La entrada en vigor de la doble la doble autentificación en los pagos, principalmente con tarjeta, de las compras que se realizan en internet o por móvil, algo cada día más frecuente, está bloqueando infinidad de operaciones ante la falta de adaptación por parte de los bancos, los comercios y los propios consumidores
|
etiquetas: normativa , bloquea , 20% , compras , online , tarjeta
Al final las pasarelas y autenticaciones las pone el banco casi siempre (excepto Amazon y los 4 grandes) y no os imagináis la cantidad de intentos de fraude que hay de compras con tarjeta.
Cuando trabajé en un ecommerce grande (durante 4 añitos) teníamos intentos diarios. Bastantes. Casi todos los parábamos gracias a reglas que teníamos definidas en función del tipo de usuario (antigüedad, nº de compras), la tipología del producto (son muy de comprar productos caros), la cantidad de la compra (cestas altas) y la localización.
Así, por ejemplo bloqueábamos por defecto los pedidos de más de XXXX€ de usuarios nuevos. Se procedía a una validación manual y, en ocasiones, hasta un contacto telefónico para comprobar que detrás había una persona. La validación podía incluso ser mirar en Google Maps si la zona de envío era tal o cual (por ejemplo, no era sospechoso un pedido alto de ciertos productos si se envía a una urbanización de lujo de La Moraleja).
El problema de las compras fraudulentas es que te las comes. Básicamente. Si envías el producto, estás ko. Sí, luego reportas a la policía y todas las milongas pero nadie te devuelve el dinero. Y eso más los tiempos de desarrollo y demás del gestor de fraude y los tiempos de gestión de esos sospechosos de fraude, tener esas cestas controladas para que no te jodan stock ni balances... es UNA MOVIDA.
Nos paso la semana pasada al comprar un Portátil que intentábamos pagar con todas las tarjetas que tenia Amazon almacenadas y nada. Hasta que llame y me dijeron que borrara las tarjetas y volviera a pedir.
Al final las pasarelas y autenticaciones las pone el banco casi siempre (excepto Amazon y los 4 grandes) y no os imagináis la cantidad de intentos de fraude que hay de compras con tarjeta.
Cuando trabajé en un ecommerce grande (durante 4 añitos) teníamos intentos diarios. Bastantes. Casi todos los parábamos gracias a reglas que teníamos definidas en función del tipo de usuario (antigüedad, nº de compras), la tipología del producto (son muy de comprar productos caros), la cantidad de la compra (cestas altas) y la localización.
Así, por ejemplo bloqueábamos por defecto los pedidos de más de XXXX€ de usuarios nuevos. Se procedía a una validación manual y, en ocasiones, hasta un contacto telefónico para comprobar que detrás había una persona. La validación podía incluso ser mirar en Google Maps si la zona de envío era tal o cual (por ejemplo, no era sospechoso un pedido alto de ciertos productos si se envía a una urbanización de lujo de La Moraleja).
El problema de las compras fraudulentas es que te las comes. Básicamente. Si envías el producto, estás ko. Sí, luego reportas a la policía y todas las milongas pero nadie te devuelve el dinero. Y eso más los tiempos de desarrollo y demás del gestor de fraude y los tiempos de gestión de esos sospechosos de fraude, tener esas cestas controladas para que no te jodan stock ni balances... es UNA MOVIDA.
Pero vamos, si me entran en casa la menos de mis preocupaciones es que se pongan a comprar con mis credencionales guardadas.
#8 Yo tengo una App en el movil, pero me parece muy peligroso. (Ahi si que me pide mis credencionales, pero estoy por borrarla.)
Cuando una tienda ya factura mucho (estoy hablando de millones de euros anuales) no todas las cosas son triviales
Tambien pueden hackear los datos de la tienda.
Si fortalecemos el sistema esa herramienta, al menos ese punto, pues ya no hace falta.
No digo que la solución actual sea la mejor (ni siquiera de que sea una válida! pues no lo sé y ya no estoy tan metido en ecommerce) pero está claro que había una debilidad ahí y esto tiene como objetivo quitarla. Veremos si, además de los conocidos problemas, arregla el problema o no.
Otra cosa son las que almacenan un hash de la tarjeta que se puede usar nVeces hasta que se pide la renovación.
Cada comercio es un mundo y no siempre priman las decisiones técnicas y se implementa lo mejor en cada caso.
La verificación de dos pasos debería ser obligatoria en todo lo que lleve dinero o datos personales
Me paso algo similar y me lo solucionaron en 3 segundos.
