Al término del 2013, Target
Corporation, la segunda cadena de tiendas por departamento y de
descuento en Estados Unidos después de Walmart,
sufrió el robo de información vinculada a las tarjetas de pago (débito y
crédito) de sus clientes, dicho fraude conocido como skimming -consistente en
apropiarse datos que permiten realizar transacciones o consumos fraudulentos a
través de clonaciones de tarjetas o robos de identidad (nombres de
tarjeta-habientes, números de tarjetas, fechas de caducidad y los CVV (Card Security Code)- ,de acuerdo al portal web de la Cable News
Network (CNN) [1],
afectó a alrededor de 40 millones de clientes. A pesar de haber realizado las medidas pertinentes
para mitigar dicho acto delictivo, el hecho generó también pérdidas a los bancos,
emisores de tarjetas involucrados, y multas y penalidades para la propia Target.
Los fraudes en el uso de tarjetas de pago se han hecho
cotidianos debido a la innegable demanda de estas nuevas modalidades de pago,
las formas de efectuarlos devienen en métodos de mayor complejidad que resultan
de difícil detección, lo que a su vez ha traído como consecuencia nuevos
escenarios de exposición y focos de vulnerabilidad en los procesos de
autenticación de las tarjetas de pago e identidad de los tarjeta-habientes a
raíz de la implementación de plataformas tecnológicas que permiten a las
empresas del sistema financiero y establecimientos (puntos de venta) dinamizar
sus actividades comerciales y agilizar sus procesos operativos, ante ello es
preciso incrementar y optimizar las acciones que permitan prevenir situaciones
de fraude en todo el proceso comprendido para el pago con tarjetas.
El portal web The
Economist [2] señala a Estados Unidos como el líder en fraudes de tarjetas de pago, siendo
éste el único país que presentó una constante creciente en fraudes y
falsificación de tarjetas, a diferencia de otros países desarrollados; el
motivo sería que Estados Unidos aún depende del uso de las bandas magnéticas
contenidas en las tarjetas de pago para autenticar el uso de las mismas y de
sus transacciones; a diferencia de España y otros países que han implementado
el uso de un circuito integrado (chip)
en sus tarjetas de pago que aumentan la seguridad en los procesos de compras y
transacciones de los agentes involucrados (usuarios, empresas
afiliadas al pago con tarjetas y empresas emisoras de las mismas) debido a la
posibilidad de almacenar en ellos procedimientos criptográficos de datos
sensibles de los tarjeta-habientes. Dicho sistema corresponde al estándar EMV (Europay Mastercad Visa), estándar de interoperabilidad de tarjetas
con circuito integrado (chip) que reúne
operaciones y medidas de seguridad en todos los procesos involucrados a través
de los cuales se puede emplear una tarjeta como medio de pago (consumidores,
emisores de tarjetas, terminales de pago, cajeros automáticos, centros
autorizados, entre otros).
Los fraudes en el uso de tarjetas de pago no son
exclusivos de un país determinado, la realidad en el Perú para la autenticación
de las tarjetas de pago e identidad sus usuarios, no es ajena a la
estadounidense en tanto ambos responden a la lectura de bandas magnéticas para realizar
operaciones. Los terminales de venta y las empresas emisoras de tarjetas se ven obligadas a implementar medidas de seguridad
adicionales para sus transacciones con tarjetas de pago, sin embargo dichas medidas no son suficientes para que
las pérdidas por fraudes se sigan generando, en tanto las mismas son reactivas
a la realización de los fraudes cometidos ya que para ello debe necesariamente procesarse
la transacción por la entidad operadora de las tarjetas de pago.
Los consumos fraudulentos resultan de
difícil detección en la media que son realizadas con tarjetas que contienen información
adquirida de forma ilícita vinculada a los datos de autenticación de los
tarjeta-habientes titulares, es así que dichas tarjetas clonadas actúan como si
se tratasen de las tarjetas originales ya que se ha replicado la banda
magnética, y serán autenticados en los puntos de venta, cajeros automáticos u
otros agentes por los datos que en ellos contienen. Por ello, la Sala Especializada
Sin embargo, a partir del 31 de
diciembre del 2014, conforme a lo establecido en la Resolución SBS N° 6523-2013,
Reglamento de Tarjetas de Crédito y
Débito [4] las empresas que emitan tarjetas de pago (débito y crédito) en el Perú,
cambiarán las tarjetas de bandas magnética por tarjetas con chip. Con ello el
proceso de autenticación para el uso y verificación de las tarjetas de pago responderá
a estándares internacionales de seguridad cumpliendo como mínimo los requisitos
establecidos por el de EMV. Las
tarjetas deberán contar con un circuito integrado que permitirá almacenar y
procesar la información del usuario y sus operaciones cumpliendo medidas de
seguridad establecidas que reducirán los riesgos de fraude, y definirán la
responsabilidad por parte de los emisores de tarjetas de pago, en las
operaciones no reconocidas que hayan sido objeto de clonación y de las
suplantaciones del usuario en las oficinas de la empresa emisora.
Los fraudes masivos como el que se efectuó a Target,
permiten reflexionar finalmente si los costos de implementación para
desarrollar mejores formas de autenticación de tarjetas de pago, resultan mayores
en comparación a las pérdidas originadas por fraudes cometidos, en tanto
seguirán persistiendo mientras no se proteja de manera directa los nuevos
escenarios de exposición y focos de vulnerabilidad en los procesos de autenticación
de las tarjetas de pago. Asimismo, Implementar el estándar EMV a través de las tarjetas con chip, no pondrá fin a la comisión
de actos delictivos y fraudulentos en tanto los mismos también seguirán
perfeccionándose, sin embargo generará un referente en el tiempo en el que se
comenzarán a reducir los índices de comisión de fraudes con el uso de tarjetas
de pago en el mercado peruano.
Enrique Ochoa, julio de 2014
Referencias:
[1] Ver:
[2] Ver:
[3] Ello, conforme a lo establecido por la Sala de Defensa de la Competencia N° 2 (Resolución N° 577-2012/SC2-INDECOPI de 29 de febrero de 2012).
[4] De fecha 30 de octubre de 2013, publicada en el diario oficial ‘‘El Peruano’’ el 2 de noviembre de 2013.
Fotografía del post tomada de aquí.
Esta entrada es parte del blog "Consumidor S.A." a cargo de Enrique Ochoa.
0 comentarios:
Publicar un comentario