(+34) 910 42 42 93 [email protected]

Prueba a hacer lo siguiente.

Vete a cualquier establecimiento con TPV, realiza una compra de menos de 50 euros, y si te pide la contraseña, mete una cualquiera.

Si tu tarjeta es MasterCard, muy probablemente verás cómo el TPV o bien acepta el pago sin más, o bien muestra algún error en la pantalla, pero a ojos del cajero, el pago se hizo correctamente. Y, por supuesto, a ti te habrán cobrado la compra.

La información que muestra el TPV depende del tipo de TPV, pero es que llega hasta el punto, como demostraban recientemente por un vídeo corto publicado en LinkedIn, que a veces ni hace falta meter el PIN (aunque te lo pida). Simplemente con darle varias veces al botón de OK, se procesa igualmente el pago.

Esto a un servidor le pasó ya hace como medio año, y estuve haciendo pruebas hasta darme cuenta que, en efecto, solo se producía con una de mis tarjetas, que era MasterCard, y para compras menores de 50 euros. En caso contrario, tenía que meter el PIN correctamente, como cabría esperar, si quería hacer efectivo cualquier otro pago.

Y ya por aquel entonces me dio por investigar, ya que al menos desde el desconocimiento, parece un fallo claro del sistema de pagos.

Nada más lejos de la realidad.

¿A qué se debe esto?

Históricamente, cuando llegaron las primeras tarjetas Contactless, el límite que había para realizar pagos rápidos, es decir, sin necesidad de meter el PIN, era de 20 €.

Sin embargo, estos últimos años este límite se ha decidido cambiar a 50€.

Por esta razón, era de esperar que, en efecto, cuando intentamos pagar con nuestra tarjeta por un importe inferior a 50€, el TPV no nos pidiera el sistema de autenticación.

Sin embargo, parece que debido a que los TPVs deben operar con cualquier tarjeta nacional e internacional, esto generaría algunos conflictos… Así que según qué banco y qué modelo de TPV, algunos lo han actualizado para que ya no lo pida, y otros directamente siguen mostrando la petición del PIN, aunque validen igualmente la transacción hagas lo que hagas (EN/PDF).

Es decir, que no se trata de un error del sistema, sino de un «apaño» conscientemente no corregido. Una casuística conocida por los desarrolladores que, por algún motivo que se me escapa al entendimiento (qué costaría ocultar para esos casos la petición del PIN…), no han decidido parchear en según qué sistemas con una interfaz mucho más amigable.

Como la mayoría de usuarios meten el código correctamente, es muy probable que nunca te hayas dado cuenta de esto.

Es más, reconozco que yo me di cuenta el verano pasado al hacer un pago y no recordar en ese momento el PIN de esa tarjeta, poniendo algo que claramente era un error simplemente para ganar tiempo. Ya te puedes hacer una idea la sorpresa con la que me encontré al ver que la transacción se hacía sin ningún problema…

Otras compras en días posteriores ya forzando a un PIN incorrecto me demostraron que esto ocurría así siempre.

Y por cierto, otra curiosidad más del sistema de autenticación de pagos vía tarjeta:

En estos casos, el propio ticket que imprime el TPV pide que el usuario lo firme para certificar la autoría de la compra.

Esto es algo que los establecimientos deberían pedir, como de hecho se hacía hace tiempo, ya que de cara a objetar una transacción de este tipo, si no hay firma, y tampoco se ha pedido el PIN (o el PIN introducido es incorrecto), el cliente tiene las de ganar.

Un tema un tanto complejo, ya que como hemos comentado en alguna ocasión, un sistema de autenticación basado en la firma, así como el ya clásico basado en el reconocimiento facial (comparándolo, normalmente, con la foto del documento de identidad) han demostrado ser sistemas con una tasa de error significativamente grande.

Vamos, que en este caso un potencial mal uso por parte de un agente malicioso tiene todas las de ganar. Y que en caso de disputa con la víctima real, es el establecimiento quien tiene las de perder…

En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de un ataque informático o una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.

Pablo F. Iglesias
Pablo F. Iglesias

Pablo F. Iglesias es Consultor de Presencia Digital y Reputación Online, director de la Consultora CyberBrainers, escritor del libro de ciencia ficción «25+1 Relatos Distópicos» y la colección de fantasía épica «Memorias de Árganon», un hacker peligroso, y un comilón nato 🙂