Alberto López, director de Ciberseguridad y Soluciones Digitales en Mastercard España: “La biometría ofrece la mejor experiencia de compra para el cliente y mantiene los más altos estándares de seguridad”

Alberto Lopez Mastercard 0 57 3
3 comentarios Facebook Twitter Flipboard E-mail
wbct-coordinador

WSL Branded Content

Expertos en Branded Content

En un escenario donde el dinero en efectivo cada día es más irrelevante —una situación sin vuelta atrás a favor del pago digital—, el pasado 14 septiembre entró en vigor la nueva regulación europea sobre servicios de pagos electrónicos (PSD2). Una normativa que implica cambios importantes en la securización de todas nuestras compras y que Mastercard ha liderado.

La impositiva distancia social y el auge del ecommerce durante los últimos meses han acelerado un cambio gradual que también plantea muchas preguntas: ¿cómo afecta a nuestra forma de comprar? ¿Es realmente más seguro? Hemos abordado estas y otras cuestiones con uno de los mayores expertos en la materia, Alberto López, director de Ciberseguridad y Soluciones Digitales en Mastercard España.

Un cambio necesario

Hoy en día se pueden generar números de tarjetas válidas mediante algoritmos. También se pueden secuestrar números de tarjetas y fechas de caducidad mediante sistemas de validación con fotos guardadas en los carretes digitales. Después solo hace falta adivinar el CVV. ¿Cómo se evita esto? Mediante autenticación reforzada y tokenización. ¿Son lo mismo? ¿En qué se diferencia comprar usando el número de tarjeta a usar una ID o alias para cada comercio o transacción?

Alberto López: Son conceptos que hay que diferenciar. Es decir, no es lo mismo cuando hablamos de la tokenización, que cuando hablamos de la autenticación, porque si bien ambos van en la misma dirección en cuanto a mejorar y incrementar la seguridad en las transacciones electrónicas, tienen alcances diferentes. Empezando por la tokenización, lo que pretende Mastercard con este tipo de servicios es proteger el número de tarjeta que utilizamos en las compras por internet.

El objetivo es que al final ese número que aparece en el facial de nuestras tarjetas no sea necesario introducirlo en todas las compras que realizamos por internet y que, además, cuando nos ofrecen la posibilidad de guardarlo para futuras compras en los comercios, ese dato sensible no se guarde realmente en el comercio, sino que se cambie por este concepto de tokenización que no deja de ser un nuevo número generado de forma única, vinculado a ese cliente y en exclusiva para ese comercio y asociado para que las compras sucesivas se realicen con dicho número.

Con esto conseguimos varias cosas. La primera es que, en caso de un problema de seguridad en la base de datos del comercio, estos números no puedan ser utilizados por terceros porque son de un único uso para cada cliente. Con lo cual, si tú intentas utilizar ese número en otra compra de otro comercio, en otro sitio, no te va a funcionar. De esta forma, protegemos la numeración de la tarjeta. Este token no solo nos protege a nosotros, sino que también protege al comercio de futuros malos usos.

En cuanto a la autenticación reforzada, la nueva normativa PSD2 ha traído una mayor securización de las transacciones online dentro del espacio económico europeo. De tal forma que da igual conocer los datos de la tarjeta, ya que el cliente tendrá que autenticarse con dos factores (el móvil y una password por ejemplo) para validar las compras, garantizando así que solo el titular de la misma pueda realizarlas.

Photo 1547738765 Ee82a7f07da8

¿Y si utilizo mi tarjeta vinculandola a servicios de banca online, a las carteras virtuales como Bnext, Revolut o N26?

Esta criptografía afecta a todo por igual, simplemente generas un token único para cada tarjeta, en cada comercio, para cada servicio. Es independiente del proveedor de la tarjeta. Es exactamente el mismo para todos los los emisores.

