EDICIóN GENERAL
385 meneos
4873 clics
Un fallo en las tarjetas VISA permite saltarse el límite de 20 euros sin PIN

Un fallo en las tarjetas VISA permite saltarse el límite de 20 euros sin PIN

Las tarjetas contactless llevan años permitiéndonos pagar mucho más rápida y cómodamente en todo tipo de establecimientos. Si el importe no supera los 20 euros (30 libras en Reino Unido), no es necesario introducir el PIN de la tarjeta y el pago es mucho más ágil. Sin embargo, un grupo de investigadores ha conseguido hacer pagos de más de 100 euros sin necesitar PIN, lo cual entraña un grave peligro para los usuarios de tarjetas VISA.

| etiquetas: visa
142 243 7 K 250 mnm
142 243 7 K 250 mnm
Para todo lo demás: MasterCard.
el peligro esta mas para visa que seguramente tenga que pagar esas estafas con su seguro
#1 entonces el peligro está para el Seguro de visa
#6 Los seguros nunca pierden. Les subirán la prima un buen pellizco.
"hacer pagos de más de 100 euros sin necesitar PIN, lo cual entraña un grave peligro para los usuarios de tarjetas VISA"
Lo que entraña riesgo es que, sea el que sea el importe, se pueda pagar sin ninguna verificación.
Nos lo cuelan como una ventaja para los clientes cuando en realidad es una ventaja para el comercio.
#1 Ah, pero no tenemos que preocuparnos porque, si nos roban, VISA nos devolverá el dinero, tarde o temprano.

¿De verdad nos hemos vuelto tan vagos y cómodos que no nos importa la posibilidad de un robo solo por no marcar cuatro cifras en un teclado?

Nos estamos volviendo idiotas. Cada vez más y cada vez a más velocidad. Este mundo se va a la mierda.
#9 pues a mí me gusta el sistema, y que pueda haber un fraude por cada cientos de millones de transacciones que hay al día me parece asumible. También hay que ser consciente del riesgo de fraude y estar al loro de los cargos, y si pasa algo lo reclamas y ya está. Lo que no puede ser es la gente que jamás mira la cuenta y si le roban no se entera hasta que es demasiado tarde
#19 Deberían obligar a todos los bancos a indicar los cobros con tarjeta en tiempo real en sus apps. Y lo de activar y desactivar la tarjeta también.
#23 ing te avisa con una notificación al momento
#29 Para pagos de 50 euros o más. Pueden hacer 10 pagos de 49 euros y sablearte casi 500 pavos.
#54 a mi me lo hace con cualquier pago.
#54 Por cualquier importe
#23 todos mis bancos lo hacen.
#23 la app de mi banco (vivo en usa) me permite desactivar la tarjeta de forma temporal por si me he dejado la tarjeta en cualquier lado o lo que sea.
Lo mismo para cuando viajas, desde la misma app pones los paises donde vas a estar y las fechas para que no piensen q es uso fraudulento.
#42 Wells Fargo en USA también me lo permite.
#42 Las del santander, ing, bbva, también.
#23 N26 lo hace, Bnext tb, La Caixa ya tal...
#59 CaixaBank permite “encender” y “apagar” del todo o solo alguna de sus características (como bloquear solo el sacar dinero del desde hace más de 3 años (ya tal)
#23 mi banco en UK lo hace.. se llama Staring y es un neobank "solo app".
#19 yo respeto que asumas que te roben por comodidad, el problema es que la mayoría de los bancos no respetan a los usuarios que queremos autorizar todos nuestros pagos.
Todo esto, nace de la batalla de los bancos contra operadores y proveedores de móviles , para estos algo tan simple como desbloquear el móvil es suficiente para autenticar, para competir, los bancos decidieron eliminar la autenticación añadiendo una cláusula según la cual todo el fraude por el contactless lo asume el cliente :clap: :clap:
#77 ¿qué cláusula es esa?
Hacemos muchas cosas día a día por comodidad asumiendo riesgos, no me vengas con exageraciones, me juego el karma a que la cerradura que protege tu casa es un simple bombín de seguridad de 20 euros.
Tampoco sé qué banco tienes pero seguro que te permite desactivar el contactless.
#78 Banco Santander, en el contrato de la tarjeta de específica que los primeros 200€ de fraude los asume el cliente. 20€ x 10 operaciones) y no se puede desactivar, incluida reclamación formal, salvo por medios físicos ( rompiendo el circuito del contactless con un taladro) que es lo que he hecho.
Que tu no te leas los contratos es tu problema, pero no hables sin tener ni idea.
#84 si denuncias la pérdida no eres responsable, déjate de películas, no existe una alarma social pro la inseguridad del sistema contactless, está todo en tu cabeza
#90 tu curras en un banco, ¿no?.
el problema es que no hace falta perderla, te recuerdo que es sin contacto y existen proxys NFC con un par androids desde hace más de 7 años.
Demasiado seguro de ti mismo te veo para no haberte leído el contrato de tu propia tarjeta, ni tener ni idea de seguridad, ni saber quién soy, ni como es mi casa, ni ...
suerte con tu estulticia y disfruta de la comisión de tu banco.
#78 por cierto, la seguridad de una casa no solo depende de la cerradura, si tienes puntos más deviles como ventanas o puertas de garaje, de poco te sirve que protejas con una mega puerta acotada la entrada ( principio del eslabón más devil)
En Contra del que te vendió la crrradura, es mucho más práctico asumir que van a entrar, añadir una segunda protección a las cosas valiosas, y añadir visibilidad, como alarmas, señuelos, cámaras, etc. para enterarte en cuanto entren.
#85 estoy seguro de que tienes todos esos sistemas en tu casa, viendo cuánto te preocupa una pérdda de 20 euros de la tarjeta, venga ya
#9, bueno, cuanto te roban la cartera, si llevas 100 euros en esta, el ladrón también se puede gastar los 100 euros sin necesidad de identificarse. Sí que es cierto que los 100 euros se los gasta una vez y ya está y con las tarjetas puede hacer varios gastos de 20 euros sin introducir pin (bueno, desconozco si hay un límite diario o algo).
#20 Normalmente, cuando te roban la cartera te das cuenta enseguida y solo te pueden robar lo que lleves en ella.
Si te roban de las tarjetas usando el contactless no te das cuenta enseguida y el ladrón puede limpiarte la cuenta corriente.
#22 La responsabilidad de verificar la identidad del cliente sigue siendo de la entidad, por lo que a menos que exista negligencia manifiesta por parte del cliente la entidad suele asumir los cargos fraudulentos.

