¿Por qué las tarjetas de crédito llevan impreso el número y el código CVC a la vista de todos?

Question

Desde que el comercio en línea se hizo realidad, bastaba con conocer el número de la tarjeta de crédito, la fecha de caducidad y el código CVC para comprar cualquier cosa en línea. Las cosas están cambiando poco a poco a medida que la AMF es adoptada por más y más bancos en todo el mundo, pero este no era el caso de la mayoría de las tiendas online en los últimos 20 años. Incluso antes de que las compras por Internet fueran una realidad, todavía se podían comprar artículos deletreando los datos de la tarjeta por teléfono.

Entonces, ¿por qué los bancos y las empresas de tarjetas de crédito decidieron seguir imprimiendo esos códigos supuestamente secretos directamente en la propia tarjeta? De este modo, cualquiera puede hacer una foto de la tarjeta o memorizar los números y estafar al propietario de la cuenta. Esto es especialmente fácil para alguien como un camarero, ya que a menudo sacan la tarjeta fuera de su alcance durante un par de minutos mientras pagas tu cuenta.

Answer 1

En última instancia, usted no asume el riesgo de fraude, por lo que no establece la tolerancia al riesgo. El código de tres dígitos, el número completo de la tarjeta, el chip y el pin, el chip y la firma, la firma en un recibo, la información en la banda magnética, etc. Tu banco te dirá que todos ellos son realmente secretos y que debes protegerlos, pero te los tatuarían en la cara si pudieran.

El nombre del juego es la menor fricción posible en las transacciones en relación con los costes de fraude aceptables.

¿Por qué está impreso el número de tres dígitos en la tarjeta? Porque se supone que usted tiene la tarjeta en la mano cuando quiere utilizarla. Este código "secreto" surgió para combatir y/o prevenir el fraude de bajo nivel, principalmente relacionado con el robo de la banda magnética y los viejos tiempos en que los recibos eran impresiones de la tarjeta. Este número no forma parte de los datos de la banda magnética, y sólo pretende ser un secreto para la banda magnética y para las personas que puedan encontrarse en posesión de un gran número de recibos impresos (en los primeros tiempos de las tarjetas de crédito) o de una base de datos llena de números de tarjetas de crédito. Su único objetivo era ofrecer una prueba de bajo nivel de la presencia de la tarjeta para luchar contra los casos en los que se sustraían grandes cantidades de números de cuenta; no autentifica ni asegura las transacciones, no es una suma de comprobación, es sólo un número que no está en la banda magnética ni en la impresión. Curiosamente, aunque no es sorprendente, el número no es simplemente aleatorio, sino que se deriva del número de cuenta principal de forma criptográfica y sólo lo conoce el emisor de la tarjeta.

¿Por qué el banco no se esfuerza más en proteger el número? Porque el banco quiere que uses la tarjeta sin tener que recordar un número.

Quién sabe por qué el número "secreto" de cuatro dígitos de American Express se encuentra en el anverso de la tarjeta y no se oculta de forma segura en el reverso, pero está claro que el número no está pensado para que nadie tenga acceso físico a la tarjeta.

¿Por qué la tarjeta no está desnuda sino para marcarla con la información almacenada de forma segura en otro lugar? Porque dos lugares es más y es posible que no utilice la tarjeta si tiene que desenterrar el papel que le enviaron por separado con el código de tres dígitos, obviamente nunca pensado para ser seguro, impreso en él.

El incentivo del banco es que usted utilice la tarjeta. Si no la usas o utilizas una tarjeta de la competencia, el banco no gana nada.

Si quieres asegurar tus métodos de pago mejor que el nivel con el que el banco se siente cómodo, eres libre de hacerlo. Raspar los números, arrancar la banda magnética, lo que sea; aunque probablemente alterar la tarjeta sea un incumplimiento de tu contrato de socio. El banco no lo hace porque no le importa.

Answer 2

El finalidad del código de seguridad no es un PIN secreto. Su finalidad es "demostrar" que tiene la tarjeta física en su poder en el momento de la compra. Sólo se utiliza cuando el comerciante no puede confirmar que usted tiene la tarjeta física en su poder. Se utiliza cuando se compra algo en un sitio web, pero también se utiliza en una tienda física cuando no se puede escanear la tarjeta y hay que teclear el número manualmente.

