Es m芍s seguro que la tarjeta de cr谷dito de pl芍stico, gracias a unas tecnolog赤as antifraude y unas medidas legales cada vez m芍s eficaces. Los expertos coinciden en se?alar al pago m車vil 〞es decir, aquel que se realiza acercando a un dat芍fono un smartphone en el que est芍 registrada una tarjeta〞 como un medio que no presenta ning迆n problema particular en cuanto a seguridad (siempre y cuando se sigan algunas pautas de sentido com迆n), pero con el que los usuarios necesitan familiarizarse m芍s.
Hace no mucho, ※cuando se empezaron a llevar a cabo los primeros pagos con tarjeta de cr谷dito a trav谷s de internet§ 〞Amazon lanz車 su web en Espa?a hace apenas ocho a?os〞, ※estos tambi谷n generaron reticencia por parte del usuario§, rememora Jos谷 Mar赤a Ba?os, socio fundador de Letslaw, un despacho de abogados especializado en el entorno digital y tecnol車gico. Si en 2013 los consumidores online con tarjeta realizaron 8,1 movimientos de media, en 2018 se preve赤a que estos fueran 14, seg迆n el tercer informe de Bankinter Consumer Finance, lo que supone un aumento del 73% en tan solo cinco a?os. El a?o pasado, las estimaciones de la entidad financiera propiedad del banco que dirige Mar赤a Dolores Dancausa arrojaban tambi谷n un gasto online promedio a trav谷s del pl芍stico de 886 euros.
El pago m車vil se lleva a cabo a trav谷s de aplicaciones que permiten vincular una o varias tarjetas con el smartphone. Pueden ser apps del banco emisor de la tarjeta (como los wallets de BBVA o de Santander, CaixaBank Pay o Twyp, de ING) o de las grandes tecnol車gicas (como Apple Pay, Google Pay o Samsung Pay). Esta peculiar modalidad empieza a despegar y, en 2018, supuso el 2,4% de todos los pagos, con una media de 35 euros por operaci車n, estable con respecto al a?o anterior, siempre seg迆n Bankinter Consumer Finance. Para Ba?os, se trata de un proceso m芍s seguro que pagar a trav谷s de la tarjeta bancaria f赤sica. ※Cuando utilizamos una contactless para un pago inferior a 20 euros, no estamos sometidos a ninguna medida de autenticaci車n previa que verifique la identidad o confirme la voluntad del usuario de realizarlo. Con el pago m車vil, s赤§, explica este letrado.
El dispositivo
Lo que garantiza principalmente la seguridad del pago a trav谷s del m車vil, en opini車n del director t谷cnico del comparador bancario iAhorro, Gonzalo Benito, son cuatro factores. El primero de ellos es el mismo smartphone. ※Actualmente los m車viles cuentan con sistemas de autenticaci車n sofisticados, con elementos cl芍sicos como contrase?as, c車digos PIN o patrones, as赤 como con elementos biom谷tricos, m芍s recientes e innovadores (identificaci車n facial, de iris o huella dactilar)§, desglosa este experto.
Estos constituyen la primera capa de seguridad del dispositivo. Adem芍s, todos los grandes fabricantes incorporan seguridad extra, tanto en el hardware como en el software. Al respecto, Benito menciona Apple Secure Enclave y Samsung Knox, dos soluciones que permiten el almacenamiento de datos sensibles de una manera segura.
La comunicaci車n de campo cercano
Cada vez que acercamos el m車vil a la terminal de cobro (TPV), la conexi車n entre los dos dispositivos se realiza a trav谷s de la comunicaci車n de campo cercano (NFC, por sus siglas en ingl谷s), que es tambi谷n el segundo elemento que garantiza la seguridad de la transacci車n. Esta utiliza una frecuencia de radio de corto alcance, de tal manera que es suficiente acercar el m車vil a menos de 20 cent赤metros del TPV. Una vez que el usuario ha validado su identidad, se env赤an los datos necesarios (siempre encriptados) y se efect迆a el pago.