Estas facilidades que pone la banca para gastar dinero son riesgos que asume la banca, no el cliente. Han hecho sus números y les compensa el incremento de comisiones por uso con los casos fraudulentos que se dan.
#36 Pregunto desde la ignorancia. Debido a que por ley los comercios fisicos deben exigir el DNI en las compras con tarjeta, ¿no se podría hacer responsable también al comercio por incumplir la ley a la hora de realizar un cobro?
#86 Debido a que por ley los comercios fisicos deben exigir el DNI en las compras con tarjeta

No he encontrado esa supuesta ley y en varias fuentes indican que tal ley no existe:

www.bbva.com/es/es-obligatorio-presentar-el-dni-para-pagar-con-tarjeta
www.porticolegal.com/foro/mostrar-dni-al-pagar-con-tarjeta-de-credito_
...
#87 Pues tienes razón, he buscado otra mas reciente por si acaso, que la tuya era de 2016

bajolatoga.com/2017/05/25/es-obligatorio-mostrar-el-dni-al-pagar-con-t

No es totalmente obligatorio, pero es la manera que tiene el comercio de cubrirse del fraude. Ya que la entidad bancaria solo cubre a su cliente, no al comercio.
#8 Ni siquiera hace falta saberse el número. Conozco una persona a la que le robaron una tarjeta de esas, el ladrón fue inmediatamente a un restaurante con el que seguramente estaba compinchado y se dedicó a pagar "comidas" de 19.90€ hasta que ya no pudo, no sé si porque se anuló la tarjeta (suerte que lo hizo rápido) o por alcanzar algún tipo de límite temporal. No sé cuántas le daría tiempo a pagar, pero seguro que se llevó más de 20€. Ya veremos si pueden demostrar que hubo…   » ver todo el comentario
#43 esos robos los cubre un seguro por que es obligatorio por ley desde la nueva ley de pagos de la unión Europea.

