CONTRIBUCIONES DE LA CIBERSEGURIDAD PARA EVITAR EL CARDING
Esta semana, la Secretaría de Comercio de la Nación emitió la Resolución 87/2024 en la que se adopta, como política de Estado, una práctica cibersegura. De ese modo, se busca bajar los niveles de fraude y generar una nueva cultura de consumo y comercial. En este artículo se abordan diversos aspectos de la nueva normativa y los ciberdelitos frecuentes, entre otras cuestiones.
Por: Dr. Rodrigo Bionda - Juez
17 de marzo de 2024
Según un informe del Banco Central de la República Argentina, en nuestro país existen 6.012.039 titulares de tarjetas de crédito, habiéndose emitido 10.208.989 tarjetas de crédito y -nada menos- que 30.561.763 tarjetas de débito; cifras que evidencia el contexto ideal para que se cometan todo tipo de delitos -a punto tal que durante 2023 se recibieron en Defensa al Consumidor casi siete mil denuncias-, producto del volumen de transacciones que se llevan a cabo en ecosistemas digitales, mediante la utilización de la referida herramienta crediticia o de pago y permitiendo avizorar el altísimo riesgo que se corre de ser víctima de algún delito contra la propiedad.
Son muy frecuentes y variados los delitos que suelen perpetrarse producto del uso de tarjetas de crédito o débito conocidos como carding, además que las estrategias delictivas van variando junto con la evolución de las tecnologías, de ahí a que sea casi imposible enumerarlos y -mucho más difícil aún- investigarlos, perseguirlos y lograr que sus autores sean condenados.
Sembrando despreocupación, cosechando carding
Se ha tornado frecuente detectar cargos generados por el uso de tarjetas de crédito o de débito producto de transacciones que el usuario nunca ha realizado, por lo general por importes que no son muy significativos y en espacios temporales relativamente aislados a fin de no generar alertas.
Por ello, se denomina carding a un conjunto de delitos cometidos mediante el uso de las tarjetas de crédito o de débito; haciéndose un uso desviado de dicho recurso crediticio o medio de pago producto de la obtención ilegítima de los datos del plástico y de sus titulares al tener contacto con el instrumento utilizado para identificarlo: por lo general, el Documento Nacional de Identidad.
En términos generales, hay dos modalidades principales de comisión de delitos de esta naturaleza; los conocidos como delitos de "tarjeta no presente" y los de "tarjeta presente". Para los que integran el primer grupo, remitimos al lector a la publicación que efectuamos hace algún tiempo en este mismo medio, bajo el título: "El Carding o los delitos cometidos a través del uso de tarjetas de crédito".
Los delitos que conforman el segundo grupo -denominado de tarjeta presente- se materializan cuando el delincuente -por lo general el individuo que se encuentra afectado a la atención al público- se hace de los datos que porta la tarjeta de crédito o débito entregada por el cliente a fin de pasarla por la terminal de pago con dos objetivos. El primero, comercializar los datos que surgen de esa tarjeta en las binarias profundidades de la dark web para que terceros realicen transacciones sin conocimiento ni consentimiento del verdadero titular -o bien- para cargarle otras compras no realizadas; modalidad que también es bastante frecuente.
¿Como es esto posible? Todo usuario debe saber que cada tarjeta se individualiza mediante un BIN por su sigla en inglés -Bank Identification Number- que es la manera en la que un Banco organiza la numeración de sus tarjetas. Un error frecuente de los usuarios es pensar que cada tarjeta individual tiene un BIN distinto, ello es inexacto puesto que se generan bastantes tarjetas a partir del mismo BIN.
En efecto, el mecanismo o la secuencia lógica para generar los números PAN -Personal Account Number- que identifican a las tarjetas de crédito siguen una estructura regular y conocida. Los primeros seis números de una tarjeta identifican al banco y a la empresa que la emitió, los nueve números siguientes se establecen según un algoritmo estándar y el último número es el llamado "dígito de control". Este número verifica la integridad de los números que están a la izquierda a partir de una fórmula llamada "Algoritmo de Luhn", creada por el científico de IBM Hans Peter Luhn en 1954.
