En nuestro blog hemos hablado en varias oportunidades sobre técnicas de skimming y diferentes estrategias que utilizan los cibercriminales para comprometer las tarjetas bancarias. Sin embargo, hoy hablaremos sobre aquellos riesgos que muchas veces pasan desapercibidos para la mayoría de los usuarios. Te contaremos algunos detalles interesantes sobre cómo funcionan los pagos virtuales, mientras analizamos algunas de las principales y más comunes fallas de los sistemas de pagos online.
Pagos virtuales que no requieren del código de seguridad
Muchas personas piensan que el código de seguridad de 3 dígitos impreso en el reverso de una tarjeta es una condición necesaria para procesar cualquier transacción en línea. Sin embargo, algunas tiendas virtuales ofrecen la oportunidad de evitar este paso, y omiten la solicitud del código secreto para realizar un pago o una compra online.
Sergey Dobrinyuk, director de R&D en el departamento de desarrollo de negocios de Diasoft, nos explica cómo funcionan las transacciones virtuales: “A la hora de realizar una compra online, todas las tiendan deberían exigir las siguientes credenciales: número de la tarjeta de crédito, fecha de caducidad, nombre del titular de la tarjeta y el código de seguridad impreso en la reverso del plástico. Sin embargo, al momento de pagar en línea, los usuarios suelen utilizar tarjetas de una clase superior: Visa Classic, Visa Gold, etc. El banco que emite estas tarjetas se encarga de comprobar la identidad del cliente y su capacidad de compra. Por esta razón, cuando se trata de compras de costos relativamente bajos, los vendedores autorizaran las compras verificando sólo el número de tarjeta, ya que el propio banco garantiza que el cliente es un comprador confiable”.
Dobrinyuk indica que, en estos casos, “cada banco establece un piso límite para este tipo de compras, que puede alcanzar hasta u$s 1000”.
A floor limit is the payment amount above which credit or debit card transactions must be authorized.
— SWYPIT (@SWYPIT) August 28, 2011
Según el experto, en los mercados emergentes esta tendencia no es tan prominente, y los sistemas de pago presentan mayores niveles de seguridad. Sin embargo, en estos mercados no existen políticas unificadas respecto de las credenciales requeridas de las tarjetas de crédito. Es decir, que cada tienda en línea puede establecer sus propias reglas.
“Todas las operaciones llevadas a cabo de forma remota sin un código PIN o un certificado de Seguridad 3D, pueden ser impugnadas por un usuario. Si éste tiene alguna duda sobre la legitimidad de una transacción, tan sólo debe presentar una queja en el banco, y el by AdPunisher” href=”#”>dinero le será devuelto al final de la investigación pertinente”, detalla Dobrinyuk.
Dobrinyuk recomienda que los usuarios confíen sólo en tiendas virtuales que empleen un estándar de seguridad 3D (“Verified”, en Visa, y “SecureCode”, en MasterCard) para las transacciones en línea. Se trata de una autenticación de dos factores que requiere ingresar un código único, enviado al usuario a través de un SMS o impreso en el recibo de un banco.
Por desgracia, son las tiendas las que deciden qué niveles de seguridad adicional se utilizarán en sus sistemas de pago. Por lo tanto, incluso si la tarjeta del usuario está protegida por una seguridad 3D, la tienda podría simplemente omitir este paso.
@mikko @aukia Amazon do not support Verified by Visa or MasterCard SecureCode either. Well, their risk.
— Jani Kallio (@janikallionet) February 14, 2012
Por otra parte, el uso de tarjetas virtuales también ayuda a aumentar el nivel de protección. Éstas tienen un período de validez muy limitado y sólo pueden disponer de pequeñas cantidades de by AdPunisher” href=”#”>dinero. Por lo tanto, en caso de que se produjera una fuga de datos, las credenciales de pago de tu tarjeta principal no se verían comprometidas.
Como puedes ver, no es una buena idea mostrar tu número de tarjeta a nadie en quien no confíes. Si un criminal obtiene tus credenciales básicas (nombre del titular de la tarjeta y fecha de caducidad), le resultaría muy sencillo robar tu by AdPunisher” href=”#”>dinero, incluso si no contara con el código de seguridad CVV. Las buenas noticias son que, en estos casos, podrás denunciar las transacciones falsas en tu banco. Las malas noticias son que necesitarás detectar la transacción fraudulenta a tiempo y actuar con prontitud para poder denunciarla.
"Five lessons I’ve learned from having my credit card hacked" https://t.co/TQHBbK0Oqw
— Eugene Kaspersky (@e_kaspersky) November 13, 2014
Sólo para uso electrónico
Por otra parte, existe también una creencia equivocada acerca de las tarjetas VISA Electron y otras tarjetas de carácter básico que ofrecen distintos sistemas de pago. Estas tarjetas no poseen letras con relieve y llevan una leyenda impresa en el plástico que dice: “sólo para uso electrónico”.