Si conoces a esa persona y pretenden que lo cubra el, dile que lea sobre sus derechos en internet y que acuda a la OCU si se niegan a escucharle.

No es que visa cubra estos fraudes voluntariamente. Además, algunos bancos tienen su propio seguro para que no tengas que tramitar nada con visa. Eso obviamente es opcional y solo lo tienen ciertos bancos, pero cubierto estás siempre,…   » ver todo el comentario
#58 De ahí el empeño en meter el 3DS ( el tema de meter el pin en la web ) obligatorio en septiembre, se cubren ellos ante la gran cantidad de reclamaciones que hay hoy en día. Ya no les sale rentable.
#22 Si me roban la cartera y utilizar la tarjeta, me llega un aviso al instante (cualquier importe) y la puedo apagar desde la app (en mi caso ing).
#20 Hay límite diario y a demás hay límite de transacciones en el mismo comercio.
#20 el límite no es solo diario. En mi caso particular si hago seis cargos sin poner el PIN en el séptimo he de introducirlo sea la cantidad que sea aunque hayan pasado días. De esta forma el máximo teórico de fraude se limita a 20x6 euros.
#39, ¿el séptimo a lo largo de un mes? ¿O el séptimo siempre? Tendría sentido que fuera así, desde luego.
#40 el séptimo seguido siempre
#9

¿De verdad nos hemos vuelto tan vagos y cómodos que no nos importa la posibilidad de un robo solo por no marcar cuatro cifras en un teclado?


Pagar pequeños importes sin meter el pin hace que no tengas que poner el pin en tantos aparatos al día, lo cual incrementa tu seguridad.

Además, en caso de robarte lo cubre un tercero a partir de los márgenes que obtiene.

No sé, creo que tú solo sales ganando, que el tendero sale ganando por que la venta es más ágil, y que visa sale ganando, por que incluso cubriendo fraudes, este tipo de funciones incrementa el engagement de su tecnología.

No, no lo hacemos por vagos, es por qué nos conviene a todas las partes implicadas.
#24 No solo eso. Copio pego un comentario:

Hay que ser un poco "tecnológicamente no competente" para no saber que un datáfono no funciona "sin nada" ya que el dinero no se guarda en la "nada". Para que el datáfono funcione tiene que estar ligado a una cuenta bancaria, y todo banco tiene obviamente los datos del titular, por lo que si otros bancos o las autoridades avisan de que se está usando un datáfono de manera fraudulenta, se sabe de inmediato quién es el

…   » ver todo el comentario
#9 Quizás no todos seamos idiotas, lo mismo a algunos no nos hace pupa 20 euros y somos muy vagos para marcar el PIN :-D
#34 La vagancia no justifica los riesgos que pueda suponer el robo de dinero
#62 Claro que lo justifica, tiene que haber un equilibrio entre seguridad y libertad, si la seguridad fuera lo único importante simplemente se prohibiría pagar en los comercios y arreglao, no hay robos.

Yo estoy encantado con el NFC de mi móvil, hace siglos que no saco la cartera de casa. Y me fastidia un poco tener que meter el pin para más de 20 euros, el límite debería ser superior, al menos en los móviles, que tienen la seguridad extra de tener que poner la huella para desbloquearlos.

Lo ideal sería que cada usuario pueda elegir si se le pide pin o no, o a partir de qué cantidad.
#92 Puedes acudir a un cajero de tu entidad bancaria, introducir tu tarjeta y cambiar el límite para que pida pin
Yo antes tenía un móvil con NFC, pero por seguridad y falta de uso me compré un móvil sin NFC.
En algunos bancos tienen disponibles unos dispositivos NFC como reloj que funcionan como si fuesen tarjetas
#34 Siempre había oido que había ricos idiotas pero creí que era una leyenda urbana. Ahora ya se que es verdad.
#76 Lástima que no lo puedas disfrutar, merece la pena :-D
#9 hay tarjetas que no te dejan anular que sean sin pedir clave.
#44 Pues cambia de tarjeta o de banco. ¿Quién decide, tú o tu banco?
#75 no puedo hacer eso.
#9 Yo desactive el contactless, al poco de que lo activaran. Tengo poca pasta en la tarjeta, pero eso de que haya un modo automático para pagar, me da desconfianza.
#9 el motivo del límite, que si no me equivoco lo puedes cambiar, es que la seguridad del chip es mucho mayor que el del código de la banda magnética. Que por cierto, nunca he probado si con esa banda sí te pide código.
#9 www.youtube.com/watch?v=Z2uF9JqJESg