Por caso, Visa es una empresa emisora de tarjetas y todos sus plásticos comienzan con el número Cuatro, mientras que Mastercard -rival de Visa- inicia todas sus tarjetas con el número Cinco. Por otra parte American Express, que también es una emisora de tarjetas de alta gama, comienza todas sus tarjetas con el número tres.
Finalmente, la secuencia de seguridad cierra con el número de verificación de la tarjeta o CCV -Card Validación Value- que consiste en una contraseña ubicada al reverso de las tarjetas y es un sinónimo de pin que habitualmente consiste en tres dígitos.
A fin de robustecer la seguridad del recurso empleado, al PAN -esto es, el número de la tarjeta- se le agrega un número de fecha de vencimiento y un CVV -recordemos, el código de seguridad que está en la parte trasera- que son solo tres dígitos y todos esos datos, el usuario mansamente los proporciona al despojarse de su tarjeta y entregarla a quien lo atendió en un comercio, bar o restaurant.
Es que en Argentina es muy común que los negocios, sobre todo restaurantes y bares, pidan la tarjeta de crédito o débito junto al DNI y el usuario pierda de vista esos objetos al momento del cobro. Esto es peligroso, porque la información del plástico y la del DNI puede ser copiada para usarla sin autorización del titular o para comercializar los datos que portan para que otros los usen.
En otras palabras, esta práctica con gran arraigo cultural apareja un riesgo enorme, que consiste en que se obtengan fotos de la tarjeta y el DNI del titular para hacer compras más adelante a su nombre; aunque existen otros tipos de fraudes que podían realizarse como la clonación de tarjetas, la realización de pagos o cobros adicionales, robo de identidad, la venta de la información del cliente o la obtención de los datos de tu DNI para realizar algún trámite.
En efecto, una de las estafas más comunes con tarjetas de crédito o débito es el robo de datos mediante captura de imágenes de las tarjetas y del DNI. La información brindada en estos dos documentos es vital a la hora de las compras online. Por eso, con tan solo una fotografía de ellos se puede producir una compra sin autorización.
Otro riesgo enorme es la clonación de tarjetas. Mediante esta estrategia, los delincuentes copian la información de la tarjeta para colocarla en otro plástico. En muchos casos, esto se hace a través de un skimmer, un lector pequeño que recoge los datos de la tarjeta y los envía a una computadora que, mediante un software especializado, da acceso a los datos de la tarjeta. La obtención de estos datos permite realizar compras online o reescribir la información del ordenador en tarjetas en blanco. Por eso, es importante nunca perder de vista la tarjeta y no compartir fotografías de las tarjetas ni revelar información sensible, como el código de seguridad y -mucho menos aún- de nuestro DNI.
Vientos de cambio
Con ese contexto, cuando el cliente quería pagar con tarjeta de crédito o débito, cabían dos posibilidades. O bien, le llevaban el Pos a la mesa, o se llevaban tus tarjetas y, muy probablemente, también su DNI con los peligros que ello conlleva.
Sin embargo, una muy reciente resolución de la Secretaría de Comercio publicada en el Boletín Oficial del día 12 de marzo de 2024, se propone modificar esa arraigada práctica cultural disponiendo que los titulares o empleados de los comercios acerquen al cliente las terminales para pagos electrónicos, conocidas como "posnet", de manera tal que el usuario nunca pierda de vista su tarjeta de crédito o débito durante la transacción.
La novel reglamentación responde a una demanda de diversos sectores que bregan por la protección de los datos personales y el resguardo ante eventuales robos de información personal y fraudes; recogiendo una muy buena práctica en materia de ciberseguridad.
De tal modo, la reciente Resolución 87/2024 de la Secretaria de Comercio dependiente del Ministerio de Economía de la Nación, implica adoptar como política de Estado una práctica cibersegura; procurando que el consumidor nuca sea ni siquiera temporalmente desapoderado de su tarjeta de crédito o débito y de su DNI al momento de cancelar el importe de la operación por la adquisición un bien o servicio.
