¿Cómo de fácil es rastrear la tarjeta de crédito de otra persona?

Question

En las películas y en la ficción, los agentes del gobierno, los hackers del sótano de mamá, los villanos malvados, etc., suelen ser capaces de contar en minutos cosas como "hace veinte minutos alquiló un barco en Snow Hill" o "compró dos sándwiches de pollo y lechuga en el metro de la estación de tren de Waverley".

De hecho, ¿es posible en tiempo real conectarse a varias redes de pago? Además, ¿no dirá la transacción sólo "88,50 libras esterlinas en McGregor Inc, Snow Hill"?

¿Y si tiene tarjetas con diferentes nombres? ¿Qué es lo que realmente se rastrea? Tengo una tarjeta J Smith, otra Jane Smith, la tercera Mrs J K Smith y la amex Dr Jane Knutt Smith. Las dos primeras tienen la dirección de facturación en mis padres.

Answer 1

Aquí hay varias preguntas.

¿Es posible conectarse a una red de pago en tiempo real?
Bueno, sí, eso es más o menos parte de la definición de una red de pagos. En una transacción estándar, un comerciante se conecta a la red en tiempo real cuando procesa una compra. Esa conexión en tiempo real es el principal valor de una red para el comerciante y una de las principales justificaciones del intercambio: si la transacción es autorizada por el emisor, el emisor generalmente (al menos para las transacciones en persona, con chip) tiene la principal responsabilidad de las transacciones fraudulentas. El comerciante es libre de realizar transacciones sin autorización en tiempo real, pero generalmente hay una cierta pérdida de protección contra el fraude. Un caso de uso es el de los economatos en los barcos; puede que el barco no pueda conectarse a la red, pero el fraude no es una gran preocupación.

¿Puede un hacker leer la información de las transacciones?
No se puede asegurar que no haya vulnerabilidades desconocidas. Obviamente, si hubiera métodos generalmente conocidos, serían parcheados. Y las bases de datos en tiempo real tienen una seguridad especialmente grande.

¿Saben las redes lo que has comprado?
No, las redes conocen el número de tarjeta, el comerciante, la hora y el importe, pero el mensaje de transacción estándar no tiene campo para los artículos comprados. Si el comerciante está detallando la compra, está utilizando campos que permiten entradas personalizadas o comunicándose a través de un método distinto a los mensajes de transacción estándar. Y, por supuesto, si el comerciante tiene un número limitado de productos, entonces alguien con acceso al importe de la transacción podría ser capaz de averiguar lo que se compró. Por ejemplo, si alguien gasta menos de dos dólares en una gasolinera, es probable que haya comprado algo en la tienda de conveniencia adjunta en lugar de comprar gasolina, y teóricamente se podría obtener una lista de todos los artículos con ese precio exacto.

Answer 2

Agentes del gobierno, hackers del sótano de mamá, villanos malvados, etc. han hackeado tu PC/teléfono y por lo tanto conocen tus números de CC, y por lo tanto qué bancos (o AMEX, si tienes una tarjeta de crédito) para hackear.

Tienes razón en que la transacción sólo dice '£88.50 en McGregor Inc., Snow Hill' (técnicamente podría ser sólo una "retención" en su tarjeta por esa cantidad), pero -dada otra información suficiente- podrían deducir que usted alquiló un barco en McGregor Inc en Snow Hill, porque eso es lo que hace McGregor Inc en Snow Hill: alquilar barcos.

Como apunte, tal vez sólo leo y veo "mejores tipos" de ficción, pero no recuerdo que cosas como "hace veinte minutos alquiló un barco en Snow Hill" sean un punto de la trama. Siempre es: "su tarjeta fue utilizada en McGregor Inc. en Snow Hill; el importe fue de 88,50 libras".

Answer 3

Dependiendo del comerciante, sí, es posible ver qué artículos se compraron. Los pagos con tarjeta de crédito pueden tener 3 niveles de datos enviados por el comerciante al procesador. Si el comerciante envía datos de nivel 3, incluirá cosas como las partidas de la compra.

En cuanto a la posibilidad de rastrear las compras en tiempo real, los gobiernos podrían obtener órdenes judiciales para que los procesadores de pagos compartan los datos que tienen sobre determinadas cuentas, y los procesadores más grandes probablemente recibirían suficientes solicitudes de este tipo para tener una infraestructura que les permita compartir estos datos rápidamente.

Answer 4

Las transacciones CC suelen llevar adjuntos códigos de grupo mercantil; por ejemplo, "4457 Arrendamiento de barcos y alquiler de embarcaciones". Un CCM es un código de 4 dígitos que proporciona una descripción aproximada del tipo de gasto.

Conectarse a las redes de pago en tiempo real es definitivamente posible; la mayoría de las transacciones hoy en día son en línea.

La forma en que el hacker determina qué números de tarjeta rastrear depende del hacker. El hacker no rastrearía directamente a la "Dra. Jane Knutt Smith". En su lugar, el hacker tendría que encontrar los números de tarjeta, posiblemente de diferentes compañías de CC, y luego tratar de rastrearlos. Encontrar estos números no es una ciencia exacta.

