Entre julio de 2020 y el mismo mes de 2021, el número de tarjetas de crédito vigentes en el país se redujo en 4 por ciento. No obstante, hoy hay 14,7 millones de plásticos con los que se hicieron compras por 6 billones de pesos y avances en efectivo por 1,3 billones, solo en julio pasado.
Estas millonarias cifras son atractivas tanto para la industria financiera como para los delincuentes, quienes ven en el frecuente uso de las tarjetas de crédito una oportunidad para cometer delitos, en especial ante la facilidad de las compras mediante el comercio electrónico.
Según el sistema de información de la Fiscalía General de la Nación para el Sistema Penal Oral Acusatorio, entre 2019 y 2020 las denuncias por delitos informáticos aumentaron en 70 por ciento. Las principales modalidades denunciadas el año pasado fueron robo de datos por SMS o correo electrónico, estafa en pagos electrónicos y software malicioso. En el ámbito presencial, las modalidades más denunciadas son el cambiazo (a la víctima le cambian su tarjeta sin darse cuenta), la clonación de tarjetas y el fleteo.
Este panorama, que tampoco es nuevo, ha llevado a los reguladores a ser cada vez más exigentes en cuanto a las herramientas de seguridad para evitar robos a los tarjetahabientes. De hecho, en 2019 la Superintendencia Financiera emitió la Circular Externa 029, en la que establece mejores estándares de seguridad para las transacciones con tarjetas de crédito, en ese momento con miras a mejorar las operaciones de comercio electrónico, sin saber que ese canal se iba a disparar con la pandemia.
El problema es que los tres datos con los que se valida una compra virtual con tarjeta de crédito (número del plástico, fecha de vencimiento y código de seguridad) no comprueban que quien tiene esa información sea realmente el dueño de la tarjeta. Por eso se hace necesario contar con otra herramienta que valide la identidad del tarjetahabiente.
La recomendación internacional son las tarjetas de crédito con clave dinámica, que el banco envía a su cliente para que la valide antes de dejar la transacción en firme. Justamente eso es lo que promueve la Circular Externa 029, la cual establece que para junio de 2021 todas las entidades vigiladas debían contar con mecanismos fuertes de seguridad como los códigos de verificación dinámicos, cambiantes y únicos para cada transacción con tarjeta de crédito. Esa clave dinámica se puede enviar al celular o mediante un token.
Por la llegada de la covid-19 estos plazos se corrieron hasta el primer trimestre de 2022, pero ya algunas entidades están implementando las claves dinámicas o el sistema 3D Secure, que es un protocolo basado en XML diseñado para ser una capa de seguridad adicional en transacciones de tarjetas de crédito y débito en línea.
Por ejemplo, en el BBVA ya todos sus clientes pueden hacer compras no presenciales, como son las del e-commerce, con códigos que cambian cada vez que se solicita hacer la transacción, lo que les permite tener mayor seguridad en las operaciones. Además, en los retiros en cajeros automáticos ya cuentan con una clave dinámica tanto en tarjetas débito como en crédito.
En Bancolombia manejan sistemas de autenticación ya plenamente incorporados a sus medios de pago. Todas sus tarjetas débito y crédito tienen el estándar EMV (que es usado para que las transacciones viajen de forma segura), y que se suman a un segundo factor de autenticación, que para el caso de la tarjeta débito es el PIN y para la de crédito es el documento de identidad del tarjetahabiente en compras y usos presenciales. “Para las transacciones no presentes, concentradas principalmente en tarjeta de crédito, contamos con la funcionalidad de VCAS, que es un modelo de autenticación 3D Secure”, aseguran en la entidad.
En el Banco de Bogotá también están trabajando en el desarrollo de herramientas de seguridad para las compras no presenciales con tarjetas de crédito.
Sin embargo, así estos mecanismos se vuelvan universales en la banca nacional, no van a asegurar que los robos y las suplantaciones se vayan a acabar, pero sí se buscan que se reduzcan y eso incluye mejorar las validaciones de seguridad de las transacciones físicas. En ellas, el problema está, además del cambiazo, en el comprobante o voucher que imprime el datáfono.
Ya con tarjetas débito se eliminó la exigencia de firmar ese papel con cédula y número de teléfono, pues esos son datos muy sensibles. Se quiere trabajar en la misma dirección con las tarjetas de crédito, pero con ellas aún hay un problema de distribución de riesgos en la presencialidad, pues entre bancos y comercios se tiran la pelota sobre quién debe verificar la identidad del tarjetahabiente. Hasta ahora son los comercios los que piden la cédula junto con la tarjeta de crédito para validar los datos, pero esto no siempre se cumple y ahí es en donde surgen los problemas.
La meta del regulador es que, en el futuro, tanto en el ambiente presencial como en el digital se avance a tarjetas de crédito con clave dinámica. Ojalá se logre.