#30 Ah, pues eso no lo sé .... voy a mirar a ver porque el móvil es nuevo y no sé qué clases de chorradas tendrá que mi antiguo y querido xiaomi no tenía (quiero mi xiaomi)
El problema con los SMS es que no se diseñaron para ser seguros y hasta que te llega pueden pasar varias cosas fuera del control del banco y de tu control.
Hay servicios que se utilizan para enviar SMS de marqueting que son capaces de redirigir los SMS de un teléfono sin el consentimiento ni el aviso al propietario de ese teléfono, el SMS que te envíen ya no te llega a ti si no a ellos. Y eso potencialmente se podría usar para llevar a cabo ataques.
Con algo de ingeniería social se puede conseguir que el atacante reciba un SIM que sustituya al tuyo y pueda recibir los SMS.
Y seguro que hay más vectores de ataque. Como dijo jamás se diseño con la seguridad en mente, era un canal para transmitir información interna a los terminales desde dentro de la operadora, su uso para enviar mensajes entre empresas y particulares es algo para lo que no estaba diseñado.
Te obligan a hacer cálculos, indignante.
No sé si te consta pero entiendo que al cliente de quién es la tarjeta le devuelven el dinero cuando se detectan ese tipo de fraudes, ¿correcto?
Por lo que entiendo a quién roban es al banco o a VISA pero quien acaba sin esa pasta es el comercio.
Al que le parezca un engorro aun no ha sufrido un robo de identidad/tarjeta jeje
Que ni es nueva ni debería coger a nadie por sorpresa.
Para tu seguridad, un paso adelante.
Sí, tal vez he tardado 40 segundos más, pero bueno.
- LLegas a la pasarela de pago
- Te envia un codigo al SMS
- Te envia la aceptación de pago a su web (la de la caixa)
- Te logueas en la web
- Te envia otro codigo al SMS para poder entrar
- Entras en la web y tienes que buscar un cargo pendiente donde hay una URL que te devuelve a la pasarela de pago con el pago aceptado.
Ultima vez que pago con una tarjeta de la caixa
Si es complicado de por si para una persona, ni te cuento si es una compra con una tarjeta de empresa en la que la tarjeta está metida en la plataforma (Amazon, Paypal, ...) pero la lleva otro departamento, demencial.
Acabo de hacer una compra de 111 € y sin problemas.
Para que una tienda se quede con tu tarjeta lo único que necesita es una tabla en BBDD y mala leche , pero vamos, que el banco no tiene porqué enterarse...
Así que aunque parece que esta medida, es para proteger a aquellas personas que les han clonado la tarjeta y les han vaciado la cuenta... la auntentica razón de todo esto es, como siempre, proteger a la banca.
Pues nada, se han cargado el negocio online.
Antes te llegaba el sms, lo metias y listo. 2 pasos comodos y sencillos.
Ahora tienes que logarte en la app, hacer la prueba que se le haya ocurrido al del banco y, con suerte, listo. 3 pasos, donde uno de ellos no aporta nada. Suponiendo que no tengas que desbloquear el movil
Entiendo que te hagan logarte y pulsar un boton de si/no, o que tengas un codigo dinamico rollo google autenticathor o un sms, pero lo de logarte y pwd extra me parece absurdo.
igual que justificar que son 2 medios diferentes por usar web y movil, como si la compra desde el movil fuese algo residual, y más cuando al final tienes malwares que toman el control de tu telefono.
A mi me parece una normativa redactada por gente que no compraba en internet, e implementada por gente a la que le importaba un pepino la experiencia de usuario.
Pero al final solo es mi opinion. Si hay un director general que opina que mejor la solucion X en lugar de la Y y tu eres un currito, por mucho que tengas claro que la Y es mejor, haces la X y punto. Total, el banco no es tuyo, y tampoco te pagan tanto
ah, y los fraudes se los van a seguir comiendo los comercios o los clientes. El fraude que se come un banco es bastante bajo (en general, hay casos raros puntuales )
En cualquier caso, el fraude por tarjeta de crédito sigue siendo muy alto. Cualquiera que haya trabajado en algo relacionado con comercio online la sabe.
Tambien depende de si eres banco, comercio, cliente, y de como definas fraude, claro. Que a lo mejor desde el punto de vista del cliente que una rusa o un colombiano (por poner los ejemplos mas tipicos) te saque la pasta en una web de citas, como cliente lo consideras fraude, pero como banco es otra cosa
Nunca tuve problemas de ese tipo y desde hace un tiempo es bastante habitual. Al final acabo pagando con Revolut que de momento no me ha dado problema.