Tarjetas contactless, ¿es seguro este sistema?

Si hace unas décadas el pago con las tarjetas de crédito supuso cambiar por completo nuestros hábitos de consumo (no había sensación de gasto) ahora, frente a la presión de los nuevos formatos de pago -smartphone, smartwatch, etc.- y las fintech las entidades bancarias y de crédito se han visto obligadas a evolucionar para no quedarse rezagadas ante la presión de las nuevas tecnologías y costumbres de los millennials.

Las tarjetas contactless son un guiño para el cliente: «avanzamos con tecnologías más seguras y tenemos la solidez de una entidad tradicional». De hecho, el gesto simula al que hacemos con nuestros dispositivos «inteligentes». Lo acercamos al datáfono y luego introducimos el PIN (salvo que el importe sea inferior a 20€ en los que no se requiere ninguna identificación de seguridad).

A día de hoy cerca del 80% de las tarjetas bancarias ya implementan este sistema. Y la idea es que las entidades migren todas las de débito y crédito antes de acabar el año. Todo con el fin de agilizar las transacciones bancarias e incrementar la seguridad de las mismas. ¿Pero realmente es tan seguro? El sistema se sustenta gracias a la tecnología NFC y ése es precisamente el talón de Aquiles del mismo.

Hay estudios que prueban que una app maliciosa en un smartphone que se encuentre en un radio de acción de la tarjeta y que también tenga uno de estos chips (casi todos) puede leer los datos de la tarjeta y como hay importes libres de código PIN es posible que se realicen compras sin que la entidad bancaria o de la tarjeta de crédito se dé cuenta.

Recientemente el profesor de la Universidad de Zaragoza Ricardo J. Rodríguez hizo una prueba de concepto con su alumno José Vila. Según explican en El Confidencial, mientras el primero daba una charla sobre este sistema en Nueva York (y la tarjeta estaba físicamente con él) Vila realizó una compra en una tienda de Madrid.

Cómo funciona

El Near Field Communication -su nombre en inglés- es un sistema que en el campo cercano al chip produce un campo de inducción magnética entre las antenas de los dos elementos que se comunican. En el caso de las tarjetas, entre la misma y el TPV. Esta antena insertada en el equipo también se implementa, como hemos dicho, en otros dispositivos como teléfonos, relojes inteligentes, pulseras de monitorización, etc.

Su radio de acción es de 10 cms (aunque oficialmente sea de unos 20 raras veces la señal llega nítida por encima de los 10). Esto, ciertamente, obliga que quien quiera interceptar la señal deba acercarse mucho a la misma. Es complicado que ocurra en una tienda pero, como bien dicen en Teknautas, ¿qué ocurre en la hora punta en un transporte público o en una discoteca de moda?

En ese caso el problema es grave ya que cualquier programa con un chip que se lo pida -un teléfono- le dará toda la información de la tarjeta sin encriptar. Número de tarjeta, fecha de expiración, titular de la misma, el histórico de transacciones realizadas ¡no solo con el chip NFC! sino verificadas con PIN. El duplicado perfecto para operar con pequeñas operaciones que lo suficientemente espaciadas en el tiempo pueden ser indetectables hasta para el propio dueño de la tarjeta.

Lo sorprendente es que las entidades se hayan decantado por el NFC cuando ha demostrado ser una vía extremadamente vulnerable en otros campos -permiten fácilmente las escuchas de llamadas o incluso la alteración de los datos que se envían entre dispositivos-.

Esto, hemos de reconocer, ha puesto en guardia tanto a bancos como a empresas de tarjetas que están trabajando en algún sistema de cifrado o en limitar parcialmente la información que se transmite entre dispositivos. El problema es que todas las apps que las entidades están lanzando y que permiten convertir nuestros teléfonos en tarjetas son también los perfectos receptores de datos de las tarjetas de terceros. Como salvaguarda, en caso de hacerlo con una app de este tipo, al llevar aparejados los datos del «ladrón» sería muy fácil interceptarle.

