Skip to content

Seguridad en PayPal ¿Pero en qué mundo vivimos?

Publicado por Sergio Hernando el 15 enero 2008

Buenas a todos,

Confieso que mi relación con PayPal ha sido siempre escasa. Que yo recuerde, ejecuté una compraventa allá por noviembre de 2007, y poco más. Curiosamente el otro día hablaba con una compañera del curro sobre PayPal, y como me consta que se mete aquí de vez en cuando, pues le mandamos un saludo :P

Hoy me he vuelto a acercar a PayPal, ya que quiero comprar unas camisetas en una tienda online que no permite el pago mediante tarjeta de crédito si no eres residente en los EEUU. Para los no residentes, esta tienda dice que o empleas PayPal, o te quedas sin comprar. Me parece respetable, cada cual juega sus cartas a su manera. Me joroba, porque confío en las transacciones mediante tarjeta de crédito cuando el sitio es confiable y me fío más de mi emisor de tarjeta y de mi centro autorizador que de terceras entidades de pago, pero es lo que hay.

Pobre de mí, y de mi manía de crear claves complejas, no recordaba qué clave había empleado para registrarme el año pasado en PayPal. Pero no pasa nada, para eso está el servicio de recuperación de claves ¿no?

paypal

Hasta aquí nada anormal. Un formulario de recuperación de clave de toda la vida. Introduzco mi correo (que lo conoce mucha gente, y por tanto, no me da reparo alguno que lo veáis) y el captcha. En contra de lo usual, que es enviar al correo electrónico que indicamos una clave de un sólo uso, o la clave regular que tengamos, PayPal me ofrece además otros dos métodos de recuperación: verificación mediante teléfono que hayamos declarado como particular y de dirección postal especificada en el proceso de alta. Y es aquí cuando empiezan las sorpresas, sobre todo cuando me da por probar en qué consiste la recuperación mediante verificación del teléfono asociado a la cuenta.

Una vez seleccionada la opción de teléfono, PayPal rellena automáticamente el teléfono que aparece en la base de datos, teléfono que yo en su día consigné en mi registro, y deja los 4 últimos caracteres en blanco. La idea es que yo, que debo saberme mi propio número de teléfono, los proporcione y según el servicio, eso probará que soy el legítimo propietario de la cuenta:

paypal

Para mear y no echar gota. ¿Cuánta gente conoce mi teléfono? Sé que es mi problema y mi asunto que lo conozca más o menos gente, pero por lo pronto se me ocurre que además de en el whois del dominio sahw.com, aparece en la sección legal, donde declaro mis datos de operador del servicio que tenéis delante de las narices, cosa a la que no me obliga nítidamente la Ley española, pero que yo hago en virtud de ofrecer un cumplimiento voluntario de ciertos términos de la LSSICE, en relación al ofrecimiento de medios de contacto para los usuarios del servicio. Además, mis amigos, mis familiares y compañeros de trabajo conocen mi teléfono, y mi correo, porque algunos hasta me quieren escribir emails o llamarme de vez en cuando, y por eso les dí en su día ambos datos.

Ante esto, atónito, sigo pensando que con todas y con esas, a mí me tiene que llegar un mensaje a la cuenta de correo para generar una clave, que el proceso no puede ser así de inmediato y que en algún momento se necesitará mi intervención. Me equivoco. Una vez introducido el teléfono aparece el formulario para volver a declarar una clave:

paypal

Sigo pensando que no, que no puede ser así. No me cuadra. Cualquiera que conozca esos dos datos, que son triviales, no puede tener estas facilidades para generar una clave alegremente. Me quedo pensando en cuántos teléfonos y correos de gente conozco, y la lista se me hace interminable. Mientras tanto, recibo un correo en Thunderbird, debe ser un mensaje para que, de una vez por todas, yo autorice ese cambio de contraseña. Me equivoco de nuevo:

paypal

Alucinante. Lo más gracioso es lo que aparece en rojo. Imaginemos que tú, lector del blog, o cualquier otra persona con ganas de darme por saco y que se tope con esos datos, ha generado una nueva clave, clave que yo, obviamente, no conozco. Esta operativa supongamos que se realiza hoy mismo, a las 3 de la mañana. Mañana, cuando consulte el correo, veré este mensaje de PayPal, con lo que rápidamente deduzco que alguien ha modificado mi clave de acceso.

Si mi clave ya no es la que era, porque un atacante me la ha cambiado, señores de PayPal, ¿cómo narices voy a iniciar sesión y pulsar el vínculo Ayuda ubicado en la esquina superior derecha de cualquier página de PayPal? Si el atacante ha cambiado el correo, el teléfono, la dirección, tampoco puedo recuperar mi clave legítima. ¿Qué hago?

Ah, menos mal, con los nervios me había saltado el comienzo del mensaje de correo electrónico. Según el servicio, puedo llamar al 902 88 52 48 si yo no he hecho ese cambio. Y si entre tanto el atacante me ha fisgado mi saldo, mis cuentas bancarias declaradas y mis tarjetas de crédito, aquí no pasa nada.