El objetivo que subyace a la referida resolución, consiste en bajar los niveles de fraude y generar una nueva cultura de consumo y comercial. Por un lado, se propone que el consumidor sepa que tiene que pedir el posnet al momento de pagar y -por el otro-, que el comerciante sepa que tiene que ponerlo a disposición del consumidor.
Una de las estafas más comunes con tarjetas de crédito o débito es el robo de datos mediante captura de imágenes de las tarjetas y del DNI, y otro riesgo es la clonación de los plásticos.
Los alcances de la modificación
En el artículo primero de la Resolución 87/2024, publicada este martes en el Boletín Oficial, la Secretaría de Comercio estableció que "...todos los establecimientos comerciales que acepten para la realización de sus transacciones comerciales tarjetas de crédito, compra o débito en los términos del Artículo 1° de la Ley N° 25.065 y sus modificaciones, y operen con terminales electrónicas para el pago de las operaciones realizadas (terminales de captura de datos o "POS"), deberán poner a disposición del consumidor las mismas de modo tal que, en ningún momento, pierda el control o quede desapoderado de su tarjeta, ni aún momentáneamente, hasta la completa finalización de la operación...".
En efecto, desde que a fecha que estipula la resolución -seis meses desde su entrada en vigencia- los comercios no podrán obligar a los clientes a desprenderse en ningún momento de su plástico -tarjeta de crédito o débito- ni de su DNI, por lo que deberán chequear la información frente a ellos en todo momento y efectuar la operación de cancelación en la terminal de pago en su presencia.
En algún punto, la Secretaría de Comercio comprendió que el adecuado funcionamiento del mercado tiene como pilar fundamental, entre otros extremos, que los bienes provistos revistan la máxima seguridad para los consumidores, en cuanto a su utilización y funcionalidad; valorando que ello de algún modo se logra si el usuario o consumidor no pierde el control del objeto utilizado como medio de pago en ningún momento de la transacción, lo que reducirá la posibilidad de la captura indebida de sus datos, o su uso desviando o fraudulento.
¿Qué ocurre si en el comercio intentan manipular el DNI o la tarjeta del consumidor fuera de la vista del cliente?
Ante el incumplimiento de la pauta de conducta cibersegura por parte de los establecimientos comerciales, las consecuencias están previstas en el artículo segundo, en cuanto establece que "...las infracciones a la presente resolución será sancionadas con base en las penalidades previstas en el artículo 47 de la ley 24.240..." ; estas van desde apercibimiento a una multa que puede oscilar entre 500 pesos a 500.000 pesos, o alcanzar el triple de la ganancia o beneficio ilegal obtenido por la infracción; la clausura del establecimiento o suspensión del servicio afectado por un plazo de hasta treinta días; la suspensión de hasta cinco años en los registros de proveedores que posibilitan contratar con el Estado o la pérdida de concesiones, privilegios, regímenes impositivos o crediticios especiales de que gozare; sin perjuicio de lo cual, en todos los casos, se dispondrá la publicación de la resolución condenatoria, a costa del infractor en el diario de mayor circulación de la jurisdicción donde se cometió la infracción.
Así las cosas, frente al incumplimiento del mecanismo adoptado por la Resolución reseñada, se podrán realizar denuncias en: argentina.gob.ar/reclamosconsumidor; o a través las redes sociales de la Subsecretaría de Defensa del Consumidor: @DNDConsumidor, tanto en X como en Instragram y Facebook, o bien ante la OMIC local.
¿A partir de cuándo será este cambio?
Los cambios perpetrados por la resolución en relación al pago con tarjetas de crédito y débito rigen a partir de su publicación en el Boletín Oficial, es decir, desde el martes 12 de marzo, aunque los comercios tendrán un plazo de adecuación de 180 días contados a partir de su entrada en vigencia para que los proveedores adapten los servicios de atención al cliente de acuerdo con lo establecido en la resolución.