Esto también lo hacemos cuando realizamos los pagos móviles. Es decir, al final lo que está guardando el dispositivo móvil no es nuestro número real de la tarjeta, sino otro número alternativo que también es único por cliente y por dispositivo. Por lo tanto, aunque introduzca la misma tarjeta en mi dispositivo iOS o Android, vamos a tener números diferentes en cada uno de ellos, aunque todos vinculados a la misma tarjeta.

¿Nunca antes se había usado este tipo de criptografía?

Como recordaréis, hace ya varios años se hizo un cambio importante en la tecnología de tarjetas en Europa, abandonando la banda magnética, al ser un elemento no securizado, a favor del chip que todas las tarjetas llevan ahora mismo y que posee una criptografía que hace imposible varias cosas. Una de ellas es la clonación de la tarjeta y la otra es la securización de las transacciones, las cuales, gracias a esta criptografía, no pueden ser modificadas.

Esta misma tecnología, que ha tenido un gran éxito para frenar el fraude en los años presenciales, es la que hemos trasladado también al mundo online y al mundo de pago móvil. De tal manera que cuando un comercio utiliza uno de estos tokens, no sólo utiliza un token, sino que además se genera una criptografía única para dicha transacción evitando, por un lado, la suplantación del posible comercio y, por otro, que alguien pudiera modificar el importe de esa transacción. Con lo cual estamos consiguiendo el más alto nivel de seguridad.

Adicionalmente a esto, la transmisión de la información, a raíz de la de la nueva directiva PSD2 —la cual sustituye a la regulación anterior de 2007— de aplicación en Europa, se ha generado la necesidad de mejorar el proceso de autenticación mediante la autenticación de dos factores. De nuevo, no es más que un reflejo de lo que ya hacíamos en el mundo presencial.

Lo que pretende el sistema de autenticación con dos factores es que estemos seguros de que es el propietario de la tarjeta el usuario que realiza la transacción en internet. Como bien indica la norma PSD2, pueden ser dos de tres grupos posibles, que pueden ser o bien algo que yo tengo (un factor de posesión, como mi tarjeta física o smartphone), algo que yo sé (un factor de conocimiento, como el PIN) o algo que yo soy, que sería un factor biométrico que me puede identificar de forma unívoca a mí como titular.

Card Image One

Sin embargo, aún existe una pequeña laguna entre muchos usuarios: ¿es cierto que podrían estafarnos con un “falso” datáfono en compras inferiores a 20€ (o 50€, según el nuevo estándar)?

Es una pregunta muy pertinente, porque además es algo que llevamos mucho tiempo desmintiendo. Esto no deja de ser un bulo y, por lo tanto, hay que intentar explicarlo correctamente. Primero hay que entender cómo funciona el proceso de pago con tarjeta y, para ello, entender bien todas las etapas de una transacción digital. Estos bulos parten de algo que es cierto: que determinados importes no requieren de una autenticación o no la requieren por lo menos durante un número consecutivo de transacciones, pero el resto de la historia ya no tiene ningún sentido.

Esto es algo que también regula la norma PSD2. Debido a la regulación, a partir de hasta un máximo de 150 euros o 5 transacciones consecutivas sin autenticar tu emisor, debe solicitarnos introducir el PIN. Por eso hay veces que una transacción contactless que hasta ahora hacías sin introducir el PIN, de vez en cuando nos lo va a pedir.

Debido a la regulación, a partir de hasta un máximo de 150 euros o 5 transacciones consecutivas sin autenticar tu emisor, debe solicitarnos introducir el PIN

Dicho esto, ahora debemos entender qué es un datáfono y quién te puede proporcionar uno. El datáfono es el aparato lector para poder interactuar entre tu tarjeta y las entidades bancarias. Pero no es un dispositivo que tú puedas comprar en internet libremente y activar, porque requiere de la parte de criptografía de los bancos. Puedes adquirirlo, pero te va a venir vacío; sin ningún tipo de criptografía y, por lo tanto, sin la posibilidad de leer tarjetas y realizar pagos.

