En la primera entrega de este curso se explicó cómo utilizar un TPV virtual para gestionar los pagos electrónicos efectuados mediante tarjeta de crédito. Habida cuenta de la resistencia natural de los usuarios a utilizar este medio de pago en internet, en esta segunda entrega se explicará cómo hacer más seguro el uso de tarjetas de crédito, así como otras formas de pago alternativas para quienes no quieran usar las tarjetas en absoluto.

A pesar de la comodidad que supone el uso de la tarjeta de crédito, aún hoy muchos usuarios se resisten a utilizarla para pagar sus compras en internet debido al temor a que les sea robada y usada de forma fraudulenta con posterioridad. Y a la luz de los datos de los últimos años, que hablan de un incremento constante en el número de casos de fraude en este medio de pago, parece que no les falta algo de razón. Afortunadamente, existen mecanismos que permiten que los usuarios utilicen sus tarjetas de crédito de forma segura. En esta entrega se hablará sobre las tarjetas virtuales y las tarjetas seguras. Y, para los que definitivamente no quieren usar las tarjetas de crédito bajo ningún concepto, existen medios alternativos como el pago a través del móvil o los gestores de pagos tipo PayPal o MoneyBookers.

Tarjetas virtuales

Las tarjetas de crédito virtuales no tienen un plástico asociado y, por tanto, carecen del soporte físico tradicional. Como consecuencia, permiten realizar compras con total confianza, sin miedo a que los datos de su tarjeta real puedan ser robados. Se trata de números de tarjeta de crédito válidos, incluido el código de verificación CVV, con una fecha de caducidad en general de un mes y con un importe máximo preasignado por el usuario. Cuando el comprador se dispone a pagar el importe de una compra, típicamente en el TPV Virtual del comercio, acude al servicio on-line de creación de números de tarjeta virtual de su banco. Éste puede generar tantas tarjetas virtuales como requiera el cliente, con un importe máximo autorizado para cada una de ellas especificado por el titular. Lo normal es señalar un importe máximo igual al de la compra que se desea pagar, como en la Figura 1. Con el número de tarjeta en su poder, el comprador regresa a la página del comercio e introduce los datos de número, fecha y CVV generados por el banco, como si se tratase de una tarjeta real. Una vez el comercio haya cargado el importe a la tarjeta, cualquier intento posterior de nuevos cargos en la tarjeta serán rechazados por el banco, puesto que su disponible se habrá agotado. En el caso improbable de que un hacker capturase los datos de la tarjeta y la utilizase antes que el comercio, no se perdería más que el importe máximo asignado temporalmente a la tarjeta virtual. En la Figura 2 se muestra un historial de uso de tarjetas virtuales.

Desafortunadamente, no todas las entidades bancarias ofrecen este tipo de tarjetas. Sorprende encontrar en este grupo incluso a algunos bancos en línea que basan toda su actividad en internet. Si le interesa la idea de las tarjetas virtuales, puede consultar a su banco o caja a este respecto. Y si está pensando en contratar una nueva cuenta, este servicio podría incluso servirle como una referencia más a la hora de discriminar entre la amplia oferta de entidades financieras.

En conclusión, las tarjetas virtuales constituyen una de las mejores soluciones actuales a los problemas de inseguridad y falta de confianza generados por el comercio electrónico. Suponen un método sin coste adicional y sencillo de utilizar que funciona en todos los comercios, permitiéndole al usuario seguir haciendo uso de un sistema con el que están familiarizados y sin exigirle utilizar complicados artilugios de autenticación, como OTP o certificados digitales. Su única limitación reside en la imposibilidad de adquirir bienes cuando para su retirada sea necesaria la presentación física de la tarjeta de crédito utilizada en la compra, como por ejemplo, las entradas de cine. Para el comerciante no representa cambio alguno.

Protección del uso de tarjeta

Las dos compañías de medios de pago más importantes, Visa y Mastercard, han lanzado sendos servicios de protección del uso de la tarjeta de crédito mediante autenticación del pago. Ambas se han agrupado actualmente dentro de una iniciativa conjunta denominada 3D Secure. La idea básica detrás de 3D Secure y del pago autenticado es que cada vez que se hace uso de la tarjeta en una compra en línea, la entidad emisora le solicitará al titular una contraseña que previamente habrá registrado al dar de alta este servicio. Su objetivo se basa en permitir la autenticación del titular de la tarjeta con el fin de garantizar que el cliente que está usando un número de tarjeta en una transacción en internet es realmente el titular de la misma. El beneficio es doble: por un lado, se protege a los comercios frente a usos fraudulentos de tarjetas, ya que, en caso de fraude, si se utilizó este sistema en el pago, en vez de asumir ellos las pérdidas lo hará la compañía de medios de pago; por otro lado, se protege a los usuarios, en la medida en que una tarjeta de crédito robada será inútil sin el conocimiento de la contraseña.

En el caso de Visa el protocolo es conocido con el nombre Verified by Visa, mientras que para Mastercard se conoce como MasterCard SecureCode. Llegado el momento del pago, el protocolo 3D Secure pone en contacto al cliente con su banco emisor de la tarjeta, de manera que éste puede identificarlo. Aunque el protocolo no especifica el mecanismo de autenticación, permitiendo que cada banco emisor lo escoja libremente, lo normal es que debido a su sencillez todos opten por la contraseña, irónicamente la forma más débil posible de autenticación. En las Figuras 3 a 5 se muestra el proceso de securización de una tarjeta Visa, siendo prácticamente idéntico para Mastercard. Lo importante es que el protocolo 3D Secure establece un canal de comunicación blindado mediante SSL para conectar al titular con su banco en el momento de la compra y que éste proceda a identificarlo.

Para un titular que ha registrado con su banco el pago seguro para su tarjeta, el proceso de compra en una tienda compatible con 3D Secure, ilustrado en las Figuras 6 a 9 para Visa, varía ligeramente con respecto a un pago sin dicho sistema: una vez presentada la página de pago y tras introducir el número de tarjeta en el formulario, el cliente verá que una página nueva emerge para conectarle con su banco y le pide una contraseña o cualquier otro tipo de identificación suministrado por el banco. Además, el banco tiene que mostrar una frase secreta introducida por el usuario y que sólo el banco puede conocer. Se frustran así posibles ataques de phishing. Si la autenticación se valida correctamente, el proceso de pago prosigue con normalidad y se finaliza la operación. En el caso de Mastercard Securecode, el proceso es prácticamente idéntico.

Desde un punto de vista práctico, esta forma de pago presenta dos problemas: en primer lugar, una vez más no todas las entidades lo ofrecen. En www.visaeurope.com/spainvbv/signup.html se ofrece un listado de entidades españolas afiliadas a Verified by Visa. En segundo lugar, tampoco todos los comercios lo soportan. Sólo podrá utilizar este servicio de pago seguro en los establecimient