Ello significa que, si bien la resolución ya se encuentra vigente, los comerciantes cuentan con un plazo de adecuación de 180 días contados a partir de su entrada en vigencia, a efectos de que los proveedores adapten los servicios de atención al cliente demodé tal que les permita cumplir la pauta de conducta cibersegura consistente en acercar la terminal de pago hacia donde se encuentre situado el usuario o consumidor.
¿Complicada implementación?
Desde luego que se encuentra justificado este plazo de ciento ochenta días de gracia para su implementación y adecuación; toda vez que será necesario comprar los posnets que necesiten en caso de requerir más dispositivos o actualizarlos para acercarlos al cliente o, empezar a usar dispositivos que permitan al consumidor conocer la totalidad del proceso y registrar qué es lo que se está pagando y en cuántas cuotas.
Si bien la decisión adoptada, implica un avance significativo, hay dos cuestiones a tener en cuenta. La primera, finca en que su implementación puede generar alguna complicación desde la logística habida cuenta que las dos principales marcas que operan terminales de pagos en el país -Fiserv y Payway- cuentan con tienen dispositivos que están pensados para que quien visualiza la información sea el vendedor.
De este modo, al comenzar una transacción con chip, banda magnética o contactless, primero hay que pasar la tarjeta, luego incorporar el monto y luego las cuotas. El problema de esto es que el consumidor no tiene forma de ver cuál es el monto que le están cobrando, ni tampoco la cantidad de cuotas en la cuáles está pagando. Con ello se quiere significar que, de alguna manera, la transparencia 100% todavía no está implementada.
Es que si bien la resolución se preocupa por lograr que se realice una transacción en donde el consumidor no pierda de vista en ningún momento la tarjeta de crédito o débito, ello no implica que el consumidor va a poder tener visibilidad absoluta o completa para dar conformidad de la transacción.
Esto no ocurre en otros mercados -por caso, en Estados Unidos- donde las terminales de pago suelen estar en una caja y mirando al cliente; como puede experimentarlo cualquiera que se detenga frente a una terminal autorservice de un Mac Donald`s en cualquier aeropuerto o local de Argentina.
El segundo punto a tener en cuenta es la exhibición o desapoderamiento del DNI.
¿Hay que seguir exhibiendo el DNI a la hora de pagar con tarjeta de crédito o débito?
Aunque se trate de una práctica cibersegura, que ha sido abandonada por casi todos los comercios locales, la respuesta es afirmativa; toda vez que el inciso "b" del artículo 37 de la Ley de Tarjetas de Crédito dispone que: "El proveedor está obligado a: b) Verificar siempre la identidad del portador de la tarjeta de crédito que se le presente".
Como se puede avizorar, la exhibición del DNI está explícita por la Ley de Tarjetas de Crédito, que requiere que el vendedor tenga que comprobar siempre la identidad del comprador. Eso no quiere decir que el comprador se lleve el documento. Pero el documento se debería seguir requiriendo, eso no se modifica.
La Resolución 87/2024 nada dice en relación a la exhibición del Documento Nacional de Identidad y ello justificadamente, puesto que esa modificación depende de un cambio legislativo. Ello significa que la Secretaría de Comercio no tiene competencia para poder reemplazar una ley.
Sin embargo, más allá que la normativa no hace mención al DNI porque eso requeriría una reforma legislativa, es fundamental que aprovechemos la adopción de esta buena práctica para que el cambio cultural en materia de protección de datos se genere desde los ciudadanos, impidiendo que nadie manipule ni retenga nuestro documento.
¿Qué otros comportamientos ciberseguros se pueden adoptar para evitar convertirse en víctima?
Es importante entender que la ciberseguridad también abarca a las medidas de protección ante errores humanos previsibles, como fallas de gestión, o aspectos como la concientización de usuarios, tan necesaria para evitar incidentes de todo tipo y estimar riesgos.
Las herramientas para protegernos como sociedad para construir un entorno más seguro al utilizar servicios digitales son las brindadas por la ciberseguridad, que incluyen a las disciplinas como la seguridad informática, la gestión y gobierno o gobernanza de la ciberseguridad, la seguridad de la información y la estimación, análisis y evaluación de riesgos.
