Esa es la cuestión. En temas de seguridad, lo aconsejable suele ser no fiarse ciegamente de nada, por si acaso. Y si metemos dinero en la ecuación, con más motivo.
Siempre me ha llamado la atención lo reacia que es la gente en general a pagar con tarjeta por internet, pero luego en persona da alegremente su tarjeta al camarero para que se la lleve hasta el TPV para cobrar (es cierto que esto ya no es exactamente así porque traen un datafono portátil a la mesa para que introduzcas el PIN, pero normalmente la gente tiene más miedo cuando no ve qué o quién recibe su tarjeta).
En mi opinión, ni una cosa ni la otra. No hay que dar despreocupadamente la tarjeta como si repartiéramos caramelos, ni evitar usarla a toda costa porque si la sacamos de la cartera nos la van a robar sólo con olerla. Como siempre, hay que actuar con cabeza y seguir algunos cuidados básicos.
¿Y por qué le doy tantas vueltas a este tema ahora? Pues porque en cuestión de pocas semanas se me han juntado dos situaciones relacionadas con el pago con tarjeta que me han hecho plantearme que todavía queda camino por recorrer en la seguridad del pago electrónico (tanto por parte de los que pagan como por parte de los que cobran).
Para empezar, hace unas semanas llamé por teléfono a un hotel para reservar un fin de semana. Todo muy bien, buena atención y nada reseñable, hasta que llegó el momento de confirmar la reserva:
YO: De acuerdo.
HOTEL: Envíenos por mail su número de tarjeta de crédito, todos los dígitos más la fecha de caducidad y los tres numeritos que hay en la parte de atrás. ¿Sabe cuáles son? Así podremos hacerle el cargo del 50%.
YO: Disculpa, espera un momento. ¿Me estás pidiendo que os envíe por correo electrónico TODOS los datos de mi tarjeta de crédito?
HOTEL: Sí por favor. De ese modo nosotros cargamos ahora el 50% del importe, y el resto cuando se marche.
[No me gusta, no me gusta nada. Si es la única opción de pago me planteo cancelar la reserva y buscar otro hotel]
YO: Perdona, ¿no hay otro modo de efectuar el pago? Enviar por email toda esa información de la tarjeta es muy inseguro…
[Aquí la chica empieza a dudar. Parece que es la primera vez que alguien le plantea la evidente inseguridad de enviar en texto plano en un mail la numeración completa de una tarjeta, incluyendo la fecha de caducidad y el CVV o “los tres numeritos de la parte de atrás” como ella los ha llamado]
HOTEL: Verá… Es la forma habitual de proceder para que podamos cargar por adelantado el 50 % y…
YO: Sí sí, pagar el 50% no es problema. Pero me gustaría efectuar el pago de otro modo.
[Breve silencio incómodo]
YO: ¿Tenéis por ejemplo, un número de cuenta donde os pueda hacer una transferencia?
HOTEL: Ehm, sí, claro. Puedo darle un número de cuenta y nos envía por mail el justificante de la transferencia cuando la haga y con eso nos valdría.
YO: Perfecto, tomo nota del número.
Finalmente se solucionó con la transferencia y todo fue sobre ruedas. Pero no deja de resultarme inquietante que ese sea el procedimiento habitual cuando alguien hace una reserva. ¿Qué hacen con esos mails con información sensible una vez han hecho el cargo que corresponde? ¿Cómo me aseguro que me cobran la cantidad que hemos acordado por teléfono? ¿Cómo es posible que la gente envíe su tarjeta sin preocuparse por estas cosas?
Y cuando todavía estaba yo dándole vueltas a estos interrogantes (es increíble cómo ha aumentado mi preocupación interés por la seguridad en los últimos meses), me llegaron las instrucciones para un examen oficial de idiomas que hice hace unas semanas. Estas instrucciones incluyen qué hacer en caso de no estar conforme con la calificación obtenida y el método para reclamar:
Ya estamos de nuevo con el envío en claro por e-mail de la numeración de la tarjeta de crédito y la fecha de caducidad. ¿Qué pasa si no quiero enviar esa información, me quedo sin poder revisar mi examen? Supongo que se podría escribir un mail explicando la cuestión y preguntando por otras posibles formas de pago, pero ¿cuánta gente se toma esa molestia? Seguro que reciben una gran cantidad de números de tarjeta en esa dirección de correo electrónico. Y si un atacante consigue hacerse con acceso a esa cuenta, se va a encontrar esperándole un montón de información jugosa.
Como ya contó Elena hace unos meses, el PCI Security Standards Council se encarga de aumentar la seguridad de todo lo relacionado con las tarjetas de pago y proteger al usuario. En teoría, todas las entidades que participan en procesos de pago deberían cumplir el PCI DSS que indica las normas de seguridad a seguir.
Reconozco que no he leído la normativa completa al respecto, pero aplicando el sentido común la conclusión es que en estos dos casos concretos yo no me fío. Pagar por internet es seguro, siempre que se cumplan ciertas medidas básicas (y enviar en un simple mail los datos completos de la tarjeta, no las cumple).
No hay que tener ese miedo irracional que tienen algunas personas al pago por internet, pero no olvidemos que estamos manejando dinero exactamente igual que si vamos a un cajero, así que el consejo principal y la moraleja de esta entrada es: pensemos antes de actuar. Y si no estamos seguros de algo, busquemos alternativas.
Desde luego no comprendo como no hay más estafas y engaños… lo más preocupante es como bien dices lo de que lo tomen por el procedimiento habitual y que se queden extrañados de que no te convenza.
Otra muestra más del poco nivel de concienciación que existe en relación con la protección de nuestros datos personales.
Es la estupidez humana, hace unos años asistí a una conferencia sobre este tema y el Inspector Jefe de la Brigada de Delitos Informáticos lo explicaba así: Vd. llega a un hotel y el recepcionista (alguien a quién no conoce) le pide su tarjeta de crédito y su dni, los scanea y se los devuelve, Vd. tan contento y feliz. Ahora llego yo (el inspector), me identifico con mi placa y mi carnet, le pido su identificación y… ¿que dice Vd?, este policía fascista!!, ¿para qué quiere mi carnet?, etc. etc.
En el corte inglés para financiar un portátil y al no recordar el número de cuenta bancaria el vendedor me ofrecía su smartphone para que yo entrase a mi banco y poder consultar mi cuenta bancaria, no creo que hubiera ocurrido nada pero más vale prevenir…
Lo del Corte Inglés me parece un poco sospechoso o por lo menos no apropiado xD
Coincido totalmente en que existe un relax generalizado en gran parte de los ciudadanos respecto a este tema. Luego están los que jamás llegaran a realizar una compra por internet ya que no se fían.
Ni una cosa ni otra, lo único que soluciona esto es la correcta información, gracias por tratar este tema.
Lo del corte inglés no me parece tan sospechoso ya que van a comisión y luchan cada venta a muerte. Si fuese en otro sitio sospecharía más aun…
Al día siguiente de leer el artículo me ha pasado justo lo mismo: para reservar un hotel hay que llamar y dar los datos de la tarjeta. Antes lo posteais y antes me pasa :P