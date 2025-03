Últimamente, abultan las noticias de robo de datos de tarjetas bancarias muy sofisticados y de clientes que han perdido muchísimo dinero por el uso fraudulento de sus tarjetas. Términos como el skimming, el shimming, relaying, aplicaciones troyanos, etc. ponen el pelo de punta, pero la verdad es que, aunque posibles, estos robos son relativamente difíciles de implementar y no son de alcance de cualquiera. Se habla mucho de ellos porque son muy “espectaculares” pero las incidencias reales son muy bajas.

Lo que se pierde de vista es que la gran mayoría del uso fraudulento de las tarjetas sucede por robos de datos muy pedestres, cometidos en presencia del usuario sin que él sea consciente. A continuación se comentan estos métodos de robo de datos cuando se paga en un comercio y damos pistas a qué prestar atención para prevenir ser víctima de una posible estafa.

La manera más sigilosa de robar Si bien la pérdida o robo de la tarjeta es una de las principales causas por las que se puede vaciar una cuenta bancaria, existe un método mucho más peligroso porque sucede sin que el titular de la tarjeta se dé cuenta del robo. Estamos hablando de la clonación de la tarjeta.

La clonación de la tarjeta consiste en la obtención de los datos de la misma para su posterior uso fraudulento. Para empezar, ¿de qué datos de la tarjeta se habla? Se trata del número de la tarjeta, la caducidad y el titular. Esto es todo lo que se necesita para poder cursar una transacción presencial (no online) a nombre del titular de la tarjeta. Aunque sí es verdad que el PIN o el reconocimiento facial limitan los gastos grandes, también existen métodos que sortean estas verificaciones, simulando resultados exitosos de una verificación que nunca se lleva a cabo. Pero estos ya son métodos mucho más sofisticados y se hablará de ellos en siguientes artículos.

Volviendo a lo básico, de forma general, se distinguen dos vías de robo de datos de la tarjeta: robo de información escrita visiblemente sobre la tarjeta y robo de información codificada dentro del chip o la banda magnética de la tarjeta.

A estas alturas espero haya quedado clarísimo que la información impresa sobre la tarjeta de plástico es suficiente para clonar la tarjeta, y como tal se tiene que esconder de ojos ajenos. Basta un segundo para sacar una foto de una tarjeta, y esto se puede hacer en miles de situaciones. La protección en estos casos es cuestión de sentido común, y se resume en “Mantener las tarjetas bien vigiladas y, si se puede, pedir al banco tarjetas que no llevan impresos los datos”. Mejor aún, usar el móvil o un wearable de pago como el anillo Rikki donde no se revela ninguna información sobre la tarjeta del usuario.

Ser cauto ayuda a mantener los datos a salvo Existen muchas situaciones cotidianas donde las malas prácticas conllevan un gran riesgo de robo de datos de tarjeta. Estos riesgos son fácilmente prevenibles si se tenga cuenta del conocimiento que estamos compartiendo.

A menudo en las calles de las grandes ciudades se ven personas con dorsales de una ONG que solicitan donación. La gente que decide colaborar proporciona los datos de su tarjeta para que se pueda procesar después el pago de la ayuda humanitaria. ¡MAL! El que pide estos datos, en el mejor de los casos es un ingenuo, y expone a un riesgo importante el titular de la tarjeta. Mejor dar el número de la cuenta bancaria porque las domiciliaciones son mucho más fáciles de controlar y disputar si hace falta.

A la llegada a un hotel el recepcionista quiere fotocopiar la tarjeta del huésped para poder procesar el pago, la fianza o lo que sea. ¡NO SE TIENE QUE HACER! Existe toda una normativa respecto al manejo de datos de tarjetas y hay un certificado especial, el PCI DSS, que se tiene que obtener para recopilar y guardar datos de pago.

En un restaurante de postín se pide la cuenta para pagar con tarjeta y traen el ticket de la cena dentro de una carpeta de cuero donde dejar la tarjeta. MAL. Una vez perdida de vista la tarjeta es cuestión de segundos sacarle una foto a los datos.

Quizás en España estos casos se producen cada vez menos, pero se producen. Sin embargo, cuando se viaja al extranjero…

Según un informe emitido por la Autoridad Bancaria Europea (EBA) en el 2024, el primer semestre del 2023, se defraudaron más de 600 millones de euros en pagos realizados con tarjetas. Ahora bien, el 71% este importe correspondía a operaciones transfronterizas.

Por tanto, cuando se paga de forma presencial en un comercio, por mucha confianza que nos ofrezca el dependiente de dicho comercio en el momento en que se cede la tarjeta o los datos de la misma a otra persona, se pierde el control sobre ella. Cabe recordar que todas las empresas de los ejemplos citados suelen tener un alto índice de rotación de personal, mucho más si se viaja en temporada alta.

Como conclusión, nunca se debe dar la tarjeta ni sus datos a otra persona, bien al contrario, siempre se tiene que solicitar que el pago se realice mediante un TPV (Terminal Punto de Venta) en presencia del titular de la tarjeta. Como el mando de la tele o el volante del coche, no se debe ceder el control de la tarjeta a un tercero ni por un instante.

Por muy aburrido que suene, es importante de vez en cuanto verificar los cargos en la tarjeta y en caso de detectar pagos que no se pueden identificar con claridad, bloquear la tarjeta y pedir una nueva. Cabe recordar que siempre existe la opción de rechazar pagos fraudulentos mediante disputa con el comercio a través de Visa o MasterCard, aunque son procedimientos lentos y no siempre exitosos.

La mejor protección es aplicar el sentido común y no permitir que un gesto imprudente traiga consecuencias desastrosas. Las tarjetas que no llevan datos impresos, los móviles y los anillos de pago, como el anillo Rikki, ofrecen una capa de seguridad que ayuda a proteger los datos de la tarjeta y dificulta el acceso no autorizado a los fondos de las cuentas bancarias.

Barcelona, 26 Feb 2025

Elena Fuenmayor

Responsable Seguridad en Rikki

Contacto: info@rikki.io