Lamentable. Como podéis imaginar, he vuelto a declarar una dirección postal ficticia, y un teléfono ficticio. Tenéis 9999 intentos para intentar entrar en mi cuenta (los 4 últimos dígitos de mi teléfono ficticio, porque deducir un churro del tipo "·$453EFsd34%$%43rewjer34"· como nombre de calle os va a costar más trabajito). Espero que PayPal haya implementado un bloqueo por intentos erróneos, pero en caso de no existir, tampoco me voy a preocupar. He limpiado la cuenta, he liquidado mi saldo y he borrado toda la información relacionada con cuentas, tarjetas y transacciones. Quizás, y sólo quizás, me registre con una cuenta Gmail del tipo sergio32423743843438794@gmail.com, desconocida por la humanidad y no deducible, para cortar la posibilidad de vincular mi correo y datos reales de teléfono y dirección. O quizás no vuelva a usar este servicio, visto lo visto.

¿A santo de qué viene poder recuperar la clave mediante teléfono y dirección postal? ¿No bastaba con el correo de toda la vida? Que alguien me lo explique.

Be Sociable, Share!

Categoría/s → Seguridad

45 comentarios
  1. 15 enero 2008

    Yo he prebado ahora mismo y despues de indicar el número de teléfono te mandan un correo a tu email con un enlace para seguir con el proceso, que no termina ahí y tienes que introducir las preguntas secretas o el número de tarjeta.

    SAlu2.

  2. 16 enero 2008

    alpoza,

    Lo que narras sucede cuando has olvidado tu cuenta de correo, en este formaulario:

    https://www.paypal.com/es/cgi-bin/webscr?cmd=_email-recovery

    Prueba la opción de “he olvidado mi clave” (es la que yo comento)

    https://www.paypal.com/es/cgi-bin/webscr?cmd=_forgot-password&from=PayPal

    Saludos,

  3. 16 enero 2008

    ¡Qué fuerte me parece!

    :o

    Pero qué fuerte…

  4. 16 enero 2008

    Ay, ay, ay… Sergio. A estas alturas y no manejas varias cuentas de correo para distintos servicios… ¿No es lógico utilizar una cuenta de correo desconocida por los demás? Hay que invisibilizarse lo máximo que permita el servicio.

    Cahis, lo comentas al final lo del correo. Pues eso, no entiendo que no lo hayas hecho ya!!!

    PD: por eso va muy bien un getor de correo como The Bat! para manejar la correspondencia. Mis cuentas en GMail siempre se vacían al leerlas. Sólo accedo al servicio web de tarde en tarde por si el filtrado antispam ha sido demasiado riguroso.

  5. 16 enero 2008

    Hola Sergio,

    He vuelto a probar con el link que comentas (“he olvidado mi clave”) y es el mismo proceso que he comentado yo… no se, ¿se comporta diferente en algunos casos?

    Salu2.

  6. 16 enero 2008

    alpoza,

    Pues eso parece. Lo que tu me cuentas me parece sensato, ya que demanda tu intervención y por tanto, es un método seguro. No entiendo por qué en mi caso no ha sido así. De todos modos, la operativa que me narras tiene sentido cuando lo que se ha olvidado es el correo, pero para recuperar la clave, si finalmente llega algún enlace de confirmación al correo, que es como debe ser, es redundante hacer verificaciones previas con otros datos como el teléfono. No tiene sentido, a no ser que se quiera prevenir la recuperación automática por parte de bots, en cuyo caso, basta con limitar a una recuperación, dos o tres de clave cada 24 horas.

    Quizás alguien que conozca a fondo el servicio nos arroje luz sobre el tema, a mi es algo que me parece extraño cuando menos ;)

    versvs,

    Si éste es el comportamiento “oficial” del servicio, es muy fuerte sí. No hay por donde cogerlo vamos.

    maty,

    Sí, lo hago. Tengo algunas cuentas “anónimas” para estas cosas y para prevenir estas situaciones, pero no me esperaba esto en un proveedor de primer nivel como PayPal, la verdad :S

    En fin, a ver si algún otro usuario nos confirma cómo se comporta el servicio de recuperación de PayPal. De todos modos, lo que me ha sucedido a mí también contaviene otro principio de arquitectura de seguridad a la hora de desplegar un servicio online, y ese no es otro que solicitar datos en el alta que teóricamente no deberían ser utilizados en la operativa de pago, como el teléfono y la dirección postal.

    Ambos datos pueden tener interés para la tienda online que utiliza PayPal como pasarela de pago, pero no para la pasarela en sí, sobre todo porque al tratarse de un servicio financiero, los datos de cuentas ordenantes y receptoras ya los custodian las entidades origen y destino en arreglo a la legislación. Sigo pensando que crear métodos de recuperación no estándar como los citados es una fuente de confusión para el usuario, y si finalmente se demuestra que el comportamiento es como el que narro, puede conducir a gravísimos problemas de seguridad. Además. se acostumbra al usuario a la recepción de correos de PayPal (cada cambio provoca un mensaje de correo) con lo que después, es natural que cuando llegue un phishing, la gente asuma que puede ser lícito, ya que concibe que es normal que PayPal se comunique con ellos mendiante correo.

    No me imagino a mi banco ofreciéndome la recuperación de mi clave de operaciones a través de la introducción de las cuatro últimas cifras de mi teléfono (mostrando como pista el resto del número de teléfono) o de mi código postal.

