El uso de efectivo ha disminuido rápidamente durante la última década. El número total de pagos sin efectivo crece a un ritmo constate y las proyecciones indican que para 2022 superará las mil millones de transacciones en todo el mundo. De hecho, se prevé que para 2024 los pagos sin contacto se tripliquen y alcancen los 6,000 millones de dólares a nivel global. Eso representa un crecimiento del 300% en los próximos cuatro años. Y el cambio es comprensible. ¡Yo mismo los uso! Los pagos sin contacto son más fáciles, más convenientes, ahorran tiempo tanto a los compradores como a los comerciantes: no es necesario proporcionar un PIN o firma, y la infraestructura para dichos pagos está creciendo activamente en todo el mundo. Los latinoamericanos se encuentran entre quienes adoptaron rápidamente esta tecnología, dado a que la región muestra una alta dependencia en los dispositivos móviles.
El Covid-19 también se ha convertido en un acelerador involuntario para los pagos digitales durante los últimos meses. La pandemia está cambiando significativamente el comportamiento del consumidor y revolucionando la forma de hacer las cosas. Actualmente, las personas alrededor del mundo prefieren no manejar el dinero físico debido a los riesgos potenciales para la salud. Podría tratarse de uno de esos cambios de hábitos y mejores prácticas sanitarias que llegaron para quedarse.
Y aquí llegamos al punto en que hago mi pregunta profesionalmente obligada: ¿son seguros los pagos sin contacto? Si es tan fácil pagar a través de este sistema, ¿será igualmente fácil robar su dinero mediante un lector oculto? No hay una respuesta simple a esta pregunta.
Los pagos sin contacto se realizan con mayor frecuencia a través de una tarjeta bancaria sin contacto, que tiene un chip incorporado que emite ondas de radio. Para pagar algo, se debe acercar la tarjeta a un terminal de pago (conocido como lector RFID o NFC), el cual recibe la señal, se comunica con la tarjeta y procesa el pago. Por lo general, el alcance del lector RFID es bastante limitado. Por lo tanto, existe una barrera física que impide un posible robo. El malhechor tendría que estar muy cerca de un lector y eso es difícil de hacer de forma discreta. Al mismo tiempo, existe la posibilidad teórica de que los delincuentes construyan un escáner con un alcance de datos más amplio. Si imaginamos que un escáner de este tipo se utiliza en un lugar lleno de gente como un centro comercial, podría ser una trampa muy redituable para ellos.
La buena noticia es que hay una segunda línea de defensa: el cifrado. Para procesar el pago, la tarjeta envía al lector un código único con información cifrada que no expone los detalles de su cuenta real. Los pagos sin contacto tampoco transmiten su nombre, número de tarjeta o código de seguridad de tres dígitos. Pero, en cierto sentido, también es menos seguro, ya que no se solicita un código PIN, por lo que los medios de protección en este caso se limitan solo a las claves de cifrado generadas por una tarjeta y un terminal. En teoría, también es posible producir un terminal que lea los datos de la tarjeta mientras está guardada en su bolsillo. Pero dicha terminal tendría que usar claves de cifrado recopiladas de un banco receptor y un sistema de pago, lo que haría que esta estafa fuera bastante difícil de organizar y al mismo tiempo muy fácil de rastrear e investigar.
Otra línea de defensa es el límite del valor para las transacciones de pagos sin contacto. Este límite está codificado en la configuración de una terminal de pago del banco adquiriente, según las recomendaciones obtenidas de los sistemas de pago. Los límites varían de un país a otro, pero promedian alrededor de 25 y 30 dólares. Estos límites han tenido una tendencia a aumentar en los últimos meses. Por ejemplo, varios países de América Latina, incluidos Colombia, Argentina, República Dominicana y Costa Rica, recientemente elevaron los límites como una forma más segura para pagar durante la pandemia de Covid-19. Es debatible si esta es una forma de pago “más limpia”, pero lo cierto es que elevar el límite brinda más comodidad y un poco menos de seguridad. Se ha informado de numerosas vulnerabilidades que pueden pasar por alto estos límites. Un grupo de estafadores lo hizo tan fácil como elegir pagar en una moneda extranjera.