Las entidades avisan de que en caso de que se hayan hecho entre 5 y 7 compras sin PIN el cliente recibe un aviso y que pueden llegar a bloquear la tarjeta para proteger al propietario. Además que convertir una app en un sistema de robo de tarjetas es relativamente fácil de rastrear. Mastercard, por ejemplo, ha desarrollado tarjetas que empiezan a protegerse mejor de estos duplicados virtuales. Además, la plataforma de pago tiene especial atención en realizar controles aleatorios sobre este tipo de tarjetas y sus transacciones sin PIN y barajan, si lo desea el cliente, bloquear todas las operaciones con el código.

China, asalto al dinero electrónico

En muchos aspectos -y el tecnológico no iba a ser menos- China es un gigante partido en dos. Hay una parte de las sociedad enormemente tecnificada que ha abrazado sin durar las nuevas tecnologías (su poder adquisitivo se lo ha permitido) que está constantemente conectada a internet, usa wearables, no se despega de su smartphone (chino o no) y es un consumidor masivo de redes sociales. Frente a ellos hay un enorme bloque separado por una infranqueable brecha digital que sigue anclada en costumbres analógicas y que no tienen -y en muchos casos no quieren tener- acceso a algo que no entienden.

Ocurre en todos los países con más o menos porcentaje en cada lado de la balanza solo que las enorme cifras demográficas chinas magnifican la situación en el gigante asiático. El caso más llamativo es el del dinero electrónico. Hay un enorme grupo social que ni se plantea emplear una tarjeta de crédito. Solo se fían del dinero de papel. Y no dudan en realizar cualquier pago -sea cual sea su importe- con billetes. En el lado opuesto otro enorme grupo social comparte con ellos que tampoco quieren usar el dinero de plástico: se han decantado con una velocidad inusitada por los pagos electrónicos.

La rápida adaptación de los negocios y de las plataformas en línea a este nuevo mercado lo ha posibilitado y ha convertido a China en el objeto de deseo de los grandes de Silicon Valley y en un enorme vivero de empresas preparadas para dar el salto al negocio internacional.

La casi nula existencia de comisiones así como una sociedad muy materialista a la hora de representar sus sentimientos (los sobres rojos de WeChat Pay por importe de 520 yuanes colapsan la red en San Valentín porque el número se pronuncia de forma similar a «Te quiero») han hecho el resto en un grupo que se desvive por las nuevas tecnologías.

Los sistemas de pago son de lo más variopinto. Desde aplicaciones que generan códigos QR que escanean en el establecimiento cuando el cliente pasa por caja y que, por seguridad, solo duran un minuto -el más exitoso entre los menores de 35 años-, hasta sistemas contactless con tecnología NFC que poco a poco se empiezan a ver también en el anclado mercado español.

Una forma de pago que resulta más atractiva para los consumidores impulsivos (no ver salir dinero del bolsillo es muy peligroso) y que ya han puesto en marcha grandes cadenas minoristas como Uniqlo o pequeñas empresas que gestionan máquinas de vending que incorporan sistemas de pago 2.0.

La fuerza con la que se ha impuesto el dinero 2.0 es tal que según las propias empresas cada vez son más los pequeños comercios que apuestan por estos sistemas: un datáfono hay que pagarlo pero tener un sistema NFC cuesta unos pocos dólares y permite todo tipo de transacciones a todo tipo de clientes. Además, la apuesta por ellos de empresas como Alibaba, que cuenta con Alipay como sistema de pagos, ha hecho que los bancos tradicionales muestren su preocupación.

Alibaba incluso ha creado Yu’ebao, un fondo de inversión sin comisiones que, por el momento, ofrece una rentabilidad mucho mayor que la de cualquier banco tradicional. Un problema para ellos ya que el sistema de aplicaciones online que permiten gestionar el dinero desde smartphones -con una cuota de penetración enorme en China- no para de crecer y deja sin remedio a la banca en segundo plano frente a un enorme segmento poblacional.