  7. 16 enero 2008

    Yo, extrañado de lo que cuentas, también he probado y a mi después de completarle la información del número de teléfono me pide que complete la información de mi cuenta corriente, mi tarjeta VISA o que responda a las dos preguntas de seguridad que introduje al crear la cuenta. Si no paso por uno de estos tres nuevos “retos” no me da opción a restaurar la contraseña.

  8. 16 enero 2008
    Jocker permalink

    Buenos días… Acabo de probar el proceso de recuperación y efectivamente existe un paso previo que requiere confirmación por correo, por lo que hasta que se activa ese enlace el cambio no es posible.

    Otra cosa es que alguien haya visto esta entrada y haya puesto a andar al equipo de picatas y/o analistas para que solventasen la cagada, que tampoco es algo tan raro :D

  9. 16 enero 2008

    Por cosas como esa, mi usuario de Paypal es un galimatías de correo generado en sneakemail.com, que es un servicio que te da direcciones de correo desechables para registrarte en sitios. Esa en concreto sólo la uso para Paypal. Creo que es algo elemental en un servicio “bancario” que los datos que introduces como usuario no sean algo demasiado conocido o fácil de conocer. Y sí, también que las validaciones para cambiar la contraseña o hacer que te envíen una nueva sean menos cutres :)

    Una dirección de sneakemail puede ser algo como ak65uz9ae02@sneakemail.com (no lo intentéis, no es esa :P).

    Y siempre que me ponen la clásica pregunta de seguridad, pongo cosas falsas y no relacionadas conmigo mismo.

    Saludotes.

  10. 16 enero 2008

    Lo mejor es hacer reclamaciones a Paypal, yo le he realizado mandadoles una reclamación:

    “La politica de recuperación de contraseña es muy simple, hoy he conseguido cambiar la contraseña de 7 personas cercanas a mí, como son mis 3 compañeros de piso, 2 compañeros de trabajo, mi jefe y mi padre. Todos ellos con su consentimiento, y delante de ellos.

    Aquí se explica claramente el como lo he logrado:
    http://www.sahw.com/wp/archivos/2008/01/15/seguridad-en-paypal-pero-en-que-mundo-vivimos/

    A ver si lo solucionan.

  11. 16 enero 2008

    Bueno, entonces no se sabe en que queda la cosa no? Parece, por lo que dicen los comentarios, que paypal tiene varios procedimientos para recuperar la clave, pero si lo que le ha pasado a Sergio es verdad, que no lo dudo. es para denunciarlos.

    Ya nosé si seguir usándolo o no, y la verdad es que Paypal me gusta mucho, me parece un servicio muy fácil, rápido, y hasta ahora, seguro.

  12. 16 enero 2008
    Juggler permalink

    Acabo de comprobar lo que contais.

    Poseo dos cuentas PayPal, una de ellas asociada a una tarjeta bancaria y otra no.

    Las medidas de seguridad en las cuentas Paypal asociadas a cuentas bancarias o tarjetas son ciertamente fuertes y seguras.

    En cambio las cuentas PayPal sin tarjeta de crédito o cuenta asociada son tan malas como las que describe Sergio Hernando.

  13. 16 enero 2008
    Sel permalink

    Vamos a ver.
    Lo que cuenta Segio Hernando ocurre solo y exclusivamente cuando no tienes informacion financiera asociada a la cuenta PayPal (tarjeta de credito, cuenta bancaria y/o Saldo).

    Cuando una de estas fuentes de financiacion está presente en la cuenta PayPal, las medidas de seguridad requieren de la intervencion del titular de la cuenta (o bien mediante links en el correo o bien mediante la introduccion de la cuenta bancaria y/o tarjeta de credito, que obviamente solo conoce el titular)y por lo tanto son personales y altamente seguras.

    Vaya vaya, hay que indagar un pelin más antes de criticar…

  14. 16 enero 2008
    jcbarreto permalink

    Hola a todos,

    (a) Voy a asumir que el punto 14 :-) es correcto. Y probablemente esté descrito en algún kilómetro de alguna página de la web de PayPal.

    Asumo tambien que esto, en una compañía de la envergadura como PayPal, estará bastante estudiado y sus razones tendrán para que sea así, a día de hoy.

    Señores de marketing (más que los sr. de seguridad !? ) …

    … por si sirve de algo, este comportamiento [en la forma de recuperación de contraseña dependiendo de si tienes registrada cuenta, tarjeta o nada] es -por lo menos- confusa para usuarios… avanzados! Se presta a la desconfianza en el servicio.

    (b) Con independencia de esto paso a otro punto, lo que yo denomino “defensa en profundidad personal”, aplicado a PayPal.

    Me gustaría que, en la propia PayPal RECOMENDARAN SISTEMÁTICAMENTE medidas prácticas similares; posiblemente en función del país y de servicios locales de otras compañías (bancos, etc)

    Señores de marketing: ¿es esto una oportunidad?

    (b.1) Asociar a PayPal una cuenta de correo DESCONOCIDA para el resto del planeta y con nombre indescifrable (tipo 4k7000985brr@yahoo.es) ; tal como habeis sugerido algunos previamente. Yo particularmente me fío de yahoo y el https.