Para que una entidad financiera proporcione un datáfono hay que constituirse como empresa y presentar todos los papeles para poder aceptar pagos con tarjetas. Es decir, tienes que llevar no sólo tu DNI, sino también las escrituras de formación de la empresa que han tenido que presentarse ante un notario en el Registro Mercantil. Si yo me dedicara a ir por el metro robando dinero quedaría rastro de absolutamente todo lo que está ocurriendo, porque ese datáfono va asociado a una empresa con un titular y un responsable.

Por lo tanto, sería como robar dejando mi tarjeta de visita. Nadie en su sano juicio iría dejando su DNI y todos sus datos vinculados. Se han llegado a leer cosas tan estrambóticas como que les roban a los taxistas sus datáfonos. Pues lo que estarían haciendo es dar el dinero a la cuenta del titular, al taxista. Le estaría haciendo un favor porque aparecerán ingresos en su cuenta, pero no en la del ladrón.

¿Pero no se puede crackear el TPV?

Toda la criptografía de la tecnología EMV (Europay Mastercard VISA) se ha desarrollado precisamente para securizar los pagos de extremo a extremo. Tú no puedes modificar nada en TPV para indicarle que te ingresen el dinero en otra cuenta bancaria, por ejemplo, porque eso no funciona así. Y si obviamente se hace un mal uso, si te cobraran de más en una compra, por ejemplo, reclamas y se te devuelve el dinero. Pero no puedes ir por el metro cobrando dinero de forma impune porque estarías dejando una huella en cada transacción.

Photo 1604140970015 9dd344f0e395

¿Es más seguro autenticar desde la app propietaria —la nativa de cada banco— o hacerlo desde una pasarela intermedia usando huella dactilar o escáner de iris?

En realidad, la tecnología que se utilice es un poco indiferente. La seguridad la plantea el hecho de utilizar estos dos factores de autenticación. Hay muchas alternativas que cumplen con los dos factores independientes y, siempre y cuando sea así, la seguridad la tienes garantizada. Pero no pueden ser dos factores iguales. Por ejemplo, no pueden ser dos preguntas de conocimiento o no puedes poner la huella, el iris o, por ejemplo, dar dos números de móviles o cosas así. Tienen que ser conceptos separados y, además, en caso de que uno de los dos elementos pueda quedar comprometido, que el otro siga protegido —por ejemplo, en la posesión, si yo pierdo la tarjeta o pierdo el móvil—.

Por supuesto, es algo que debe cumplirse. Como consejo también destacaría que nunca lleves escrito el PIN de la tarjeta dentro del móvil, porque entonces si se compromete uno de los elementos has comprometido los dos y, por lo tanto, rompes la seguridad. O, por ejemplo, un móvil siempre debería tener un sistema de desbloqueo securizado, ya sea con pin, con password o con huella. Si tienes un móvil siempre desbloqueado, estaríamos también perdiendo ese factor de posesión. Todos estos sistemas son igual de seguros desde el punto de vista de la regulación. Lo único que cambia es la capacidad o la usabilidad de los sistemas.

Por eso nos dejan elegir, claro.

Desde Mastercard siempre hemos apoyado y promocionado el uso de biometría porque consideramos que es la mejor experiencia de compra para el cliente, manteniendo los más altos estándares de seguridad.

En vez de tener que recibir un SMS o un PIN que tengo que escribir en la web —y que luego me van a preguntar por un segundo factor—, es mucho más sencillo, a la par de seguro, el recibir una notificación que te lleve a la app de tu banco y que tengas que meter la huella dactilar que sólo tú tienes registrada. Así no tienes ni que andar copiando ningún código ni andar recordando ninguna password y simplemente debes tener tu móvil y tu huella registrada. Consideramos que la biometría es más amigable para el cliente final.

¿Es la biometría suficiente? ¿Cuál es el siguiente paso?

Nosotros seguimos trabajando en esa línea, con la biometría como parte de nuestra estrategia de autenticación y securización, y añadimos además el factor de inteligencia artificial para incorporar un nuevo concepto que denominamos biometría del comportamiento.

