¿Por qué hay que indicar la fecha de caducidad de la tarjeta de crédito para hacer una compra?

Question

Esta pregunta es similar en espíritu a ¿Por qué algunas tiendas online no me piden el código de 3 dígitos del reverso de mi tarjeta de crédito? .

No veo cómo pedir la fecha de caducidad de la tarjeta de crédito, así como el número, puede proporcionar alguna seguridad adicional. Que yo sepa, el número y la fecha de caducidad siempre se dan juntos cuando se hacen compras en línea o por teléfono con la tarjeta de crédito, así que no puedo imaginar ningún escenario, ni siquiera vagamente realista, en el que un ladrón pueda obtener el número sin obtener también la fecha de caducidad. A diferencia del código de seguridad, ni siquiera es necesario dar la vuelta a la tarjeta de crédito para obtener la fecha de caducidad, y no hay normas que impidan almacenar la fecha de caducidad junto con el número.

Si el objetivo es simplemente aumentar el número de combinaciones de datos posibles para evitar la adivinación por fuerza bruta, entonces sería mucho más eficiente hacer el número de dos dígitos más largo. (Dado que las tarjetas de crédito suelen caducar entre 3 y 5 años después de su emisión, el mes de caducidad sólo multiplica el número de combinaciones entre 36 y 60, mientras que dos dígitos adicionales lo multiplicarían por 100). Eso también haría que el formato de los datos fuera más consistente, simplificaría la entrada de datos y el almacenamiento.

Answer 1

tldr; Las fechas de caducidad pueden ser beneficiosas para la seguridad (frente a los números más largos), pero la razón principal por la que existen es probablemente un remanente de cuando eran realmente necesarias.

En primer lugar, la fecha de caducidad tiene una ventaja de seguridad que va más allá de dificultar la adivinación:

Las fechas de caducidad hacen que sea mucho más fácil detectar intentos de adivinar los números de la CC.

Imagina que alguien está tratando de forzar los números de la CC. Si no tuvieran que proporcionar una fecha de caducidad, seguirían probando diferentes números hasta que dieran con uno que funcionara. Desde el punto de vista del banco (o del procesador), sólo ven las transacciones exitosas, o los intentos de cuentas inválidas. Para las que no son válidas no hay nada que puedan hacer.

Ahora considere que el posible ladrón está intentando números de cuenta con una fecha de caducidad: una vez que tiene un número de cuenta, debe hacer un bucle a través de todas las posibles fechas de caducidad para esa cuenta. Ahora, cuando el banco (o el procesador) detecta intentos de cuentas no válidas debido a fechas de caducidad incorrectas, sabe que esta cuenta está potencialmente comprometida y puede vigilarla. Esto hace que los algoritmos de detección del fraude sean mucho más eficaces.

Dejando a un lado las ventajas de la seguridad, es probable que las fechas de caducidad tuvieran mucho más sentido en la época en que las transacciones no se aprobaban o denegaban inmediatamente, sino que se copiaban con una máquina de lectura y se procesaban en algún momento en el futuro. En aquella época, los cajeros tenían que mirar la fecha de caducidad y asegurarse de que la tarjeta seguía siendo válida antes de aceptarla como pago. Aunque las fechas de caducidad ya no son necesarias, hay suficientes ventajas menores, además de la seguridad, para mantenerlas, como dar a los bancos una razón para enviarle una nueva tarjeta con un aspecto actualizado, o con tecnología adicional incorporada (chip), o incluso sólo para obligarle a notificar al banco su dirección actual para que pueda recibir la nueva tarjeta.

Answer 2

En realidad es un nivel extra de seguridad, exactamente como lo has descrito. No es mucho, pero es un punto de datos extra que se puede comprobar. Alguien que roba un número de tarjeta ahora tiene que robar también los datos de la fecha de caducidad, lo que no siempre es el caso y no todos los minoristas almacenan los datos de caducidad, simplemente los utilizan como suma de comprobación.

La fecha de caducidad en sí sirve para varias cosas, pero principalmente para que los emisores de CC se aseguren de que su la tarjeta está físicamente operativa por más tiempo . Las bandas magnéticas y el laminado se desgastan al cabo de unos años, por lo que la caducidad de la tarjeta provoca el envío de una nueva tarjeta. Si no destruyes esa tarjeta y otra persona la encuentra/roba, no tendrá la nueva fecha de caducidad para utilizarla en el proceso de validación.

Añadir más dígitos a los números de las tarjetas no es una tarea sencilla. Sin embargo, hay un movimiento de algunas de las principales empresas para empezar a utilizar hasta 19 dígitos en una tarjeta de crédito . (Tenga en cuenta que las tarjetas de 19 dígitos han existido durante un tiempo, pero son relativamente raras). Aun así, los números de tarjeta más largos no son realmente más seguros. Los ladrones roban todo el número de la tarjeta y no es sólo un generador aleatorio (aunque eso también existe). Es tan fácil robar un número de 19 dígitos como uno de 16. La fecha de caducidad sigue siendo un punto de validación, independientemente de la longitud del número de la tarjeta.

Dependiendo del acuerdo entre el vendedor (la tienda en la que está comprando) y el procesador de pagos, es posible que se les pida que recojan la caducidad, el CVV y el código postal. En el caso de las tarjetas no presentes, pueden incluso requerir la dirección postal. Todo esto se combina para añadir aún más capas de seguridad, o realmente, de reducción de riesgos. Los vendedores pagarán diferentes tasas por transacción en función de la cantidad o la escasez de información que recojan.

A fin de cuentas, el sector podría hacer muchas cosas para reducir el riesgo, pero los factores que entran en juego son en gran medida, si no totalmente, logísticos.

Answer 3

No veo cómo pedir la fecha de caducidad de la tarjeta de crédito, así como el número, puede proporcionar alguna seguridad adicional.

Las fechas de caducidad nunca han sido concebidas para proporcionar una seguridad adicional. Estás trabajando con una premisa errónea. Antes de la llegada de la verificación instantánea de las cuentas, se puso en marcha mucha infraestructura. A estas alturas (Visa liquidó 8.200.000.000.000 de dólares de transacciones en 2016) cambiar las prácticas de recopilación de datos de todo el sistema no es una tarea pequeña, por muy redundante o innecesaria que te parezca.

Las fechas de caducidad sirven para limitar el riesgo del banco emisor. Recoger y/o registrar la fecha de caducidad sirve para limitar o eliminar la responsabilidad de la transacción en los pasos vertiginosos entre el cargo y el pago al vendedor en caso de devolución de cargos. Los vendedores están obligados a no aceptar el pago de una tarjeta caducada, ni siquiera a intentar cargarla, y, en el caso de los datos almacenados de la tarjeta, no deben cargar la información de la cuenta que haya caducado. Incluso si la información de la cuenta ha caducado, debería fallar si se intenta una autorización. Y aunque las renovaciones de cuentas de crédito actuales supongan poco más que volver a emitir una tarjeta con una nueva fecha de caducidad.

No todos los datos de las tarjetas de crédito tienen que ver con la prevención del fraude, aunque hay usos tangenciales contra el fraude como la reafirmación de la fecha de caducidad o de los últimos cuatro números de la tarjeta para ayudar a garantizar que los datos de la banda magnética coincidan con la información física de la tarjeta. Para reiterar, las fechas de caducidad no tienen absolutamente nada que ver con la seguridad y sí con la responsabilidad.