    NOTA: cuando vayas a pagar con PayPal, proporcionas OTRA cuenta de correo, la CONOCIDA por el resto del planeta… ¿se entiende? Eso… funciona.

    (b.2) Asociar a PayPal una tarjeta de crédito tipo monedero, como la Cyber Tarjeta de La Caixa (España). Lo siento por la publicidad, no es mi intención, ni me paga La Caixa por ello. Pero si algo hacen bien, lo menos es darlo a conocer.

    NOTA: A todos los efectos, es una tarjeta de crédito, con número de 16 dígitos, CVV y todo :-) salvo que la recargas previamente de dinero como un MONEDERO.

    Asumiendo que “los delincuentes” accedieran a PayPal y/o tus datos de dicha tarjeta monedero, a lo sumo te quitarían los poquitos euros que tuvieses en ese monedero.

    Ya como medida paranoica total, esa tarjeta monedero no la usas para nada más / en otros sitios web.

    (b.3) Your rules… :-)

  15. 16 enero 2008

    Sergio, yo evito a toda costa utilizar tarjetas de crédito en internet, de ahí el uso de Paypal, que ofrece habitualmente un excelente servicio, muy alabado.

    Ahora bien, sólo asigno una tarjeta cuando he de realizar una operación y al cabo de unos días la quito. Eso sí, utilizo tarjetas de débito, las de los cajeros (VISA Electron).

    Coincido con tu comentario último, es confuso para el usuario y es un error bajar o subir la seguridad, lo mejor es que sea siempre la misma, bien alta, pues estamos hablando de dinero.

    Y me reafirmo, hay que tener una cuenta de correo específica para estas cosas, evitando utilizarla para otras actividades. Nadie más que esas empresas debe conocerla.

    Cuando he de realizar la operación, antes limpio todos los rastros de la navegación. La realizo y vuelvo a limpiar. Otro tanto, automáticamente, al abrir/cerrar windows -S.O que no puedo dejar de utilizar, porque no todo puede emularse desde Linux.

    Nunca tendremos seguridad total, pero al menos pongámoslo un poco más difícil.

    En fin, lo de siempre. Seguro que la mayoría sigue empeñada en utilizar el nefasto nefasto nefasto Internet Explorer para las transaccciones, y para todo lo demás, incluida la administración de sus bitácoras/webs…

    ¿Por qué un soft para todo? Pues eso, multitud de cuentas de correo y distintos navegadores para actividades diversas, habitualmente Opera y Firefox (y familia).

    PD: después he de subir -que he de editar primorosamente antes- un artículo sobre seguridad que seguro te gustará, rememorando los viejos tiempos de Nautopía. Título: Análisis capturas tráfico red. Interpretación Datagrama IP. (I)

  16. 16 enero 2008

    Perdón, el comentario al que me refería es de jcbarreto.

  17. 16 enero 2008

    Días atrás, ya comenté sobre Paypal:

    Libro de Notas Librería LdN

  18. 16 enero 2008

    Me tranquiliza ver que cuando hay cuentas y/o tarjetas declaradas la cosa cambia. Desconocía esto, y por tanto, os agradezco la información.

    De todos modos, sigo pensando que las cuentas sin medios de pago declarados contienen información, como la dirección o los teléfonos, que quedan un poco desprotegidos al basarse el sistema de recuperación en el empleo de datos triviales.

    Tampoco entiendo por qué existen dos niveles de seguridad. Con uno, básico, bastaba. Este sistema, además, confunde al usuario y merma credibilidad al servicio, luego no lo veo muy procedente, pero vamos, PayPal es un referente a nivel mundial, una empresa que siempre se ha caracterizado por la seguridad de las transacciones que realizan, por su buen servicio y estas cosas y otras más las tendrán muy en cuenta a la hora de planificar la seguridad de los servicios. No me cabe la más mínima duda.

    Saludos a todos y gracias por las aportaciones ;)

  19. 16 enero 2008

    Totalmente de acuerdo con el punto 16 (Maty).

    Respecto a relacionar tarjetas en internet, hoy por hoy no hay nada más seguro que usar (tanto para pagar como para registrar en paypal) tarjetas virtuales. El ejemplo de la ciber de lkxa es muy claro. En otras entidades más “manchegas” usamos la solución VINI, adpotada prácticamente por el 50% de la banca, y aparte de aportar otras ventajas de autenticación de tarjetas (para el comercio seguro) te permite crear tarjetas virtuales y cargarlas con los cuartos que quieras. Éstas últimas sí que son seguras, incluso más que las cyber referenciadas antes, ya que si las generas con el importe exacto, después de su uso, desaparecen.

  20. 16 enero 2008
    turbo permalink

    Parece que los de Paypal ya lo han corregido, puesto que piden también el número de tarjeta o las preguntas de seguridad.

    ¡Vaya cagada de los de Paypal!

  21. 17 enero 2008
    jcbarreto permalink

    (a estas horas de la noche y aun estoy despierto… haciendo un curso de ingles online que promete :-)

    Knight99: ¿podrías dar más detalles o indicar dónde puedo obtener más información práctica sobre las tarjetas virtuales? o indicar qué banco / oficina CONCRETA te lo explican bien ??

    La teoría creo entenderla bien; pero la práctica en la calle es la que VEO que NO funciona.