La razón por la que está impresa en la tarjeta es que alguien que no sea usted podría necesitar leerla. Si se la entrega a un cajero y éste no puede escanear la tarjeta por alguna razón y debe teclear el número, puede darle la vuelta a la tarjeta y teclear el código de seguridad, demostrando al ordenador que tiene la tarjeta en su poder. Nunca fue concebido para ser memorizado, y si los usuarios de la tarjeta memorizan el código, éste pierde su eficacia como prueba de la posesión física de la tarjeta.

Se puede argumentar que tener el código impreso en la tarjeta hace que ésta sea menos segura, y algunos han sugerido raspar el código de la tarjeta después de memorizarlo, pero eso realmente sólo evitaría un tipo específico de fraude con tarjeta de crédito que no es tan común como otros métodos de fraude.

A falta de un verdadero PIN, cada vez es más frecuente utilizar el código postal de facturación como otra validación, ya que es un número que el propietario de la tarjeta ya tiene memorizado y no está impreso en ella.

Answer 3

El objetivo principal del código de seguridad es evitar que la información de la tarjeta pirateada sea reutilizada. La principal forma de lograrlo es exigir que los procesadores de pagos no almacenen este código

Los comerciantes, los proveedores de servicios y otras entidades relacionadas con el procesamiento de tarjetas de pago nunca deben almacenar datos sensibles de autenticación después de la autorización. Esto incluye el código de seguridad de 3 o 4 dígitos impreso en el anverso o el reverso de la tarjeta, los datos almacenados en la banda magnética o el chip de la tarjeta banda magnética o chip de la tarjeta (también llamados "Full Track Data") - y los números de de identificación personal (PIN) introducidos por el titular de la tarjeta. Este capítulo presenta los objetivos de PCI DSS y los 12 requisitos relacionados. Fuente - diapositiva 11

Answer 4

Usted pregunta por qué el número de tarjeta y el código de seguridad están impresos en la tarjeta. En ambos casos, repasemos un poco la historia:

El número de tarjeta

El número de tarjeta (llamado PAN en la industria) es sólo un identificador, no tiene por qué ser secreto. Es necesario para cualquier transacción, para que un cargo pueda ser... cargado a la cuenta correspondiente ya sea:

• en un punto de venta físico (TPV), utilizando el antiguo método del "impresor" (no estoy seguro de que todavía se utilice en algún lugar). Por eso, el número está realmente grabado en relieve, no sólo impreso (junto con los demás datos necesarios para la transacción: fecha de caducidad, nombre del titular de la tarjeta).

• en un punto de venta, mediante un terminal de punto de venta ("máquina de tarjetas de crédito"), que lee la banda magnética o el chip de la tarjeta, que proporcionan el PAN y el resto de los datos sin ninguna autentificación o cifrado.

• por teléfono o en papel (lo que se conoce como "MOTO" en la industria: pedido por correo / por teléfono), cuando sólo se leen los detalles por teléfono o se escriben en el formulario de pedido.

• en Internet, donde tiene que leer el número de su tarjeta e introducirlo en un formulario. ¿Cómo puedes pedir algo si no puedes leer el número de la tarjeta?

El PAN nunca se ha considerado un secreto. Es sólo un número de cuenta, exactamente igual que el número de cuenta que aparece en los cheques de papel, para saber de qué cuenta hay que sacar el dinero.

Algunas personas piensan que la clave (el último dígito) es una característica de seguridad (pobre), mientras que en realidad sólo se utiliza para proteger contra los errores de entrada (dígito cambiado, dígitos intercambiados...).

Hoy en día, la gente empieza a pensar que un PAN debe ser secreto, y esto ha llevado a la introducción de la "tokenización": en lugar de enviar el número real de la tarjeta, se envía otro número de tarjeta, que está limitado a un canal específico (y posiblemente a un dispositivo), o incluso a una sola transacción.

Este es el caso, por ejemplo, de Apple Pay: cuando registras tu tarjeta con su PAN real, el banco te devuelve un token (PAN "falso") que se utiliza en su lugar, y que solo puede usarse para los pagos realizados con Apple Pay en ese dispositivo. Si alguna vez alguien interceptara ese PAN, no podría hacer nada con él: no se aceptará para añadir una tarjeta a Apple Pay, no se aceptará en la tienda, en línea, por teléfono o en cualquier otro lugar.

¿Es realmente útil? En un mundo perfecto en el que todas las transacciones se autentifican por otros medios, realmente no debería importar, un PAN por sí mismo debería ser inútil. En la práctica, como hay canales que permiten el uso de métodos de autenticación bastante inseguros, es una línea de defensa adicional.