Muchas personas asumen que estas tarjetas no pueden utilizarse para transacciones online. Sin embargo, esto depende de cada banco. Las políticas de los sistemas de pago técnicamente no restringen las operaciones en línea para estas tarjetas. Por lo tanto, los cibercriminales también podrían robar tu by AdPunisher” href=”#”>dinero por medio de este tipo de tarjetas.
Los pagos más allá de las fronteras
Debido a las fluctuaciones monetarias, uno podría experimentar problemas con los pagos en línea para comprar productos o retirar dinero en el extranjero. Uno de los riesgos en este punto son los tipos de cambio desfavorables.
“La conversión se podría aplicar en cuatro momentos: en el terminal de la plataforma de comercio electrónico, en el banco adquirente, en el sistema de pago y en el banco emisor”, advierte Dobrinyuk.
Las tarifas se aplican en cada una de estas etapas, pero el titular de la tarjeta es quien por lo general las percibe como un todo que podría o no estar incluido en el costo total de la compra. “Honestamente, sin una visión detallada de los sistemas de pago y de la estructura de comisiones del banco, un usuario común no entendería cómo funciona dicho concepto. Mi consejo: ir de compras al comercio con mejores precios”, dijo Dobrinyuk.
Puede suceder que la tarjeta sea cargada luego que el pago haya sido procesado, en tanto la tienda sea el enlace con el banco una vez hayan pasado pocos días o, incluso, semanas (las políticas de los sistemas de pago permiten hasta 45 días de retraso). Es debido a dicho retraso, en sintonía con el cambio repentino, que la tarjeta puede tener cargos a un tipo de cambio menos favorable.
Esta es la situación que muchos ciudadanos rusos están atravesando hoy día al momento de hacer compras en tiendas en línea o al retirar efectivo de los cajeros automáticos del extranjero. Así que si tienes que procesar importantes sumas de dinero bajo tales circunstancias, nuestra recomendación es que no lo hagas. Es probable que experimentes un sobregiro en caso contrario.
Puede sonar extraño, pero las tarjetas de débito sin sobregiro conllevan un riesgo mayor, de tipo “técnico” o “restringido”, situación en la que los bancos cargan a los usuarios una penalidad que puede llegar a porcentajes anuales estratosféricos.
Protegerse contra la conversión
Algunos bancos ofrecen tarjetas multi-moneda, que ofrece a sus titulares la oportunidad de variar la moneda utilizada en sus transacciones. En caso que viajes a Europa, por ejemplo, dicha tecnología te permite utilizar euros como divisa principal o USD en caso de viajar a los EE.UU. Esta es la forma más fácil de evitar la conversión. Si utilizas tu tarjeta de crédito en el extranjero con moneda fija (lo cual es lo usual), Visa Master Card etc. establecen su propio tipo de cambio.
Globe trotters, carry 12 currencies in 1 card with #AxisBank Multicurrency Forex card http://t.co/2BPTAQ9CzX #12in1 pic.twitter.com/9O68AezDn0
— Axis Bank (@AxisBank) October 30, 2014
El superávit es entonces relativamente pequeño: algunos puntos porcentuales, incluso menos. El superávit más alto es característico de los cajeros automáticos, los sistemas de pago de terceros (PayPal, por ejemplo) y terminales POS, los cuales ofrecen la posibilidad de procesar la transacción en tu moneda nativa y no en la moneda indicada en la etiqueta del precio.
Think I'd have been caught out on this one. Choose local currency when using credit card abroad http://t.co/EEA1bNaAlA via @MailOnline
— Louise Ford (@louiseatwriters) June 6, 2013
Es difícil comprenderlo: necesitas tomarte un tiempo para hacer cálculos precisos, recordando todos los tipos de cambio a la fecha en todas las monedas, tasas, etc. Toma en cuenta nuestra reflexión: en la mayoría de los casos, lo anterior supone pagos en exceso, cuyo costo es alto. Di no a este tipo de ofertas atractivas y procura pagar en la moneda que aparece en la etiqueta del precio del país donde te encuentres.
***
La verdad es que las tarjetas bancarias, así como los métodos para hacer cargos en ellas, se inventaron hace casi medio siglo y no son bajo ninguna circunstancia perfectos. Las soluciones técnicas que ofrecen los sistemas de pago no son 100% convenientes y están obligados a ofrecer más beneficios al vendedor y menos seguridad al comprador. Pero si desarrollas determinadas habilidades, podrías mitigar los riesgos. Así que sé cauteloso y toma en cuenta las peculiaridades que te compartimos en este post.
Traducido por: Guillermo Vidal Quinteiro y Maximiliano De Benedetto