    ME EXPLICO: En su día fuí alegremente a 2 oficinas distintas del BBVA y en ninguna de ellas supieron explicarme que servicios / tarjetas orientadas a Internet tenían, a pesar de que supuestamente -según la web- ya se disponía de tarjetas virtuales o monederos.

    ES DECIR, me ví -tristemente- forzado a dirigirme a OTRO banco -La Caixa- quienes sí me explicaron cómo funcionaba su producto / servicio (Cyber Tarjeta, para el caso). La 1a. oficina me lo aclaró al 95%, la segunda al 100%

    En fin, parece que la política de formación interna de a los empleados es mejorable.

    Por lo demás, yo estoy contento con estos bancos, todo hay que decirlo :-)

  22. 17 enero 2008

    “Por lo demás, yo estoy contento con estos bancos, todo hay que decirlo”

    Ay, ay, ay… A ver si este año anoto sobre mi reclamación de todos los años a la Caixa, para que me devuelvan comisiones de mantenimiento que no tienen derecho a cobrarme! Repito: año tras años, y son varias cartillas, creadas en su día cuando fui a estudiar a BCN.

    Para el menudeo, cajas de ahorros cuanto más pequeñas mejor, ya que las grandes se comportan como los bancos o peor incluso. También algunos bancos de internet.

    Para el patrimonio: bancos de negocios/inversión. La diferencia es abismal.

  23. 17 enero 2008
    Eskorpio permalink

    Sobre lo que comentaba maty en el comentario 16 “… y distintos navegadores para actividades diversas, habitualmente Opera y Firefox (y familia).” En mi caso lo que hago es usar diferentes perfiles en Firefox para según que cosas… navegación, bancos, compras…

  24. 19 enero 2008

    Sergio, no sé si este es el foro adecuado para contestar a ‘jcbarreto’. Si no es así, dímelo, para no ampliar en exceso comentarios que a lo mejor se escapan de tu post inicial.
    Sólo anticipar que las tarjetas virtuales, a todos los efectos, es como si fueran reales (el comercio o la web donde se usan no lo saben, sólo saben que es una tarjeta u operación autorizada correctamente por un centro autorizador). El hecho de ser virtual es el que la dota posteriormente de mucha seguridad.
    VINI lo usan muchas entidades. Una de ellas es CCM, y es la que mejor conozco… je, je.

  25. 19 enero 2008

    knight99,

    Tu aportación es importante, y te ruego te explayes todo lo posible. Llevo mucho tiempo queriendo tratar el asunto de las tarjetas virtuales, con lo que me interesa, y para mí es plenamente “on-topic” :)

    Si quieres o puedes narrarnos cualquier cosa sobre cómo van las cosas en CCM, adelante.

  26. 19 enero 2008

    Las tarjetas virtuales existen desde hace años. A todos los efectos es como una tarjeta normal y corriente (PAN, fecha caducidad y el denominado CVC2 (los 3 numeritos que hay por detras, cerca de la firma), y la novedad es que, al ser virtual, no la puedes tocar, no existe, NO HAY BANDA MAGNÉTICA que el chorizo de turno pueda intentar duplicar. Por lo tanto, son más seguras.
    No siempre se pueden usar, ya que hay comercios (por ejemplos alguna compañía aérea, teatros, etc…) que te exigen presentar la tarjeta con la que has comprado lo que sea.
    Estas son las bases de todo este jaleo.
    Hace unos años, las marcas de tarjetas principales (VISA y Mastercard), como estaban hartas de tanto fraude, crearon lo que se denomina COMERCIO SEGURO, enfocándolo a Internet. No es que los comercios no fueran seguros. La forma estandar cuando pagas con una tarjeta en un comercio es que el TPV Virtual donde has puesto tu nº de tarjeta (PAN) pregunta a la Entidad emisora de tu tarjeta si tienes cuartos o si hay algún problema, y si no pasa nada, se autoriza la operación, y ya esta; ya has comprado lo que quieras.
    En este simple proceso hay una pequeña pata que se queda coja, ya que… como estamos hablando de Internet… ¿quién comprueba que de verdad eres tú?. ¿Quién está al otro lado para pedirte el DNI?. ¿Quien asegura que no te has encontrado la tarjeta en el suelo y estás intentando usarla?.
    Esta forma de trabajar (que se basa en la buena fe de todo el mundo) es lo que VISA y Mastercard quieren solucionar en un porcentaje muy grande. El COMERCIO SEGURO (lo voy a decir a lo bruto, porque así nos entendemos todos) opera igual que he descrito antes, pero ANTES de preguntar al Banco o Caja si te puede hacer la operación hace otra pregunta; le pregunta a la Entidad: ¡¡Oye!, ¿me aseguras que quien está operando ahora mismo es de verdad el titular?.
    Como os podéis imaginar, ni el BBVA de turno ni mi Caja están detrás de cada uno de nosotros en nuestra casa, así que… a ver cómo lo hacemos. A los Comercios adheridos a esta forma de cobrar (COMERCIO SEGURO) como no les respondas afirmativamente a esta pregunta (con lo cual ya se produce el traspaso de responsabilidad por si alguna vez hay algún problema) no continúa preguntando si tienes o no cuartos.
    Cada Entidad que quiere “autenticar” sus tarjetas lo hace usando distintas formas. En el caso de CCM (al igual que otras muchas Cajas de las que están en CECA) lo hace con una herramienta que se llama VINI.
    Vini viene a ser como un vigilante jurado de una discoteca, al que le das tus tarjetas reales y le dices: ¡oye!, si alguien pregunta por ellas, es que te lo he mandado yo, así que me haces el favor de atenderle.
    VINI es una herramienta certificada por VISA y Mastercard, por lo que lo que diga VINI (en cuanto a autenticación) va a misa.
    En CCM se ha metido a VINI dentro de la Línea Electrónica, llamada Activa24. ¿Para qué?, pues para que el que quiera entrar a VINI, como debe “identificarse” en su línea electrónica, ya tiene la consideración de estar identificado, que es principalmente lo que busca el COMERCIO SEGURO.
    Ahora, para no liarnos, hay que coger bien este concepto: VINI, principalmente está para certificar la autenticidad de la tarjeta en los pagos por Internet.

