Retiro de fectivo sin contacto

Más que nunca, los consumidores acuden en masa a las tecnologías que les permiten mantener sus manos quietas cuando están en público. Los pagos sin contacto van en aumento, y ahora que estamos acostumbrados a la idea de sostener nuestro teléfono frente a un escáner para pagar un capuchino, estamos viendo un aumento en los sistemas de pago sin contacto más ambiciosos, como los cajeros automáticos sin contacto. 

Estos cajeros automáticos son convenientes y reducen la propagación de gérmenes, pero no cuentan con la misma seguridad de tarjeta y PIN que estamos acostumbrados a ver. ¿Cuáles son los riesgos de estafa y fraude que los operadores de cajeros automáticos sin contacto deben conocer?

Los pagos sin contacto han existido por un tiempo y han visto un gran impulso en los últimos años a medida que gigantes tecnológicos como Apple, Google y Samsung han lanzado sus propias aplicaciones de billetera digital y plataformas de pago sin contacto. Los sistemas de pago sin contacto se han diseñado en torno a la premisa de que es más probable que se utilicen para transacciones rápidas y de bajo monto, como una taza de café o un periódico.

Todo el mundo aprecia una experiencia rápida y sin complicaciones cuando llega el momento de retirar efectivo, por lo que, en ese sentido, los cajeros automáticos son una opción natural para la tecnología sin contacto, pero los montos a menudo superan la transacción típica de modalidades “tocar para pagar” o “tap to pay”. Eso significa límites de retiro más altos y más incentivos para que los estafadores encuentren formas de explotar tanto las tecnologías como los comportamientos de los consumidores que se desarrollan en torno a estos nuevos sistemas de pago.

La buena noticia es que la tecnología sin contacto es más segura, en muchos sentidos, que las protecciones físicas en las que los comerciantes y consumidores confiaron durante décadas. Sin embargo, los comerciantes experimentados saben que una buena protección contra el fraude no es cuestión de cruzar los dedos y esperar que las probabilidades estén a su favor. Puede que sea el momento de adoptar cajeros automáticos sin contacto y otros sistemas de pago sin contacto, pero tenemos que ser claros sobre qué tipo de fraude podría afectar a estas plataformas.

¿Cómo funcionan los cajeros automáticos sin contacto?
La mayoría de los cajeros automáticos sin contacto utilizan tecnología de comunicación de campo cercano (NFC) para enviar datos entre el terminal habilitado para NFC del comerciante y el dispositivo de pago del cliente. Según el método particular utilizado, puede ser la propia tarjeta o, más comúnmente, un teléfono inteligente con una aplicación compatible instalada. Cuando el dispositivo se acerca mucho a la terminal, transmite la información de la cuenta del cliente y otros detalles necesarios para procesar la transacción. Apple Pay, Google Pay y Capital One usan este método. Otras plataformas, como Paydiant de PayPal, tienen una aplicación que genera un código QR para que lo escanee el cajero automático.

Los cajeros automáticos sin contacto se identifican mediante calcomanías o símbolos que identifican las plataformas que aceptan. La mayoría de los grandes bancos de consumo ofrecen banca en cajeros automáticos sin contacto de una forma u otra, ya sea en asociación con una plataforma de terceros o a través de su propia aplicación interna y red de cajeros automáticos.

¿Qué hace que los cajeros automáticos sin contacto sean seguros?
En su mayor parte, los cajeros automáticos sin contacto utilizan los mismos protocolos de seguridad modernos que protegen las transacciones físicas con chip EMV; solo difieren en la forma en que el cliente proporciona su información al cajero automático.

La protección más sólida es el hecho de que la autenticación de dos factores está integrada en la mayoría de los sistemas de cajeros automáticos sin contacto.

Un estafador que solo tiene posesión de uno pero no del otro no tendrá suerte robando el dinero de ese cliente de un cajero automático sin contacto.

Los datos que el dispositivo de pago del cliente envía al terminal del comerciante están tokenizados; no contienen el nombre del cliente, el número de cuenta ni ninguna otra información de identificación. En lo que consiste es en datos codificados de un solo uso que permitirán al comerciante autenticar y procesar la transacción. Incluso si un estafador puede piratear el sistema del comerciante para robar estos datos, no podrá hacer nada con ellos.

La tokenización también significa que no hay riesgo de que los dispositivos “skimmer” o “sniffer” escuchen a escondidas las comunicaciones sin contacto. Estos dispositivos se construyeron originalmente para clonar tarjetas de banda magnética, que almacenan el número de cuenta y otras credenciales como datos no cifrados. Crear un dispositivo que pudiera interceptar subrepticiamente las comunicaciones NFC, y mucho menos decodificarlas, sería varios órdenes de magnitud más difícil.

¿Los cajeros automáticos sin contacto siguen siendo vulnerables al fraude?
Desafortunadamente, el cifrado más sólido y los protocolos antifraude más actualizados no pueden proteger a nadie de algunas de las formas de fraude más antiguas y básicas. A lo que los cajeros automáticos sin contacto son más vulnerables es al fraude de apropiación de cuenta, donde el estafador tiene acceso a las credenciales de la víctima y simplemente puede ingresar el nombre de usuario y la contraseña correctos en lugar de intentar piratear o eludir la autenticación de alguna manera.

Como es el caso con la mayoría de las formas modernas de seguridad digital, el punto débil del sistema es la persona que lo usa. Los propios propietarios de cuentas son un punto de entrada común para los estafadores, ya sea a través del phishing o aprovechando la reutilización de contraseñas.

Los estafadores envían con frecuencia mensajes de texto y correos electrónicos de phishing diseñados para que las víctimas desprevenidas les den acceso a sus cuentas bancarias en línea. Si una cuenta robada viene con acceso a cajero automático sin contacto, es un gran puntaje para el estafador, que puede sacar dinero en efectivo con un mínimo esfuerzo.

La mayoría de las personas también reutilizan las mismas contraseñas para varias cuentas, en muchos casos tienen una única contraseña que usarán para cualquier servicio que la requiera. Desafortunadamente, es una ocurrencia común que los sitios web con poca seguridad se vean comprometidos, filtrando miles, si no millones, de correos electrónicos y contraseñas de clientes. Los estafadores ingresan con frecuencia estas credenciales filtradas en cuentas de correo electrónico, sitios web bancarios, plataformas de pago en línea como PayPal y prácticamente en cualquier otro lugar donde el acceso a la cuenta les proporcione algún beneficio financiero. Si un cliente ha reutilizado las mismas credenciales y no ha configurado la autenticación de dos factores, su cuenta puede verse comprometida fácilmente.

Si bien la mayoría de los sistemas de pago sin contacto requieren autenticación de dos factores, en muchos casos se puede usar el acceso de inicio de sesión al sitio web del banco y/o la cuenta de correo electrónico del cliente para autorizar un nuevo dispositivo.

Puede ser difícil protegerse contra el fraude de apropiación de cuenta, porque tiende a basarse en un enfoque de baja tecnología que es extremadamente difícil de detectar una vez que tiene éxito, y también porque la única persona que realmente puede proteger la cuenta es el titular de la cuenta, no el comerciante o Operador de cajero automático que termina como víctima secundaria del estafador.

FirmWare – Tecnología Simple, ayuda a bancos y procesadores de pagos a implementar diversas modalidades de pagos sin contacto, apoyada en estándares, procesos y tecnologías que maximizarán su protección.

 
Fuente:

https://www.chargebackgurus.com/blog/contactless-atms