuanto al usuario final, no hay una solución perfecta, porque a los lectores de bandas magnéticas (usados para clonar) le van a seguir los lectores de chips y así ad-infinitum. ¿Se acuerdan cuando salió el NFC? Decían que se podía usar para pagar con el celular. A los pocos días ya estaba ideada la forma de robar los datos.

    Creo sí, que parte de la solución es la suma de cosas: sistema de alertas (email, SMS), compras por Internet cuya autorización se realice en el sitio del banco emisor o sello y por sobre todo que los tarjetahabientes sean conscientes del uso y los “peligros”.

  12. Que cagazo me diste con tu relato!!!

    Es algo que siempre tengo miedo me pase, relamente el sistema actual de seguridad es malisimo, lo pienso desde que tengo tarjeta de credito, eso del codigo de seguridad de 3 digitos y encima en la misma tarjeta impreso me parece lo mas inseguro del mundo!!!! no podrian poner algo mejor? en el HSBC te dan un e-token para entrar a tu cuenta y para hacer cualquier movimiento de plata siempre hay que generar un numero en el token y recian entras, creo que algo asi seria mas seguro el e-token es del tamaño de un pendrive lo podes llevar a todos lados y me da mas confianza que andar dejando los numeros de la tarjeta de credito en internet.

  13. Guau… A mi me paso lo mismo …solo que yo tengo activado el aviso a través de mensajes.

    Un día me salto una compra por 369 pesos de un instituto. Llame al supuesto instituto, fui al local deje la denuncia, fui a defensa del consumidor, y la solución en si tomo 24 horas,…. Otra que tuve fue con visa una supuesta compra de 60 dólares por 12 cuotas fui al banco me lo descontaron al toque…. Ahora con esas cosas voy donde va la tarjeta…no queda otra saludos!

  14. Cuando pasa esto que compran en ML con tu tarjeta, se puede investigar adonde fue enviado el producto, si le preguntas al vendedor, o no? Ya teniendo la dirección de envio podes ir a buscar al ladron…salvo que este haya retirado el producto en persona donde lo compro…en ese caso habría que ver las cámaras de seguridad si es que tiene el local…

    Estoy confundido con lo que digo?

  15. Yo por suerte hasta ahora no… pero si desde enero me dieron una tarjeta con CHIP. Pero que no es como en Europa con pin, sino con firma tradicional. El Santander Rio se quiere hacer el adelantado

  16. jaja yo soy todo lo opuesto. Tengo cargadas mis tarjetas en muchas PCs e incluso en telefonos. Me la paso usandolas en mercados, estaciones de servicio, negocios chicos, cámaras por todos lados.

    Todavia no me robaron.

  17. Creo, sin ánimo de ofender que como contás la situación es muy similar a las personas que le tienen miedo a subirse a un avión por si se cae, aunque la probabilidad es muy baja, lo siguen teniendo. Y mientras acá tengamos la cultura de todo efectivo, no confío en los bancos, tarjetas, etc, va a ser peor.

    Pensá que si te hubieran choreado la plata en la calle, no la recuperabas nunca, acá con un simple llamado telefónico lo solucionaste y no tenés que pagar nada.

    Obviamente que no es lo más seguro del mundo, pero sacar la plata y tenerla abajo del colchón lo es?

  18. Coincido con el informe. Guille, como es eso de “suelo “meter la tarjeta” desde una distribución Live de GNU/Linux” que me interesa saber de eso? Saludos

    • Creo que se refiere a iniciar algún Linux y hacer las compras desde cualquier navegador al día y que sea compatible con la pagina en cuestión.

  19. Por eso yo nunca compro nada por internet, ni conozco a nadie que lo haga.

    Afirmo rotundamente que el comercio electrónico (ó e-commerce) esta muerto, nadie se preocupó por crear un sistema de pagos dedicado a este menester, sin tener que recurrir a las tarjetas que llevan existiendo desde hace 50 años.

  20. Otro que piensa que las tarjetas de crédito son un chiste. Y aunque sean necesarias para financiar algunas cosas, sigo prefiriendo el efectivo. No debo a futuro y compro con lo que tengo en el momento.

    Con débito las tarjetas de la red Link son algo más seguras que las de Banelco, ya que para extraer dinero necesitás el PIN del cajero y una clave alfabética de 3 caracteres; para tarjetear te pide un PIN de cuatro números distinto al que se utiliza en el cajero. La Banelco pasa como cerveza helada, rara vez te pide el cajero un paso extra de seguridad (que es completar 3 números de tu DNI).

    Lo de la confirmación por celular es buena. Los Posnet inalámbricos ya están. El que tiene tarjeta tranquilamente puede tener celular, y será un dolor de huevos quizás pero si te dicen que con eso podes evitar fraudes van a ser pocos los que se quejen.