Es decir, de cara a mejorar aún más esa usabilidad y añadir además una capa adicional de seguridad a nuestros clientes, tenemos un producto denominado NuDetect, como parte de nuestra adquisición NuData Security, con el cual, gracias a esta IA y al análisis de cómo nos comportamos tanto en la web como en el móvil, somos capaces de identificar que el titular es quien dice ser y no otro, con el fin de evitar el phishing.

Pero cada vez hay más phising.

Hace unos años, en el Mobile World Congress, hicimos la prueba para demostrar lo fácil y seguro que era utilizar esta tecnología de biometría del comportamiento. Pusimos un portátil en nuestro stand con un post-it donde figuraba la password de acceso al portátil. Es lo que nunca hay que hacer, pero nosotros lo hicimos precisamente para invitar a la gente a intentarlo y lo incitábamos con un concurso. Los asistentes decían: “Pues qué fácil si me está dando la clave. Voy a probar”.

Pero detrás estaba este software de inteligencia artificial que analizaba cómo te comportabas a la hora de, en este caso, teclear la password. Porque cuando te logueas todos tus días en tu PC corporativo, pasas a escribir de una manera concreta y más o menos de la misma manera. Sin embargo, si yo la tengo apuntada en un papel, y es la primera vez que veo tu password, nunca la voy a escribir como tú, a la velocidad a la que yo tecleo. La forma en la que yo pulso las teclas y la cadencia y presión con las que lo hago son únicas. Nadie pudo entrar en ese portátil.

Por tanto, no sólo miramos que tú conozcas la password concreta, sino que además utilices el móvil de la manera que lo usa el titular: si es diestro, con la mano derecha, si tú normalmente lo dejas apoyado en una mesa, que tu geolocalización lo reconozca ahí, cómo te mueves por el menú, la velocidad de tecleo, etcétera. Es decir, somos capaces de obtener un perfil del usuario único de cara a añadir una capa adicional de seguridad totalmente transparente para el cliente, pero que va a evitar precisamente esto, el phishing.

Photo 1567826722186 9ecdf689f122

Pongamos que mi hijo quiere comprar una skin en Fortnite o cromos de FUT, coge mi smartphone y entra con mi cuenta, donde tengo todo automatizado con el clásico permiso “no vuelvas a preguntar”. ¿Qué consejos o recomendaciones darías para evitar este escenario?

Lo primero indicar que el uso de la tarjeta es personal e intransferible. La tarjeta está destinada a un titular concreto y, por lo tanto, el titular tiene que proteger y custodiar correctamente los datos de la tarjeta, bien sea la tarjeta física con su PIN o las tarjetas que tengamos registradas en cualquier web. La recomendación habitual es que nunca compartas tu usuario y password con nadie porque podría darse ese caso, que un familiar, de forma totalmente inesperada, realice una compra en tu nombre que tú no has querido.

Con la llegada de la PSD2 muchas de estas compras van a requerir doble autenticación. Sí que es cierto que, de cara a mejorar la usabilidad, la norma PSD2 cuenta con algunas excepciones, para evitar tener que autenticar constantemente a todos los clientes en todas las compras. La regulación de la banca europea deja abierta la posibilidad de que algunas transacciones sean excepcionadas. En general, lo que se pretende es que tanto los comercios como los emisores autentiquen de forma bastante asidua a los clientes de cara a evitar fraude o mal uso.

Los consejos son siempre los mismos: una recomendación que, por mucho que se diga, la gente tiende a no cumplir es no repitas la misma clave o la misma password en ninguna de las webs. Porque si esa clave queda comprometida en una web que se considera irrelevante, el hacker puede intentar usar esa misma password en cualquiera de otras webs que a lo mejor ya no son tan irrelevantes.

Imágenes | Unsplash (1, 2, 3, 4)

Comentarios cerrados
Inicio