Funciona, te lo aseguro :troll:
El del banco me dijo que no podía desactivar.. le dije.. ¿que no? ahora verás. Un precioso agujerito en el stio adecuado y no va el contactless (el resto: chip y banda funcionan perfectamente)
#60 Yo me cabree mucho cuando descubrí que mis tarjetas lo tenían. Escribí al banco por eso de patalear un rato. Me enviaron una carta de disculpa por haber puesto en mis tarjetas ese servicio sin avisarme y me informaron de cómo podía desactivarlo a través de la web del banco. Había visto un vídeo de cómo taladrar la tarjeta para desactivarlo pero no me hizo falta.
#9 meter el pin también es un riesgo de seguridad. Os estáis volviendo idiotas. Cada vez más y a más velocidad. Este mundo se va a la mierda pero no por los pines precisamente.
#1 Entonces el peligro es para su seguro no?
#10 yo creo que visa es el seguro. por eso cobran un porcentaje...pero la verdad es que no lo se xD
Los investigadores pudieron también clonar la tarjeta temporalmente con un móvil

Errónea. El ataque de relay es una cosa muy distinta.
#16 ¿Errónea por qué? Dice "también", dando a entender que es otro ataque.
Las tarjetas VISA no son infalibles, son lo suficientemente seguras como para que puedan cubrir los fraudes con su margen y aún y así ganar dinero.

Si se esperasen a tener tecnología segura para montar el sistema de pagos, no tendríamos tarjetas nunca :-)
Lo que no sé es por qué demonios los bancos han decidido que se pueda pagar sin pin con sus tarjetas.
#7 #11 La mía tiene 6 dígitos.
#13 La mía del BBVA solo cuatro.
Ni cartera RFID ni nada: dos tarjetas juntas ya es suficiente para que no se cobre nada por contactless
Sin embargo, un grupo de investigadores ha conseguido hacer pagos de más de 100 euros sin necesitar PIN

Un grupo de investigadores...,

La vulnerabilidad mas sencilla y más usual es que sepan tu número de tarjeta, tan simple como eso. La ventaja que tienen las tarjetas es que siempre dejan un registro y se puede reportar. Si no ha pasado un determinado tiempo, casi todas las compañías te devuelven el dinero, un chargeback.

Yo no me preocuparía mucho que un grupo de investigadores haya dado un método para saltarse la limitación, que será verdad y habrá mil vulnerabilidades más, pero siempre lo más sencillo es lo más usual.
#8 En efecto. O que todavía exista la banda magnética y se siga usando. Es como tener una puerta blindada en la entrada y una de aluminio sin cerradura en el patio.
Los investigadores comunicaron el fallo de seguridad a VISA, que afirma que no van a actualizar sus sistemas para solucionar el fallo, ya que dicen que el número de situaciones donde podría darse un caso es muy limitado, y que el ladrón tendría que tener la tarjeta en su poder.
A tomar porculo
#72 Llámalo como quieras. pero es efectivo.
Desactivad el contactless, yo lo he hecho.
#3 Yo uso un :tinfoil: , es más seguro
#3 Yo tengo una cartera que lleva protección RFID, y aparte es incluso más seguro que andar metiendo el PIN para parkings o cosas así donde te lo pueden ver y mucho más rápido a la hora de pagar.
#3 Dado que este meneo habla de interceptar mensajes y engañar a los servidores de Visa no está claro que esto que indicas sea solución para este caso en concreto.
#35 Si no funciona el contactless, no hay mensajes que interceptar.
#53 La desactivación del contactless es una actuación administrativa, no altera las características físicas de la tarjeta bancaria, que sigue conteniendo la tecnología inhalámbrica y sigue respondiendo a los aparatos que activen ese circuito electrónico.