    Lo del teléfono y la firma en el ticket creo que te lo piden justamente por el tema del desconocimiento de compras por parte de los dueños de la tarjeta. Me lo comentó un comerciante que lo empomaron con una campera de 3 lucas hace año y medio. Creo que la firma es una forma de más o menos probar que el cliente realmente fue.

    Por último… Mercadopago no debería informar dónde se hizo la operación?

  21. Respuesta rápida:

    1) Las tarjetas con chip+pin en Europa son algo viejo. En Francia existen hace tanto tiempo (unos 20 años) que mucha gente ni está enterada de la existencia de tarjetas SIN chip. Tanto es así que cada vez que queremos usar una tarjeta argentina tenemos que explicarle a la persona que nos cobra cómo se hace: “hay que pasarla por este lugar, ve? y después hay que firmar” — ante la mirada atónita del interlocutor, que muchas veces dice “la verdad que ni sabía que había una ranura ahí [al costado del POS]”. Casi no hay máquinas expendedoras que funcionen con tarjetas sin chip, solo vi en los aeropuertos.

    2) La mayoría de los bancos acá tienen implementado un sistema de autenticación en dos pasos. Yo tengo una Visa del HSBC y cada vez que hago una compra me aparece un mensaje para que ponga un código que me mandan por SMS a mi celular.

    *flies off*

  22. Les comento lo que se para poner un poco de claridad.

    Si bien parece que la seguridad no está el día en las clásicas tarjetas el punto fuerte es que se tiene generalmente registró del comprador o del servicio incluso si es con una tarjeta robada. O sea se puede rastrear al que uso una tarjeta robada o desligar la responsabilidad en el que la proceso sin pedir la info correcta. (DNI, firma volver, etc).

    Como dicen arriba la seguridad se va a aumentar con EMV (tarjetas chip) que tiene su origen en Europa y que casi todo Latinoamérica ya adopto. Ya argentina emite en algunos bancos y principalmente para clientes internacionales estas tarjetas. Argentina y Uruguay fueron los últimos países que las emisoras dejaron para promover esta tecnología principalmente por la baja tasa de fraudes. Al contrario uno de los primeros fue Venezuela. El chip guarda entre otras cosas límites de consumos permitidos y pin.

  23. Decir solamente que el sistema de chip lleva varios años ya completamente implantado en varios lugares por el mundo. En España, por ejemplo, lo tenemos desde hace cuatro.

  24. Hay de todo , a mi hace un par de años al alquilar un auto en Bariloche me pidieron la tarjeta de garantia copiaron todito y (juro que dije que iba a pasar porque conozco del tema) un mes despues varios pasajes de Micro adentro.

    No me caliento mucho… un llamado y todo resuelto , es el que vende el del problema.

    De la misma forma… una amiga se confundio , pago entradas de cine para Moron , fue al de caballito , pago devuelta y llamo y dijo que no las compro ella.

    Esto va de todos lados …

  25. A alguno le paso esto pero con una compra en moneda extranjera? Me usaron la tarjeta para hacer compras en una aerolinea europea, por 600 dolares!! Cuando lo vi casi me muero, llame a Visa y por ahora me hicieron el reintegro de los dolares, pero aun no tengo novedades del recargo de AFIP. Encima son casi 2 lucas, y yo como soy becaria de Conicet no los recupero mas. Alguien sabe si los devuelven?

  26. A propósito muy buenos aportes encontré en este foro, soy de Chile y como bien comentan acá desde hace unos años que los bancos han reemplazado las tarjetas de tanto crédito como débito a chip + banda, pero hasta ahora no veía la diferencia con el sistema de banda magnética ya que ambos solicitan PIN (de 4 dígitos), sin embargo tras un evento acontecido en Santiago hace un par de meses donde tras el robo de un laptop entre otros bienes a un ejecutivo la policía dio con quienes manipularon y vendieron el mencionado computador tan sólo por medio de rastrear la localización satelital del mismo, claro que ello le tomó a la víctima articular muchos hilos de poder para que la policía (PDI) diera cuenta de su mecanismo de rastreo. Ahora bien traspasándolo a este mundo transaccional vía tarjetas con chip me preguntaba – tras extraviar mis documentos hace unas horas – si es posible que te puedan rastraer la ubicación de estas tarjetas y sólo la policía tenga acceso a esta información? Y si es así qué mecanismos son necesarios para articularlo? Ya que esto fue lo primero que consulté al banco emisor ( Santander) y desde luego lo desconocían por completo.

    Saludos y gracias por vuestros aportes.

    Patricio.

Dejar respuesta

Please enter your comment!
Please enter your name here