Ya han pasado los días en que las máquinas manuales de tarjetas de crédito eran la norma para procesar los pagos con tarjetas de crédito en todo el mundo. Desde entonces se han creado varias tecnologías, pero hoy en día la más utilizada en EE.UU. es la banda magnética, en la que los datos de la tarjeta se codifican estáticamente en una banda magnética que luego pasa por el sistema de punto de venta (TPV), requiriendo que el usuario autentifique su identidad mediante un código PIN o proporcionando una firma. ¿El problema? Bueno, para empezar, ese funcionamiento nos retrasa mucho en relación con el resto del mundo, y estas tarjetas, tanto de crédito como de débito, son muy fáciles de duplicar utilizando máquinas lectoras baratas, lo que puede permitir a los delincuentes empezar a comprar de inmediato sin apenas disuadirlos.
Por ello, ya a mediados de la década de 2000 se introdujo un nuevo estándar para Europa y en 2013 para Australia, e incluso algunos bancos de países latinoamericanos han hecho la transición a esta nueva tecnología. Desarrollado por primera vez por Europay, Mastercard y Visa, el estándar EMV utiliza un chip que genera códigos de transacción única. También requiere que los usuarios, además de insertar la tarjeta en una máquina POS compatible, proporcionen un código PIN y una firma para autenticar la transacción.
Después de ver que actualmente hay algunos desarrolladores de tecnología que están dispuestos a invertir en Investigación y Desarrollo para la mejora de esta tecnología, podríamos concluir que se espera que EMV sea la dirección que va a tomar la seguridad de las tarjetas de crédito en los próximos años, convirtiéndose en un imperativo absoluto.
«Se espera que el EMV sea la dirección que va a tomar la seguridad de las tarjetas de crédito en los próximos años, lo que lo convierte en un imperativo absoluto»
Sin embargo, hay muchas preocupaciones de que esta tecnología no sea completamente segura o efectiva para disuadir el fraude. Visa y Mastercard, grandes defensores de la tecnología EMV, fijaron un plazo en octubre de 2015 para lo que entonces denominaron un «cambio de responsabilidad». Con ello, han trasladado de hecho la responsabilidad a cualquiera de las partes -comerciante o entidad financiera- que utilice una tecnología menos segura. Así, ahora se da el caso de que si un comerciante tiene capacidad de chip pero un banco no emite tarjetas con chip, el banco asumirá el coste del fraude. Por el contrario, si el comerciante opta por pasar una tarjeta a pesar de tener capacidad de chip, será responsable de los fraudes que se produzcan.
Lea también: Robo de identidad: Control de daños
Aunque la introducción de las tarjetas EMV ha reducido el número de fraudes con tarjetas falsificadas, el número de fraudes con tarjetas no presentes, o CNP, está en realidad en aumento, lo que ocurre durante las transacciones telefónicas o en línea -como comprar algo en Amazon.com o comprar una pizza por teléfono.
Además, aunque el negocio opte por la transición a un TPV compatible con tarjetas con chip, el uso de un PIN no es necesario en el caso de las tarjetas de crédito, lo que significa que una tarjeta robada puede utilizarse fácilmente en esos negocios que deciden no verificar la exactitud de una firma, lo que no es nada raro.
También existe la preocupación de que la propia tecnología no sea completamente segura, incluso si se utiliza correctamente. Según The Hacker News, hay varias vulnerabilidades inherentes a las tarjetas con chip. Por ejemplo, los investigadores han sido capaces de predecir el patrón de lo que se supone que son números impredecibles. Esto les permitió duplicar tarjetas con chip.
Los investigadores de seguridad también encontraron una forma de eludir por completo los requisitos de PIN o de firma realizando ataques man-in-the-middle en las tarjetas con chip. Por último, Wired informó de que un equipo británico encontró fallos en algunas tarjetas con chip Visa «sin contacto» que permitían aprobar transacciones en moneda extranjera de hasta 999.999,99 dólares. Por supuesto, una tarjeta con chip «sin contacto» no es más arriesgada sólo por este hecho, sino porque no requiere ningún tipo de comprobación de seguridad para aprobar una transacción, ya que ésta se encuentra en la propia tarjeta. Por tanto, sería más fácil para un delincuente robar una tarjeta con chip sin contacto y utilizarla sin tener que hacer mucho para encubrir su delito, o simplemente podría fabricar un lector de tarjetas sin contacto casero, evitando la necesidad de tocar la tarjeta en absoluto.
Ante todo esto, ¿qué opción nos queda a los consumidores? Parece que mientras las empresas bancarias y de tarjetas de crédito deciden cuál es la mejor tecnología a implantar, y hasta que la propia tecnología se ponga a la altura de unos delincuentes cada vez más versátiles, la mejor protección contra el fraude con tarjetas de crédito parece seguir siendo la precaución a la antigua, ya que no se puede elegir el tipo de tecnología de tarjeta que acabará dentro de nuestras carteras. Gran parte del mundo ha decidido cambiar a la tecnología de tarjetas con chip hace años, y Estados Unidos acaba de empezar a hacer la transición hacia ella. Ya no hay vuelta atrás, pero definitivamente tendremos que mirar hacia el futuro para lo que pueda deparar y estar preparados para ello.