Prueba a hacer lo siguiente. para ver si puedes comprar fallando el pin de tu tarjeta.
Vete a cualquier establecimiento con TPV, realiza una compra de menos de 50 euros, y si te pide la contraseña, mete una cualquiera.
Si tu tarjeta es MasterCard, muy probablemente verás cómo el TPV o bien acepta el pago sin más, o bien muestra algún error en la pantalla, pero a ojos del cajero, el pago se hizo correctamente. Y, por supuesto, a ti te habrán cobrado la compra. Acabas de comprar fallando el pin.
La información que muestra el TPV depende del tipo de TPV, pero es que llega hasta el punto, como demostraban recientemente por un vídeo corto publicado en LinkedIn, que a veces ni hace falta meter el PIN (aunque te lo pida). Simplemente con darle varias veces al botón de OK, se procesa igualmente el pago.
Esto a un servidor le pasó ya hace como medio año, y estuve haciendo pruebas hasta darme cuenta que, en efecto, solo se producía con una de mis tarjetas, que era MasterCard, y para compras menores de 50 euros. En caso contrario, tenía que meter el PIN correctamente, como cabría esperar, si quería hacer efectivo cualquier otro pago.
Y ya por aquel entonces me dio por investigar por que pude comprar fallando pin, ya que al menos desde el desconocimiento, parece un fallo claro del sistema de pagos.
Nada más lejos de la realidad.
¿A qué se debe esto?
Históricamente, cuando llegaron las primeras tarjetas Contactless, el límite que había para realizar pagos rápidos, es decir, sin necesidad de meter el PIN, era de 20 €.
Sin embargo, estos últimos años este límite se ha decidido cambiar a 50€.
Por esta razón, era de esperar que, en efecto, cuando intentamos pagar con nuestra tarjeta por un importe inferior a 50€, el TPV no nos pidiera el sistema de autenticación.
Sin embargo, parece que debido a que los TPVs deben operar con cualquier tarjeta nacional e internacional, esto generaría algunos conflictos… Así que según qué banco y qué modelo de TPV, algunos lo han actualizado para que ya no lo pida, y otros directamente siguen mostrando la petición del PIN, aunque validen igualmente la transacción hagas lo que hagas (EN/PDF).
Es decir, que no se trata de un error del sistema, sino de un «apaño» conscientemente no corregido. Una casuística conocida por los desarrolladores que, por algún motivo que se me escapa al entendimiento (qué costaría ocultar para esos casos la petición del PIN…), no han decidido parchear en según qué sistemas con una interfaz mucho más amigable.
Como la mayoría de usuarios meten el código correctamente, es muy probable que nunca te hayas dado cuenta de esto.
Es más, reconozco que yo me di cuenta el verano pasado al hacer un pago y no recordar en ese momento el PIN de esa tarjeta, poniendo algo que claramente era un error simplemente para ganar tiempo. Ya te puedes hacer una idea la sorpresa con la que me encontré al ver que la transacción se hacía sin ningún problema…
Otras compras en días posteriores ya forzando a un PIN incorrecto me demostraron que esto ocurría así siempre.
Y por cierto, otra curiosidad más del sistema de autenticación de pagos vía tarjeta:
En estos casos, el propio ticket que imprime el TPV pide que el usuario lo firme para certificar la autoría de la compra.
Esto es algo que los establecimientos deberían pedir, como de hecho se hacía hace tiempo, ya que de cara a objetar una transacción de este tipo, si no hay firma, y tampoco se ha pedido el PIN (o el PIN introducido es incorrecto), el cliente tiene las de ganar.
Un tema un tanto complejo, ya que como hemos comentado en alguna ocasión, un sistema de autenticación basado en la firma, así como el ya clásico basado en el reconocimiento facial (comparándolo, normalmente, con la foto del documento de identidad) han demostrado ser sistemas con una tasa de error significativamente grande.
Vamos, que en este caso un potencial mal uso por parte de un agente malicioso tiene todas las de ganar. Y que en caso de disputa con la víctima real, es el establecimiento quien tiene las de perder…
En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de un ataque informático o una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.
Monitorización y escucha activa
Ponemos nuestras máquinas a escuchar para identificar potenciales fugas de información, campañas de fraude/extorsión y usurpación de identidad que estén en activo, y/o datos expuestos de ti o de tu organización.
Planes de autoridad y Presencia Digital
Ayudamos a organizaciones y particulares a definir la estrategia e implementar acciones digitales que mitiguen los posibles daños reputacionales que pueda sufrir en el futuro.
Gestión de crisis reputacionales
Cuando el mal ya está hecho, establecemos un calendario de acciones para reducir su duración e impacto, y que la organización y/o persona pueda volver a la normalidad lo antes posible.
Pablo F. Iglesias es un empresario e inversor español especializado en la Consultoría de Presencia Digital y Reputación Online, fundador de la agencia de reputación CyberBrainers, de la startup EliminamosContenido, y del sello editorial Ediciones PY. Además, es un reconocido escritor con su saga de ciencia ficción "25+1 Relatos Distópicos" y "Historias Conectadas", y la colección de fantasía épica "Memorias de Árganon". Dedica sus "horas libres" a concienciar sobre las oportunidades y riesgos del entorno digital, ya sea en charlas, talleres, sus escritos en blogs y las colaboraciones con medios de comunicación.