Tenga en cuenta que la necesidad de tokenización es probablemente algo más importante con la introducción de la tecnología sin contacto: se puede leer el PAN de cualquier tarjeta sin contacto sin ni siquiera tocarla, sólo es cuestión de acercarse lo suficiente.

El código de seguridad

El código de seguridad impreso en el reverso de la tarjeta (o en el anverso, en el caso de las tarjetas American Express) no estaba presente originalmente. Se añadió para evitar los siguientes casos de fraude:

• un recibo de tarjeta de crédito con el número completo de la tarjeta (y el nombre y la caducidad) era descartado y recogido por otra persona (esto era especialmente cierto cuando se utilizaban impresoras, pero también lo era antes de que las redes de tarjetas decidieran finalmente que estaba prohibido imprimir el PAN completo en el recibo del cliente).

• una tarjeta se "pasa" para registrar el contenido de la banda magnética, que contiene el PAN, la caducidad, el nombre del titular, etc.). Esto permitía a las personas que tenían acceso físico a las tarjetas (camareros, cajeros...) registrar un gran número de tarjetas con bastante rapidez sin que se notara.

Para contrarrestarlo, se añadió este nuevo código, que no figura en el recibo (ya que no está en relieve), y tampoco está en la pista magnética.

Este código es necesario sólo para las compras MOTO y en línea, donde no se puede ver si el usuario realmente tiene la tarjeta (una transacción llamada "tarjeta no presente"), y se quiere estar un poco más seguro de que el usuario tiene la tarjeta.

De hecho, esto es bastante fácil de eludir: basta con hacer una copia completa de la tarjeta (por ambas caras) o anotar todos los datos. Pero en muchos de los escenarios anteriores, eso hace que sea un poco más difícil para un usuario deshonesto hacerlo sin ser notado.

(La introducción de terminales portátiles también ayuda mucho, ya que el usuario puede mantener los ojos -y las manos- en la tarjeta en todo momento, pero, especialmente en los restaurantes de EE.UU., esto todavía no es una práctica habitual).

El código de seguridad también ayuda en el caso de que un sitio almacene los datos de tu tarjeta de crédito y alguien consiga acceder a ellos: en teoría, nadie puede almacenar el código de seguridad, por lo que un pirata informático sólo obtendría el PAN y la caducidad, y no podría volver a utilizarlo, pero, en la práctica, demasiada gente sigue almacenando el código de seguridad. El sector está persiguiendo esto (es uno de los aspectos de la iniciativa PCI DSS), pero aún queda mucho camino por recorrer.

La verdadera protección proviene de las nuevas medidas de autenticación (3D Secure) que permiten otro modo de verificación más allá de esos datos. Dependiendo del banco (o incluso de la tarjeta), podrían implicar:

• una contraseña
• una contraseña de un solo uso (OTP) enviada por SMS u otros medios
• autenticación biométrica (huella dactilar, reconocimiento facial, escáner de iris...)
• hablar realmente con el chip de la tarjeta mediante el uso del lector de tarjetas conectado al ordenador (no estoy seguro de que esto se haya implantado realmente en ningún sitio) ...

Tenga en cuenta que el código de seguridad se utiliza sólo para las transacciones en línea/MOTO (transacciones "sin tarjeta"). Las transacciones con tarjeta presente utilizarán:

• otro código de seguridad que está en la banda magnética (aunque es fácil de copiar)
• comunicación con el chip (en las tarjetas que lo tienen) para que la tarjeta se autentique.

Answer 5

Simple, la intención detrás del sistema de crédito es utilizar la confianza entre el intercambio de diferentes partes en un asunto oportuno. Sin embargo, el mundo cibernético está lejos de ser a prueba de balas. La mayoría de los exploits suelen estar en el propio diseño y no en otra cosa. Mi consejo para cualquiera que quiera llegar a algún sitio en la vida utilizando ordenadores, es que se dedique a habilidades comercializables como la reparación de pantallas y placas lógicas en lugar de al robo cibernético. Hay muchas más oportunidades en mostrar al mundo lo que lleva tiempo entender, es decir, la ingeniería eléctrica, en lugar de acosar a los demás robándoles (robo de tarjetas de crédito). Parece que la ciberseguridad en el futuro se basará en máquinas pensantes que tomen decisiones repetitivas, y a partir de ahí la gente podrá decidir qué dirección es más beneficiosa a largo plazo.