El segundo método popular de pago sin contacto son las billeteras digitales en nuestros teléfonos inteligentes (o relojes inteligentes), que almacenan los detalles de su tarjeta de crédito. Para comprar algo, solo necesita desbloquear su teléfono y acercarlo a la terminal de pago. La tecnología detrás de esto inicialmente fue la misma que con las tarjetas de crédito: había un chip incorporado en su teléfono móvil. Con el tiempo, algunos de los fabricantes cambiaron los chips físicos seguros a los virtuales, basados en la nube. Esto automáticamente hizo que los datos almacenados fueran menos seguros, moviéndolos a Internet, donde pueden ser interceptados.
Entonces, ¿cuál es el resultado final? ¿Los pagos sin contacto están destinados al fracaso? ¿O destronarán al dinero en efectivo para siempre?
Francamente, no creo que los pagos digitales reemplacen al efectivo por completo en el corto plazo. Hay muchas razones para esto. La inestabilidad de muchas economías es la principal. El efectivo es el rey del mercado gris y solo las economías muy desarrolladas tienen la capacidad de sobrevivir en gran medida sin él. Las empresas de todo el mundo usan efectivo para evadir impuestos o cargos adicionales asociados a los pagos con tarjeta. Y no podemos ignorar los datos duros: el porcentaje de personas que tiene tarjetas de crédito (o al menos una cuenta bancaria) sigue siendo bastante bajo a nivel mundial. También es parte de la naturaleza humana aferrarse al efectivo. Las crisis económicas de las últimas décadas en Argentina, Ecuador o Rusia, mi país de origen, han demostrado que lo primero que hace la gente en momentos de incertidumbre financiera es dirigirse al banco para sacar sus ahorros y ‘esconderlos debajo del colchón’, incluso si está condenado a depreciarse a la mañana siguiente.
Pero, como defensor del progreso técnico y testigo afortunado y “cómplice” de una industria de TI en rápido desarrollo, no tengo dudas de que los pagos digitales y sin contacto solo irán al alza. A la larga, hemos visto cómo las personas tienden a elegir la comodidad y la conveniencia en lugar de la seguridad, incluso si esta transición lleva algo de tiempo: los ascensores, los automóviles y los aviones son solo los ejemplos más comunes de estos cambios de hábitos técnicos ‘peligrosos’, que con el tiempo y con el desarrollo económico también se han convertido en parte de la nueva norma.
La tecnología de pagos sin contacto, sin duda, tiene varias capas de protección, y las posibilidades de que sus datos se vean comprometidos son mucho menores con las tarjetas sin contacto. Pero eso no significa que su dinero esté 100% seguro. En muchos aspectos, la seguridad depende de la configuración utilizada por las instituciones financieras y los comercios. Estos últimos, en su búsqueda de agilizar el proceso de compra, a veces prefieren sacrificar la seguridad del pago.
Con suerte, con el tiempo, las instituciones financieras, los fabricantes de tecnología, los ingenieros de software y los comercios ajustarán cualquier falla de seguridad. Mientras tanto, las recomendaciones básicas de seguridad siguen siendo válidas, incluso en el caso de pagos sin contacto. Evite que extraños vean la información del PIN de su tarjeta bancaria; intente limitar los casos en los que su tarjeta esté fuera de su vista o de su billetera; tenga cuidado al descargar cualquier aplicación en su teléfono inteligente; instale un antivirus en su teléfono; habilite las notificaciones por SMS de su banco, y alerte a su banco tan pronto detecte cualquier actividad sospechosa. Y si quiere estar seguro de que nadie pueda leer su tarjeta sin contacto, considere comprar una billetera con bloqueador de señal RFID o simplemente coloque papel de aluminio en su billetera habitual. No se puede engañar a las leyes de la física.
Contacto:
Eugene es un experto en ciberseguridad de renombre mundial y empresario. Es cofundador y Director General de Kaspersky, proveedor privado de soluciones de ciberseguridad y protección de endpoints más grande del mundo que trabaja, entre otros con la INTERPOL y Europol en temas contra el cibercrimen. *
Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes México.