Es por ello que es sumamente importante que los usuarios habiliten la alerta de consumos en las tarjetas: para que el sistema notifique cada consumo que se efectúa. Además de ello, es recomendable chequear con frecuencia sus transacciones y su saldo disponible, para verificar no haber caído en algún tipo de fraude. Eso puede hacerse a través del home banking de la entidad bancaria a la que pertenezca la tarjeta. Es recomendable hacerlo siempre desde una red de Wi-Fi que sea segura.
En caso de detectar algún tipo de movimiento inusual en sus tarjetas o directamente que el consumidor se dé cuenta de que fue víctima de un delito, se recomienda ponerse en contacto con la entidad bancaria emisora del plástico y solicitar el bloqueo de la tarjeta; denunciar el fraude; y solicitar la devolución del dinero robado.
Las empresas procesadoras de pagos como Visa o Mastercard asumen que este tipo de fraude está implícito en la misma industria, es importante tener en cuenta que si su número de tarjeta ha sido utilizado de forma fraudulenta, el titular se encuentra protegido y puede pedir al banco que anule el monto a pagar. La Ley nacional de Tarjetas de Crédito garantiza la devolución de los cargos desconocidos, aunque el banco realizará una investigación sobre la transacción en cuestión.
Ocaso
En el ocaso de este pequeño aporte, pergeñado entre los pliegues y repliegues de una intensa trayectoria vital, no queríamos dejar pasar la oportunidad de advertir que la navegación frenética por ecosistemas digitales a bordo de un plástico crediticio sin adoptar recaudos, puede subirnos al mástil de un inminente naufragio financiero y que la neutralización de los riesgos de sucumbir a la tempestad que puede desatar un cielo encapotado de señales binarias depende, en gran medida, de soluciones autobiográficas a contradicciones sistémicas: ¡Mozo! ¡Un café, la cuenta y el posnet!
(*) Juez en lo Civil y Comercial de la Provincia de Buenos Aires, desde hace más de quince años. Docente de Grado y Posgrado en Universidades y Organismos Nacionales y Extranjeros. Investigador. Autor de obras individuales y coautor en obras colectivas. Miembro admitido por la Asamblea General de Naciones Unidas en el Comité Ad Hoc para la elaboración de una "Convención Internacional sobre la Lucha contra el Uso de las Tecnologías de la Información y de las Comunicaciones con Fines Delictivos" de la ONU. Ha sido seleccionado por la Organización de Estados Americanos (OEA) y el Instituto Nacional de Ciberseguridad del Reino de España (INCIBE) para participar del "Cibersecurity Boot Camp 2023" en León, España. Profesor invitado en las universidades Santa Marta La Antigua de Panamá, en la Escuela Judicial "Rodrigo Lara Bonilla" de Colombia, en el I.N.S.J.U.P. del Órgano Judicial de Panamá, en el Superior Tribunal de Cali en Colombia, en el Rotary de Guadalajara, México, en la Escuela de la Judicatura de Perú, en la Universidad de Cuenca en Ecuador, en la Escuela de Dirección y Altos Estudios de Cámara Granada, España, entre otros. Especialista convocado por las Comisiones de Derechos y Garantías y de Justicia y de Asuntos Penales del Honorable Senado de la Nación. Gerenciador, tutor y consultor en más de treinta organismos jurisdiccionales. Miembro de Red Internacional de Justicia Abierta. Cursando la Licenciatura en Ciberseguridad de Universidad FASTA.
Los comentarios publicados son de exclusiva responsabilidad de sus autores y las consecuencias derivadas de ellos pueden ser pasibles de sanciones legales.
27/12/2024
27/12/2024
27/12/2024
27/12/2024
27/12/2024
27/12/2024
26/12/2024
24/12/2024
24/12/2024
24/12/2024
EN SU 36° EDICIÓN
24/12/2024
EN SU 36° EDICIÓN
24/12/2024
EN EL ESPACIO CULTURAL PAISANO FRÍAS
CARLOS GAGLIONE
24/12/2024
23/12/2024
23/12/2024