Si fuiste uno de los afectados ayer por la filtración de los datos de tu tarjeta de crédito, es hora de empezar a cuestionar los protocolos de seguridad de los comercios utilizados.
Es altamente improbable que la información haya salido de un banco u otro tipo de institución financiera, dado que fueron 19 las afectadas.
Los dardos apuntan a la mala praxis de algún comercio, que cometió un error fatal: almacenar el CVV o código de seguridad de tu tarjeta.
Esos tres o cuatro números en el posterior es pedido como un paso extra de seguridad, dado que si se quiere usar fraudulentamente tu tarjeta, es más improbable que también se maneje este código.
Ahora, de acuerdo a Braintree de PayPal, la efectividad de este método está limitada a la habilidad de mantenerlo alejado de las manos de criminales, dado lo cual está prohibido por los estándares de la PCI almacenarlo.
En el caso de comercios que cobren de forma recurrente, solo se te debería pedir la primera vez, nada más, y no almacenar este dato primordial.
Qué puede almacenar un comercio:
- Nombre del dueño de la tarjeta
- Número de cuenta
- Fecha de vencimiento
- Código de servicio
Qué no puede almacenar un comercio:
- Banda magnética
- Código de verificación (CVV)
- PIN
En el caso particular de ayer, se falló estrepitosamente al incluirse los códigos de verificación. Es hora de pedir más en materia de ciber seguridad, sobretodo si el e-commerce quiere establecerse como un método confiable. Esta filtración no le hace un gran favor.