※Podemos considerar estas aplicaciones m芍s seguras que el uso f赤sico de las tarjetas de cr谷dito, porque no intercambian detalles personales, de tarjetas o cuentas, con las entidades que realizan el cobro§, en palabras de Benito.
La importancia del &token*
En su lugar, lo m芍s habitual es que, entre la app instalada en el m車vil del cliente y la entidad de cobro, 迆nicamente se intercambie un token, es decir, un c車digo 迆nico, aleatorio y de un solo uso, que identifica de manera inequ赤voca la operaci車n. ※Aunque el token fuera sustra赤do de alguna manera, no tendr赤a ninguna validez en ninguna otra transacci車n§, destaca Benito.
Para este experto, ※la evoluci車n en materia de seguridad en este 芍mbito es constante y, si bien los cibercriminales no paran de probar nuevas t谷cnicas con relativo 谷xito, las medidas para contrarrestarles no se quedan atr芍s§, asegura, y el token (el tercer elemento que, en su opini車n, garantiza la seguridad de estos intercambios) no es una excepci車n.
Buenas pr芍cticas
A迆n as赤, toda la seguridad del mundo no basta si cometemos elle error de no utilizar la cuarta baza, es decir, las buenas pr芍cticas en el pago m車vil. Seg迆n Benito, deber赤amos utilizar solo aplicaciones con buena y contrastada reputaci車n, asegurar el dispositivo y sus apps con contrase?as complejas y m谷todos biom谷tricos, y no configurarlas en redes wifi p迆blicas, en las que es f芍cil ser v赤ctima de una suplantaci車n. ※Es importante desconfiar de enlaces sospechosos e instalar un antivirus§, sugiere este experto.
No obstante, el supuesto en el que puede darse un mayor riesgo de sufrir un fraude es en caso de robo o p谷rdida del dispositivo. ※Si eso ocurriera, el usuario deber赤a actuar como si hubiese perdido su tarjeta de cr谷dito, bloqueando el dispositivo y denunciando el robo o el extrav赤o§, aconseja Ba?os.
La PSD2
En cuanto al amparo legal en caso de fraude, seg迆n la segunda directiva europea de servicios de pago (PSD2, por sus siglas en ingl谷s), traspuesta al ordenamiento espa?ol por Real Decreto el pasado noviembre, la responsabilidad principal recae en el proveedor del servicio. El usuario responder芍 por un importe muy limitado, fijado en 50 euros. De esta forma, ※cuando un usuario de servicios de pago niegue haber autorizado una operaci車n de pago ya ejecutada, o alegue que esta se ejecut車 de manera incorrecta, corresponde al proveedor del servicio demostrar que esta fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo t谷cnico u otra deficiencia del servicio mismo§, aclara Ba?os.
※En caso de que se ejecute una operaci車n de pago no autorizada, el proveedor de servicios de pago devolver芍 al usuario el importe, a m芍s tardar al final del d赤a h芍bil siguiente a aquel en el que se haya notificado la operaci車n§, a?ade este abogado.
Autenticaci車n reforzada
Pero, subraya Ba?os, seg迆n lo establecido por la PSD2, ※el comercio puede conectarse directamente con el banco a trav谷s de una API, es decir, una interfaz entre el consumidor y el negocio, sin que intervenga un proveedor de medios de pagos con sus tarjetas§.
Es por ello que, como parte de la directiva, y para garantizar la seguridad de las operaciones, el 14 de septiembre entrar芍 en vigor una nueva regulaci車n de pagos online llamada autenticaci車n reforzada. Esta obliga a que todas las operaciones de pago electr車nico (entre ellas, las que se realizan a trav谷s del m車vil) se autentiquen utilizando al menos dos de estos tres m谷todos: algo que solo conoce el usuario (por ejemplo, un PIN o una contrase?a), algo que solo 谷l posee (como un n迆mero de tel谷fono), y algo que el usuario es y sea intransferible (su huella dactilar, el rostro, o su 赤ride).
Una serie de sistemas que hacen que el pago a trav谷s del m車vil 〞y, m芍s en general, el comercio electr車nico〞 sea extremadamente seguro.