    Vini puede trabajar de 2 formas: con tarjeta reales o con tarjetas virtuales. La decisión de uso de cada una de ellas, según la lógica de la seguridad (que me corrija Sergio si digo alguna tontería) sería:

    1.- Siempre que sea posible, intentar usar una tarjeta virtual. Es lógico, porque si tú te inventas una tarjeta virtual de 50 ¤ y tienes la mala suerte de que te capturan los datos de esta tarjeta cuando la usas (virus, etc…) no te van a poder quitar más cuartos que los que te queden. Si lo estuvieras haciendo con la VISA Oro de turno… casi seguro que te queden un saldo superior, por lo que el posible loro podría ser mayor.

    2.- Cuando operes en COMERCIO SEGURO, por narices vas a tener que usar una tarjeta autenticada. En el caso que nos ocupa de la Caja de ejemplo, quien autentica las Tarjetas en VINI, y VINI está dentro de la línea electrónica Activa 24, por lo tanto hay que tener línea electrónica, y tener dadas de alta en la misma las tarjetas que queráis usar, y muy importante, tenerlas listas para lo que se denomina Cargo/Abono, ya que muchos clientes las tienen por defecto sólo en consulta.
    Asumiendo que van a tener que usar VINI, si es posible, hay que decirle a VINI que se invente una tarjeta virtual con cargo a alguna nuestra real, por el importe que queramos y con una cierta caducidad. Si todo va bien, VINI nos genera una tarjeta con un PAN específico, la fecha de caducidad que le habíamos dicho y por el importe de crédito que también le habíamos dicho. Esos datos, al haber sido generados por VINI (por ser una tarjeta Virtual), si te los quieres apuntar en un papel y llevártelos por ahí, sabes que van a ir a misa. Para usarlos, ya no estás obligado a tener VINI abierto, ni por lo tanto estar conectado a tu línea electrónica, ya que los primeros números del PAN ya garantizan que es una tarjeta autenticada, y además indicas al comercio de turno dónde debe preguntar. Cuando se use, a la pregunta de si es el titular o no, ya se va a responder que sí, por lo tanto, puede proceder la compra. La compra continuaría de forma que cuando el centro autorizador tuviera que confirmar si el cliente tiene dinero, dirige el apunte contra la tarjeta real, por lo que si no tienes cuartos…

    3.- El último caso que se da es que puedas operar en COMERCIO SEGURO y además, el comercio, te diga que luego vas a tener que presentar la tarjeta con la que has hecho lo que sea, para poder retirar el bien adquirido. Aquí, como hablamos de comercio seguro, ya sabes que obligatoriamente VINI (en el caso de la CCM) va a estar por medio. La única diferencia es que cuando tengas que usar tu tarjeta real, la única forma de que VINI asuma que eres tú es que tengas iniciada la sesión en él, es decir, que en otra ventana del navegador estés conectado a tu línea electrónica y estés en VINI, para que cuando llegue la pregunta del millón, esté preparado.

    Con las virtuales no es necesario que esté abierto porque el sistema asume que, al ser una tarjeta virtual creada por VINI, ya te tuviste que conectar en algún momento.

    Todo este royo es para deciros que el comerciante que está al otro lado, lo único que espera que le llegue son los datos de una tarjeta, válida y con cuartos y, si estamos hablando de un comercio seguro (los que tienen los logos del “verified by Visa” y el otro que es algo así como “Mastercard Secure Code…”), y que las tarjetas virtuales (las que nos creamos nosotros mismos sobre la marcha) cumplen perfectamente dicha misión.

    Por último sólo añadir que muchas de las cosas que os he dicho aquí las pueden parametrizar las Entidades como les venga en gana o como necesiten en cada momento.

    Las tarjetas virtuales que hace VINI, a diferencia por ejemplo de las cybert. de la Caixa, cuando se usan o se acaban (por importe o saldo) desaparecen. La de la Caixa, si no me equivoco, funciona tipo monedero, es decir, puedes tener siempre el mismo nº de tarj. virt. y lo vas recargando cuando te haga falta.