El contactless sigue funcionando a menos que te cargues físicamente el circuito.
#70 Es que es lo que he hecho. Un agujerito de 2 ó 3 mm de diámetro en el sitio correcto y adiós antena rfid. Desactivado de forma irreversible. xD
#71 Desactivar algo implica que puede volver a activarse, tú lo que has hecho ha sido destruirlo.
Yo no soy investigador pero... esta semanada pasada pagué, mediante contactless, operaciones de más de 20 euros sin pin. En Austria, como pago de entradas a diversos sitios,
#38 En EEUU pude pagar cualquier cantidad tanto con VISA como con MasterCard en máquinas de de cobro sin necesidad de introducir el PIN. En ambas me pedían solo un ZIP (Código Postal). Ponía cualquiera y funcionaba.
Estas noticias dan lugar a confusión, hay quien se creerá que es peligroso llevar la tarjeta en el bolsillo y luego tendrá como contraseña para todo 11111.
#2 Precisamente si tiene 11111 (cinco dígitos) será menos proclive a ataques ya que no es posible teclearlos pues solo se permiten 4 xD
#4 yo creo que si es posible tener más de 4 dígitos de pin, aunque no estoy seguro 100%
#7 Solo permite 4 seguro, yo la tengo
#11 La tarjeta sí permite mas de 4. En todo caso lo que puede pasar es que al banco (que al final está en medio) le de la gana de limitarlo a 4, pero no creo que eso sea lo normal.
#7 Se permiten más, pero en España lo general son 4.
#4 las bankomat o tarjetas italianas de débito tienen 5 dígitos en el PIN


Fuente: trabajo vendiendo entradas a guiris y los italianos más de 10 veces no se han acordado del PIN hasta bloquear la tarjeta xD
#2 el pin de todas mis tarjetas es **
#2, en todo caso será 1111 :-P
#2 llevar la tarjeta en el bolsillo es más peligroso que tenerla bajo custodio en una caja fuerte. Eso es un hecho.
#2 Luego hay casos como el de mi vecina -muy espabilada ella- que, por si se le olvida el PIN, lleva un post-it pegado a la tarjeta con él apuntado. En fin...
#46 Yo llevo pegado un pin falso. Si me la roban pierden el primer intento. Además seguramente vuelvan a probar con más cuidado por si lo han tecleado mal con las prisas, perdiendo el segundo intento también.
Las probabilidades de que acierten con solo un intento restante son mucho menores :troll:
#65 No se si lo dices de verdad que lo haces, pero te lo copio.
#65 Osti, qué idea más cojonuda
#2 creo que es más común 1234
Yo la desactivo siempre con la app móvil y cuando voy a comprar la vuelvo a activar.
En los cajeros automáticos del banco donde tienes tu tarjeta te dan la posibilidad de solicitar PIN en todas las compras, es decir, que se solicite el PIN en cualquier importe, incluso si es inferior a 20 euros.

Son solo unos minutos y te evitas estos problemas, claro que tendrás que introducir el PIN siempre, pero es mas seguro.
Qué montón de tonterías encadenadas una detrás de otra... En fin...
bitcoin loves this
Este tipo de cosas, en verdad no deberían pasar. Sin embargo, en caso de fraude estas empresas están supuestas a reponer los daños.
Esto no seria ningun problema si todas las personas que cobran con tarjeta hicieran lo que exige la ley que es pedir la documentacion. Nadie pide el DNI y muchos clientes se enfadan si se les pide. Da igual si la tarjeta tiene el dichoso chip con el limite de 20€, si tiene pin, si es la oficial de Fernando Alonso, etc. Hay que mostrar el puto dni cuando se paga con tarjeta cojones. Por culpa de no hacerlo, yo he perdido un elemento de seguridad en caso de que me roben la tarjeta. Es que ademas…   » ver todo el comentario
#67 Puedes pagar con el móvil y el dependiente ni siquiera ve tu nombre ni de qué banco es tu tarjeta, por lo que no tiene sentido pedir documentación.

La documentación se pedía cuando había que firmar, desde que se hace con pin no tiene sentido, puedes usar una tarjeta que no es tuya y sería absurdo que el comercio te lo impidiera, yo muchas veces pago con la tarjeta de mi mujer y ella lleva la mía en su móvil para pagar con NFC.
#94 me da igual el sentido que tenga para ti, a mi me interesa lo que exige la ley que es pedir documentacion cuando se paga con tarjeta.
«12

menéame