En los últimos días, medios tan respetados como el Wall Street Journal se han hecho eco de una noticia con un enfoque peculiar. Al parecer, algunos bancos estadounidenses están experimentando un nivel de fraude más alto de lo normal en tarjetas de sus clientes.
Los delincuentes habrían recabado información sobre la identidad de los clientes así como de sus tarjetas de crédito. A continuación, utilizan unas vulnerabilidades encontradas en la validación de tarjetas de crédito de sistemas de pagos móviles de ciertos bancos. El objetivo es tener una tarjeta activada con la que hacer compras fraudulentas en tiendas de lujo o de alta tecnología para luego revender los productos con facilidad en mercados de segunda mano.
Los bancos aún estarían perfilando los protocolos de autorización de sistemas de pagos móviles como Apple Pay. Y aquí es donde está el problema: bandas muy organizadas aprovechan la debilidad de los sistemas de alta de nuevas tarjetas de crédito para "colar" tarjetas e identidades robadas y que sean aceptadas como auténticas.
Según un especialista en pagos móviles consultado por The Guardian:
En algunos casos, los defraudadores llaman al banco ellos mismos para alertar de que van a realizar "un viaje fuera de la ciudad" de modo que las reglas anti-fraude que buscan anomalías (tipo un cliente que vive en California haciendo transacciones en Miami) no haga saltar las alarmas.
En otras ocasiones, las entidades financieras llegan a utilizar el número de la seguridad social estadounidense para confirmar la identidad de sus clientes. Aunque se supone que es un número secreto, lo cierto es que el SSN es uno de los grandes objetivos de robo de bases de datos en internet.
Un problema exclusivo de los bancos
Hasta aquí uno deduce que el problema surge de forma exclusiva en el campo de los bancos, no de Apple. Sin embargo, dos periodistas del Wall Street Journal no dudaron en escribir un artículo titulado "El fraude llega a Apple Pay". Con un titular tan alarmista, no es de extrañar que uno acabe teniendo la sensación de que todo este asunto es culpa de Apple.
La apuesta de Apple por revolucionar los pagos móviles es muy ambiciosa y contempla medidas de seguridad que hasta la fecha no han sido vulneradas. Touch ID, un sistema de tokens y el completo anonimato en la transacción física son las palancas con las que Apple aspira a mover este mercado incipiente. Todo a cambio de un 0,15% de comisión cobrada a las entidades bancarias por cada transacción.
Eddie Cue afirmó durante la presentación de Apple Pay que su compañía no guardaba en ningún momento los datos de la tarjeta ni los compartía con el comercio. Para ello, se crea un número único por cada dispositivo que acaba almacenado en el Secure Element. El sistema de tokens genera un número de un único uso para cada transacción junto con un número de seguridad dinámico (el que está en el reverso de las tarjetas).
Si tienes curiosidad por saber cómo funciona este sistema en detalle, Pedro Aznar estuvo en una demostración de Apple Pay de la mano de Visa durante la MWC de Barcelona. Aunque siempre nos centramos en el aspecto físico, Apple Pay está también preparado para realizar compras online seguras.
Este tipo de fraude no deja de ser un caso más de robo de identidad. Por desgracia, los sistemas de seguridad son tan resistentes como el más débil de sus eslabones. En este caso, la pelota está en el tejado de los bancos. Esperemos que para el desembarco europeo de Apple Pay, los bancos del viejo continente estén más preparados.
En Applesfera | ¿Apple Pay hace más sencillo el fraude con tarjetas?.
Ver 33 comentarios