    ¿cuales son más seguras?. Lo tenéis que decidir vosotros. Si a mí me pillan la numeración de una tarjeta (PAN, fecha cad. y CVC2) tienen todo para intentar usarla. mientras yo no ponga cuartos a esa tarjeta no pasa nada…
    Sin embargo, en filosofías del tipo VINI, la tarj. virtual que generas, cuando la usas, desaparece, y cuando necesitas otra… pues te la vuelves a generar.

    Perdonad por el royo, pero cuando se me calienta el dedo.

    Espero no haberlos liado mucho.

    El funcionamiento de VINI, para el que quiera saberlo, es muy sencillo, ya que al estar dentro de la línea electrónica, os encontráis con él, en el apartado de tarjetas, y es muy intuitivo.
    Un saludo.

  27. 21 enero 2008
    jcbarreto permalink

    Hola Knight99 (caballero a caballo y luchador) eres todo un gentleman (caballero de capa y sombrero :-)

    Estoy impresionado de todo el detalle que has escrito. Me lo he leído 2 veces para poder asimilarlo, jeje… pero alfinal se ENTIENDE; “casi” no tengo dudas.

    Una de estas noches te plantearé las dudas que tenga y, acaso más importante aún, voy a hacer un resumen del sistema [VINI] tal como lo he entendido, con sus variantes.

    Una duda que sí tengo… ya… es si este sistema [con tarj. VIRTUALES] de generación de nuevos PAN… no se presta a que se agoten rápidamente los números (16 dígitos).

  28. 21 enero 2008

    Creo que no. De todas formas no me lo he planteado nunca. Los 6 primeros nº de cualquier PAN es lo que se denomina BIN, y es único por Entidad en marca. Imagino que si alguna vez se acabasen todas las posibles combinaciones, se podría dar de alta por parte de CECA un nuevo BIN o, posiblemente, se podrían cambiar los algoritmos que se usan para obtener el CVC2 y podrían volver a usarse los mismos nº que ya existieron en su día, pero con un nuevo CVC2.
    Ahí me pillas, porque no soy informático.

  29. 31 enero 2008

    Buenas,

    Para saber los últimos dígitos de tu teléfono solo tienes que ver a nombre de quién está registrado el dominio y listo (igual que si quieres los primeros dígitos).

    Y si la pregunta es la dirección, whois proveerá.

    A triunfar ;)

    Paloke

  30. 12 abril 2008
    manel permalink

    ola eso tiene facil solucion te inventas el numero y sacabo y si lo kieres recuperar pos pones el numero ke tas inventao

  31. 13 abril 2008

    Manel,

    Pan para hoy, hambre para mañana :)

    Saludos,

  32. 24 abril 2008
    Dulce-mi bruji permalink

    Paypal y ebay son un verdadero insulto a la honestidad.
    La empresa paypal con antecedentes por fraude en varios estados de USA, se permite bloquear la cuenta de los usuarios, sin mas motivos de porque si, cometiendo de esta manera APROPIACION INDEBIDA, una apropiacion indebida de divisas que por el momento afecta a mas de 300 usuarios, los compradores continuan pagando por este medio, pero paypal no entrega el dinero, esto se llama FRAUDE, un fraude masivo que ha hecho movilizar a los usuarios en toda la geografia Española poniendo denuncias en comisarias, juzgados, asociaciones del consumidor, etc. Quizas y solo quizas a los 6 meses paypal entrega el dinero a su propietario, quedandose con 40,00 de honorarios, esto se denomina ESTAFA, una estafa que indigna aun mas al usuario que no solamente ha tenido que esperar 6 meses para disponer de su dinero, si no que tambien han tenido que pagar comisiones por ser estafados.Paypal se publicita como un medio seguro para pagar y recibir dinero, nada mas lejos de la realidad, esto es PUBLICIDAD ENGAÑOSA.Para recuperar el dinero paypal pide una serie de documentacion que solo corresponde a la Agencia Tributaria incurriendo asi en VIOLACION A LA PRIVACIDAD. Ebay obliga a los vendedores a cobrar mediante paypal si quieren vender, en Español esto es COACCION. Pero mientras paypal pide a los afectados todo tipo de documento acreditativo(extracto bancario, recibos, de agua, luz,etc)sus empleados se mantienen en el mas absoluto anonimato, empleando talvez solo el nombre de pila. Paypal comete estafa y su fiel aliado ebay lo respalda. La empresa ebay/paypal es una empresa de ENGAÑOS, FRAUDES, TIMOS Y ESTAFAS. Me rindo cuenta del peso de mis palabras y asumo toda la responsabilidad aportando las pruebas necesarias ya que soy una mas de los afectados, pero no descansare hasta verles en los tribunales.

  33. 10 junio 2009

    Hola, me acabo de leer el comentario de Dulce-mi burji ( y todos los demas). Yo no tengo experiencia con Paypal, siempre uso una tarjeta de debito, pero hay sitios que usan solo paypal para poder comprar y mi duda es, una vez que inscribo mi tarjeta de debito (que es la unica que tengo) puedo seguir usandola en otros sitios que notienen paypal e incluso en mis tiendas departamentales, o Paypal la bloquea para solo hacer transacciones a través de ellos. Ojala alguien pueda comentar sobre esto y despejarme la duda.
    Gracias.