Answer 5

En el cine y en ficción

Ahí es donde dramatización y ficción entrar en acción. Me recuerda a la escena de El infierno de Ron Howard donde el coche de alquiler del Sr. Langdon es rastreado en tiempo real.

Eso. Es. Drama.

En el mundo real (el "mundo online" es más real de lo que percibimos), debes saber que todo lo que hacemos deja rastros. Rastros que pueden ser "rastreados" utilizando el software adecuado. Otra cosa es el tiempo real.

Hay múltiples rastros de que has hecho una transacción '£88.50 at McGregor Inc., Snow Hill' . Especialmente en el banco que emite la tarjeta de crédito. Ahora estamos discutiendo si es posible o no vincular esos rastros en tiempo real y quién podría.

En el mundo financiero, no existe una única base de datos central de transacciones, sino que una multitud de entidades tienen bases de datos separadas que no hablan todas con la misma interfaz, ni con una autoridad central, no en tiempo real. Aunque las "tres hermanas" VISA MC y AMEX tengan una única y enorme base de datos de transacciones, son tres bases de datos y se debería poder vincular a estas tres. No son bancos, sino que proporcionan el enrutamiento a los bancos emisores, que proporcionan la autorización y la liquidación de las transacciones.

Ambos ACME Bank (banco emisor) y McGregor Inc. (comerciante, que posee un software CRM) tienen este registro. La doble vinculación de todos los bancos o comerciantes de un país no es posible. Y veamos por qué.

Bancos y reguladores

En varios países, especialmente en la UE (por favor, añada comentarios para EE.UU.) los bancos están obligados a informar periódicamente a las agencias gubernamentales (por ejemplo, el IRS) sobre sus clientes y transacciones. Pero 1) los informes son agregado y 2) son periódico .

Significa que no habrá una única base de datos estatal donde se pueda encontrar J. Smith purchased £88.50 at McGregor Inc. . Y ustedes (las fuerzas del orden) sólo pueden acceder a los datos con carácter mensual/trimestral/anual.

Ello se debe a que las normas de privacidad imponen fuertes límites a lo que el Estado propio.

Lo interesante es que los reglamentos son públicos y abiertos, por lo que antes de afirmar que "los bancos tienen un enlace en tiempo real con el MI-5", tendrían que demostrar tal afirmación relacionando los reglamentos y las prácticas adecuadas.

Sobre las investigaciones policiales/de inteligencia

Ninguna ley prohíbe a las Fuerzas de Seguridad y a las agencias de inteligencia recoger datos de clientes por motivos de investigación. Al menos en la UE, las fuerzas del orden pueden recopilar toda la información, incluidos los extractos bancarios, de forma individual. Pero para ello hay que preguntar al banco o al comerciante, lo que impide en tiempo real de la vigilancia.

Así que ahí es donde dramatización viene.

Por cierto, las Fuerzas de Seguridad del mundo real requieren una orden judicial para obtener las transacciones de los clientes. Una orden se emite en segundos cuando se ve una película, pero puede tomar mucho más tiempo en el mundo real .

Lo que se necesita

Para poder controlar la propia transacción, las autoridades tendrían que establecer un enlace de información en tiempo real con todas las partes interesadas. Por ejemplo un servicio web . Una interfaz común para consultar todas las transacciones financieras en tiempo real.

Hay tantos bancos en todo el mundo que si existiera ese vínculo directo en secreto habría demasiados informáticos implicados en mantener este secreto.

Es decir: o existe, y se encuentra en internet, una normativa técnica de acceso público de su Gobierno, o es una noticia falsa. Me recuerda que si el alunizaje fue una conspiración, miles de la gente debe haber sido corrompido .

Sobre las diferentes tarjetas

Es probable que se puedan relacionar con usted, simplemente comparando un identificador único como su número de seguridad social, o su identificador fiscal, emitido por el Gobierno. Los bancos están obligados a verificar, registrar y comunicar la identidad de sus clientes.

Tenga en cuenta que he estado trabajando durante años en la industria de RegTech. El Gobierno podría saber cuántas tarjetas (y dónde) tienes, pero no su código PAN.

Sobre los hackers

Casi imposible. Imposible porque los bancos tienen sistemas de seguridad muy sofisticados, obedecen a fuertes normas de privacidad y seguridad, y tienen a muchas personas pagadas con mucho dinero para proteger sus sistemas centrales.

Casi porque a veces, rara vez, algún banco es hackeado. Pero los hacks no duran para siempre, y es para un solo banco.

China aparte

China es una historia diferente. El gobierno chino está trabajando intensamente en la implantación de tecnología que permita vigilar a la sociedad en tiempo real, con evidentes implicaciones éticas, de seguridad y de privacidad que marcan las fuertes diferencias culturales con la sociedad occidental.

Tengo constancia (fuente: noticias) de que el gobierno chino utilizó big data de redes de telefonía móvil, cámaras de escaneo facial y la red de pagos AliPay para rastrear a personas sospechosas de haber estado en contacto con pacientes de COVID-19. Ninguna de mis fuentes mencionó real time Aunque el Gobierno chino y las empresas tecnológicas están trabajando en ello.