Es más seguro que la tarjeta de crédito de plástico, gracias a unas tecnologías antifraude y unas medidas legales cada vez más eficaces. Los expertos coinciden en señalar al pago móvil —es decir, aquel que se realiza acercando a un datáfono un smartphone en el que está registrada una tarjeta— como un medio que no presenta ningún problema particular en cuanto a seguridad (siempre y cuando se sigan algunas pautas de sentido común), pero con el que los usuarios necesitan familiarizarse más.
Hace no mucho, “cuando se empezaron a llevar a cabo los primeros pagos con tarjeta de crédito a través de internet” —Amazon lanzó su web en España hace apenas ocho años—, “estos también generaron reticencia por parte del usuario”, rememora José María Baños, socio fundador de Letslaw, un despacho de abogados especializado en el entorno digital y tecnológico. Si en 2013 los consumidores online con tarjeta realizaron 8,1 movimientos de media, en 2018 se preveía que estos fueran 14, según el tercer informe de Bankinter Consumer Finance, lo que supone un aumento del 73% en tan solo cinco años. El año pasado, las estimaciones de la entidad financiera propiedad del banco que dirige María Dolores Dancausa arrojaban también un gasto online promedio a través del plástico de 886 euros.
El pago móvil se lleva a cabo a través de aplicaciones que permiten vincular una o varias tarjetas con el smartphone. Pueden ser apps del banco emisor de la tarjeta (como los wallets de BBVA o de Santander, CaixaBank Pay o Twyp, de ING) o de las grandes tecnológicas (como Apple Pay, Google Pay o Samsung Pay). Esta peculiar modalidad empieza a despegar y, en 2018, supuso el 2,4% de todos los pagos, con una media de 35 euros por operación, estable con respecto al año anterior, siempre según Bankinter Consumer Finance. Para Baños, se trata de un proceso más seguro que pagar a través de la tarjeta bancaria física. “Cuando utilizamos una contactless para un pago inferior a 20 euros, no estamos sometidos a ninguna medida de autenticación previa que verifique la identidad o confirme la voluntad del usuario de realizarlo. Con el pago móvil, sí”, explica este letrado.
El dispositivo
Lo que garantiza principalmente la seguridad del pago a través del móvil, en opinión del director técnico del comparador bancario iAhorro, Gonzalo Benito, son cuatro factores. El primero de ellos es el mismo smartphone. “Actualmente los móviles cuentan con sistemas de autenticación sofisticados, con elementos clásicos como contraseñas, códigos PIN o patrones, así como con elementos biométricos, más recientes e innovadores (identificación facial, de iris o huella dactilar)”, desglosa este experto.
Estos constituyen la primera capa de seguridad del dispositivo. Además, todos los grandes fabricantes incorporan seguridad extra, tanto en el hardware como en el software. Al respecto, Benito menciona Apple Secure Enclave y Samsung Knox, dos soluciones que permiten el almacenamiento de datos sensibles de una manera segura.
La comunicación de campo cercano
Cada vez que acercamos el móvil a la terminal de cobro (TPV), la conexión entre los dos dispositivos se realiza a través de la comunicación de campo cercano (NFC, por sus siglas en inglés), que es también el segundo elemento que garantiza la seguridad de la transacción. Esta utiliza una frecuencia de radio de corto alcance, de tal manera que es suficiente acercar el móvil a menos de 20 centímetros del TPV. Una vez que el usuario ha validado su identidad, se envían los datos necesarios (siempre encriptados) y se efectúa el pago.
“Podemos considerar estas aplicaciones más seguras que el uso físico de las tarjetas de crédito, porque no intercambian detalles personales, de tarjetas o cuentas, con las entidades que realizan el cobro”, en palabras de Benito.
La importancia del ‘token’
En su lugar, lo más habitual es que, entre la app instalada en el móvil del cliente y la entidad de cobro, únicamente se intercambie un token, es decir, un código único, aleatorio y de un solo uso, que identifica de manera inequívoca la operación. “Aunque el token fuera sustraído de alguna manera, no tendría ninguna validez en ninguna otra transacción”, destaca Benito.
Para este experto, “la evolución en materia de seguridad en este ámbito es constante y, si bien los cibercriminales no paran de probar nuevas técnicas con relativo éxito, las medidas para contrarrestarles no se quedan atrás”, asegura, y el token (el tercer elemento que, en su opinión, garantiza la seguridad de estos intercambios) no es una excepción.
Buenas prácticas
Aún así, toda la seguridad del mundo no basta si cometemos elle error de no utilizar la cuarta baza, es decir, las buenas prácticas en el pago móvil. Según Benito, deberíamos utilizar solo aplicaciones con buena y contrastada reputación, asegurar el dispositivo y sus apps con contraseñas complejas y métodos biométricos, y no configurarlas en redes wifi públicas, en las que es fácil ser víctima de una suplantación. “Es importante desconfiar de enlaces sospechosos e instalar un antivirus”, sugiere este experto.
No obstante, el supuesto en el que puede darse un mayor riesgo de sufrir un fraude es en caso de robo o pérdida del dispositivo. “Si eso ocurriera, el usuario debería actuar como si hubiese perdido su tarjeta de crédito, bloqueando el dispositivo y denunciando el robo o el extravío”, aconseja Baños.
La PSD2
En cuanto al amparo legal en caso de fraude, según la segunda directiva europea de servicios de pago (PSD2, por sus siglas en inglés), traspuesta al ordenamiento español por Real Decreto el pasado noviembre, la responsabilidad principal recae en el proveedor del servicio. El usuario responderá por un importe muy limitado, fijado en 50 euros. De esta forma, “cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada, o alegue que esta se ejecutó de manera incorrecta, corresponde al proveedor del servicio demostrar que esta fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio mismo”, aclara Baños.
“En caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago devolverá al usuario el importe, a más tardar al final del día hábil siguiente a aquel en el que se haya notificado la operación”, añade este abogado.
Autenticación reforzada
Pero, subraya Baños, según lo establecido por la PSD2, “el comercio puede conectarse directamente con el banco a través de una API, es decir, una interfaz entre el consumidor y el negocio, sin que intervenga un proveedor de medios de pagos con sus tarjetas”.
Es por ello que, como parte de la directiva, y para garantizar la seguridad de las operaciones, el 14 de septiembre entrará en vigor una nueva regulación de pagos online llamada autenticación reforzada. Esta obliga a que todas las operaciones de pago electrónico (entre ellas, las que se realizan a través del móvil) se autentiquen utilizando al menos dos de estos tres métodos: algo que solo conoce el usuario (por ejemplo, un PIN o una contraseña), algo que solo él posee (como un número de teléfono), y algo que el usuario es y sea intransferible (su huella dactilar, el rostro, o su íride).
Una serie de sistemas que hacen que el pago a través del móvil —y, más en general, el comercio electrónico— sea extremadamente seguro.