  34. 22 junio 2010

    Durante mucho tiempo estuve intentado recuperar mi contraseña perdida de paypal; y me enfrenté a los problemas que describes; hoy (23 junio 2010) hice un nuevo intento y vualá… resulta que paypal ya utiliza el mismo método de recuperación de contraseñas que los sistemas mas simples; solamente le das el mail que asociaste a tu cuenta de paypal; y te envia un enlace para resetear la contraseña; muy simple, al darle clic me envio a una página donde escribí dos veces la nueva contraseña y listo, despues de 5 años ya pude entrar de nuevo a mi cuenta paypal, ahora tengo otro problema; en estos cinco años tuve que crearme otra cuenta de paypal para sobrevivir en el ciberespacio y ahora tengo dos cuentas, ¿tendré algun problema con eso?

  35. 5 julio 2010
    MatiRock permalink

    A mi ya me han robado. Alguien accedió a mi cuenta Paypal y robó mis datos. Luego me sopló casi 17 pavos de mi cuenta asociada y el saldo que tengo en Paypal me lo han retenido. Ahora me dicen que tienen un error en el sistema y que no pueden desbloquearme la cuenta para poder limpiarla y cerrarla. muy fuerte. Estoy intentando denunciar esto al teléfono de estafas interactivas de la policía pero nadie contesta al teléfono. Me siento imbécil. Encima por teléfono te tratan como tal. Nunca he tenido problemas realizando transacciones directamente con mi banco, resulta que una intenta hacer las cosas más seguras y mira lo que pasa. Ahora me han hecho una faena porque tengo mi tarjeta bloqueada por el banco, me caso a finales de mes y necesito usarla. Con perdón de los lectores me gustaría dirigirme desde aquí a los de Pay pal y decirles con muuuucho cariño

  36. 30 octubre 2010
    RUBEN permalink

    y que me dices de efectuen pagos estando tu cuenta paypal cerrada
    luego dicen que es cosa del emisor cuando los responsables son ellos por efectuar un pago con una cuenta cerrada.

  37. 30 diciembre 2010
    eriick350 permalink

    Pues a mi despues de poner mi telefono , me dieron una clave de acceso me llamaron del sitio, una maquina claro donde tuve que introducir la clave, despues de colgar la llamada pude recuperar mi contraseña. :)

  38. 23 febrero 2011
    Janette permalink

    Alguien sabe un teléfono que no sea el 902 885248 que NUNCA CONTESTAN!! ni tampoco el correo normal por donde siempre te responden con un mensaje genérico?

    Necesito que UN SER HUMANO me atienda porque tengo mi cuenta bloqueada y no les da la gana de devolver los 700 euros que hay allí! y no es de mi interés hacerles una donación a ellos!!!!

  39. 15 agosto 2011
    karen permalink

    es verdad lo que dice sergio yo esoy en una situasion igual lo peor es que yo nunca olvide las preguntas de seguridad un dia me aparecio la cuenta bloqueada y desde ahi no he podido hacer la recuperacion de mi contraseña hago el mismo proceso de sergio y me pasa igual ,llevo 2 años y nada e de haberlo sabido … ahora quiero comprar cosas por internet y me es imposible, la verdad en ese aspecto son muy poco serios

  40. 30 enero 2012
    Eduardo permalink

    Yo tambien estoy muy decepcionado con PAY PAL. Lo he venido usando mucho en estos 4 utlimos a�os. Mientras nbo tuviera problemas con los env�os todo marchaba bien. Ellos se cobraban su comisi�n, y todos felices.
    El problema surgi� cuando acud� a ellos por un env�o que no me hab�a llegado, amparandome en su garant�a de reembolso por pagar con Pay Pal.
    Me estuvieron mareando. Los de Pay pal Espa�a, lavandose las manos, y tirando la pelota a Pay Pal Alemania que es adonde compr� unas antig�edades. Finalmente , luego de mas de dos meses, me dicen que como el vendedor present� papeles que envi� “algo”, no me devuelven ni un duro, y encima me aconsejan que lo arregle con el vendedor, cazurrito el hombre.
    Me qued� sin esas antiguedades, alguien las habr� robado en elcamino,perd� oportunidades de seguirlas buscando y tiempo.
    Ah!y las llamadas al 902 de Pay pal, que son expertos en lavarse las manos y no resolverte nada.

  41. 3 julio 2013

    Tengo bloqueado paypal.recibi 720 dolares de una venta ,..no pude retirar
    el resto del dinero..se habian cobrado las compras de ebay…ellos mismos aceptan la validez de la cuenta….porque me dicen que me tengo que identificar despues de 15 años con la cuenta…despues de identificarme tres veces seguia el bloqueo del dinero…………menos mal le devolvieron el dinero al comprador,..yo he perdido la venta y no puedo comprar ni pagar en ebay
    no solo hay chantaje de las preferentes ahora en paypal……….miren– —estafados por paypal —hay cientos o miles con el mismo problema

  42. 13 noviembre 2013

    Me encanto tu artículo, muy bueno gracias!

Trackbacks & Pingbacks

  1. meneame.net
  2. Sergio Hernando » Tarjetas virtuales y otros mecanismos de compra segura en Internet
  3. Bocados de Actualidad (47º) | Versvs

Escribir un comentario

Note: XHTML permitido. Tu email nunca será publicado.

Suscribirse a los comentarios via RSS

Switch to our mobile site