Y no son solo los bancos chinos los que deberían preocuparse ya que WeChat Pay y otras plataformas ya han mostrado su interés de expandirse a otros mercados y el Europeo -mucho más virgen que el estadounidense- es uno de sus objetivos prioritarios. Facilitar lo pagos a los turistas chinos y a una población cada vez más asentada parece un buen primer paso para revolucionar el mundo de los pagos. ¿Estamos preparados por aquí?

Wizzo, la nueva tarjeta virtual

La primera amenaza virtual para los bancos y los emisores de tarjetas de pago tradicionales fue PayPal. La compañía americana no sólo se adelantó a las entidades financieras en 1998 cuando intuyó que el futuro del comercio iba más allá del dinero y de las tiendas clásicas, sino que, cuando se convirtió en un estándar de pago en internet por su fiabilidad y su estabilidad, se atrevió con una tarjeta «clásica». El dinero pasaba por primera vez de las transacciones en internet al «plástico» y no al revés.

 

Internet y los dispositivos móviles han cambiado por completo nuestra forma de interactuar con las tiendas y los restaurantes -de hecho, con el sector servicios en general-. Las reglas del sector financiero han cambiado por completo. Cualquier usuario puede gestionar su dinero fácilmente incluso entre entidades con sólo tocar la pantalla de su tableta o teléfono. Precisamente por eso, el banco BBVA prepara para después de este verano Wizzo, su tarjeta virtual pensada en sus clientes más jóvenes. Esos llamados nativos digitales y que en pocos años serán el grueso de sus clientes.

 

Este monedero digital, como explica Hugo Nájera, jefe de innovación de BBVA, estará conectado a la vida digital del individuo. Incluso a las redes sociales donde se podrá comprar, realizar traspasos a terceros o gestionar efectivo desde cajeros o cuentas de ahorro. El objetivo, dice, es «conectar el dinero a las actividades y los entornos digitales de sus clientes».

 

Para poder darse de alta en el servicio los requisitos son mínimos. Se han centrado en un interfaz muy sencillo e intuitivo en el que sólo hay que introducir unos pocos datos (nombre, teléfono móvil, NIF y un email) y, por último, cargar el monedero virtual desde cualquier cuenta sin pagar ninguna comisión. El límite será de 2.500 euros por monedero, por mera seguridad, pero, si un cliente cuenta con un terminal que acepte dos SIM podrá tener dos monederos y, por tanto, hasta 5.000€ cargados.

 

En principio Nájera anuncia que cuando Wizzo esté operativo contará con uno de los sistemas de verificación de identidad más avanzados de internet. Aún así, en un primer momento nadie podrá retirar más de 1.000 euros de su monedero en un cajero automático.

 

María Luis Antón, responsable de Wizzo, explicó que el siguiente paso -que no saben si estará disponible desde el primer día- será la creación de una «red social» entre los clientes de Wizzo que permita crear círculos de confianza con los que «mover» el dinero. Desde pedirlo hasta prestarlo. «Una cena de amigos donde uno paga todo y los demás le devuelven su parte». Así, el sistema te recordará quién te ha abonado, quién no y, sobre todo, no requiere que nadie entre en su cuenta de ahorro.

 

Todo ello permitirá, incluso, crear cuentas conjuntas con un fin común como recaudar dinero para el regalo de un tercero, para hacer una donación o para una fiesta. Los padres podrán ingresar en el monedero la paga semanal e, incluso, gestionar los planes de ahorro sin necesidad de sacar la cartera de casa (¿cuántos establecimientos estarán preparados para que se pague con este monedero no material?).

 

Wizzo, resumen ambos en Cinco Días, es un servicio vivo que irá aumentando sus capacidades con el paso del tiempo y que, aunque se estrenará en el Estado, acabará llegando a todos los países donde opera el BBVA.