De la banda magnética al chip EMV. La gestión del número personal (PIN)

Hola,

Durante estas vacaciones he podido comprobar como EMV es por fin una realidad palpable en España. También he podido comprobar como algunos grandes comercios siguen pudiendo operar en fallback a banda magnética, lo que les evita exigir a cada uno de sus clientes que tecleen su PIN en los terminales, pero eso es harina de otro costal y no el objeto de este pequeño artículo.

Como era previsible, si hay algo que no ha cambiado es el escaso cuidado con el que la gente emplea su número secreto. Por desgracia, la transición a EMV no ha convertido mágicamente a los tarjetahabientes en expertos en seguridad en medios de pago. Si durante estos pasados nueve días no he visto en algún supermercado, restaurante o establecimiento al menos una decena de PINs, no he visto ninguno. Y es que quizás hemos pasado del PIN apuntado en la cartera a teclearlo alegremente sin tapar el teclado, permitiendo que cualquiera en las inmediaciones sepa qué número secreto tenemos en nuestra tarjeta.

Y esto, amigos míos, tiene un peligro más que obvio. En un mundo EMV, donde autenticamos las operaciones mediante PIN dejando a trás los recibos firmados, se reducen los escenarios donde reclamar un fraude caso de sufrirlo. Reclamar alegando que una operación autenticada mediante número secreto no es nuestra no es tan sencillo como pueda parecer, con lo que conservar la privacidad del PIN es absolutamente necesario e imprescindible si queremos conservar nuestra salud financiera.

Gestionar bien el PIN es algo fácil de hacer siguiendo tres sencillos pasos:

  • Rotar el número periódicamente y siempre que se sospeche que puede haber sido visualizado por alguien. Escoger números personales aleatorios es obligatorio, con lo que las fechas de nacimiento, los números triviales y en general, los que sean previsibles de algún modo, deben ser evitados.
  • Cuando se teclee el PIN cubrid con la mano el teclado, lo que impedirá que cámaras o los ojos curiosos de algún amigo de lo ajeno obtengan el número.
  • Por último, especialmente si viajas a algún país de menor nivel de bancarización o simplemente a algún país donde EMV no sea un estándar, infórmate en tu sucursal sobre las condiciones que son aplicables a tu medio de pago con relación a los eventos de fraude.

Un saludo, y espero que tengais un buen regreso a lo cotidiano tras las vacaciones :)

Seguridad, experiencia del cliente y el valor del negocio

Hola,

El fin de semana pasado recibí una tarjeta de débito que no había solicitado. Al abrir el sobre comprobé que me enviaban un reemplazo para un plástico EMV, siendo el envío 100% proactivo por parte de la entidad, es decir, no provocado por extravío, robo o caducidad. Tiendo a pensar que tampoco se trata de un reemplazo masivo provocado por fraude, ya que llevan tiempo enviando información advirtiendo del reemplazo progresivo de los plásticos y sobre todo, la tarjeta a la que sustituye este nuevo plástico sigue operativa.

Me alegró comprobar que, lejos de enviar una tarjeta operativa, el banco depositó en mi buzón una tarjeta que requería activación antes de poder ser usada. Esta es sin duda una práctica más que aconsejable que impide el uso fraudulento del medio de pago en caso de que alguien comprometa nuestro buzón. Los métodos de activación que me ofrecieron son los típicos: la banca a distancia, el teléfono o el cajero automático. Eché la tarjeta a la cartera, y ese mismo día, aprovechando la cercanía de un cajero, procedí a activarla.

Con lo que no contaba era con tener que abortar la operación al recibir dos veces el mensaje de PIN erróneo, pese a que la carta que acompañaba la tarjeta indicaba claramente que el PIN no había cambiado, algo que me parece natural y normal. ¿Por qué cambiarlo si no hay compromiso? Basta con enviar la tarjeta inactiva, y dejar que el cliente la active. Forzar un cambio de PIN es improcedente y contraproducente para el reemplazo, porque como podéis imaginar, en el momento que el PIN no funciona hay que proceder a solicitarlo. Si tienes la oficina a mano consumirás el tiempo de los gestores, que están allí fundamentalmente para vender productos financieros, no para faciltiar PINes. Si echas mano del teléfono, tendrás que gastar dinero y tiempo para pedir que te manden un PIN a casa, porque no te lo darán por teléfono. Si tus clientes activan sus tarjetas en la banca a distancia liberas tus oficinas y tu call center de trabajo que no repercute en ingresos, pero a cambio necesitas que tus clientes tengan el perfil tecnológico suficiente para completar el proceso. Mire por donde se mire, cambiar el PIN en un evento de reemplazo no provocado por fraude es injustificado y provoca, además de molestias, gastos operativos innecesarios.

Quiero pensar que lo que ha ocurrido es un error, porque sería muy mezquino forzar intencionadamente el cambio de PIN en el escenario descrito. No obstante, imaginaos lo que puede pasar si esto se lo haces a un millón de clientes: Probablemente recibas alguna queja que otra. Sí, errar es humano, pero hay que tratar de impedir este tipo de errores y precisamente es la ausencia de este tipo de problemas lo que convierte un servicio en excelente en vez de chapucero.

No existe ningún secreto en la mejor manera de hacer las cosas: esforzarnos al máximo en equilibrar la seguridad, la experiencia del cliente y el valor del negocio subyacente.