Interesante...

#1 ¿De que color es?

#2

En Francia la "Carte Bleue" es tan habitual que se toma como sinónimo de tarjeta de crédito.

#4 ¿Sin gatos, ardillas atropelladas ni opel corsa? pfffffffffffff

Cargo el móvil, el reloj y la tarjeta de crédito.

Vamos, lo que viene siendo un token RSA de toda la vida.

¿Y no es más fácil forzar la autenticación en dos pasos y que la pasarela de pago te pida una coordenada o un pin que te llega al móvil como ya hace mi banco?.

Inventar la rueda a estas alturas...

#11 Con una autonomía de tres años, es más probable que te caduque antes.

Vaya atraso.
Mientras no se cambie en el Servidor del banco ahí puede poner el número que quiera.

#10 Vale, yo tampoco entendía. Gracias por la aclaración

#13 Exacto, a mi, BBVA me pide un código que me manda por SMS

#13 Ni todo el mundo tiene movil, ni todo el mundo lo tiene a mano, ni todas las compras las puedes hacer asi, ni el SMS es seguro ni tiene seguridad de que llegue

#8 A mi me la robaron sin saber que el banco popular la había emitido y enviado a una dirección que no era de correspondencia.

¿Sabes lo que hicieron tras denunciar que me faltaban 1500€? Dar de baja la tarjeta y emitir otra, que enviaron a la dirección que no era de correspondencia y fuí victima de un segundo fraude de 1500€.

Yo lo que no entiendo es como la gente no memoriza esos 3 números y los borran de inmediato raspando la tarjeta con una cuchilla. Es casi como tener el PIN escrito con un rotulador permanente.

Lo digo porque a mí me clonaron la tarjeta y obtuvieron esos números simplemente escaneando la parte de abajo, a las 2 horas ya me estaban haciendo cargos de 800€ a 600km de mi casa. Suerte que una denuncia y el seguro de VISA hizo que recuperara hasta el ultimo céntimo pero no os podeis imaginar lo fácil que es clonar una tarjeta de crédito.

#15 Supongo que los cambios en la tarjeta y en el servidor del banco están sincronizados.

#18 Pues si no se tiene a mano, ajo y agua. Que quieres que te diga compañero.

Tengo una amiga suiza que tiene que ir cargando con una especie de lector con una botonera numérica a la que se le inserta una tarjeta inteligente y hay que introducirle un código para que te devuelva otro e insertarlo en el medio de pago. Y tiene que usarlo siempre.

El que no quiera montarse en este carro que se baje y listo, nadie obliga a nadie a tener tarjeta de crédito ni dinero en el banco. Afortunada a día de hoy siguen existiendo muchísimas tiendas físicas que aceptan dinero en metálico.

#20 Con una foto por delante y otra por detrás ya está clonada para compra por internet.

#23 Exacto, por eso después de aquello yo raspo el CVC y lo tengo guardado en mi cabeza.

#13 Si te han robado los datos de la tarjeta al utilizarla a través de Internet, cabe la posibilidad de que haya sido comprando con el teléfono y ahí tengas un malware instalado en el teléfono y por tanto también tenga acceso a los SMSs.

Los TAN (números distintos para cada operación siempre son más seguros). Algo que fui incapaz de conseguir explicarle a un dependiente de ING direct es que si le haces una foto con el móvil a tu tarjeta de coordenadas, algo de seguridad pierdes.

Yo llevo el recuadro del número pintado con permanente negro. De cerca y a contraluz se puede leer, pero evitas que alguien se lo memorice de un vistazo furtivo...

Muchos recuerdos a la recepcionista del hostel de Madrid que se aprendió los 3 números de mi anterior Visa al pagar la factura

#2 Opaca.

Totalmente innecesario si tu banco te manda clave al movil como hacen ahora todos los bancos para pagos de mas de 50 euros...

Vamos, un token rsa de toda la vida, nada nuevo...

#22 hombre, tu preguntas si no es más fácil lo del sms al móvil y ahora ya hablas de llevar lectores adicionales en el bolso? Creo que está claro que la idea de esta tarjeta es más fácil si.

#4 Sin cebolla. Erronea

#5 Se refieren a cuando te roban los datos de manera "online". Actualmente si introduces tus datos en una pagina online un poco chusquera o un spyware instalado en tu ordenador lee los datos que twngas guardados estás "vendido".

#10 ¿Cuántos intentos seguidos se pueden hacer fallando el CVC?

Para mi el método más seguro sigue siendo la confirmación con SMS al móvil. Necesitan tu tarjeta y acceso a tu móvil para estafarte.
Aunque bueno, hay gente que prefiere no darle el número de móvil al banco "por seguridad".

#19 sin activar??

#20 Pues la verdad es que es una idea buenísima. Me la apunto

Hace un par de semanas también intentaron hacerme varios cargos de unos 1000 ó 1500€ cada uno. Por suerte el banco rechazó todas las transacciones. Sólo me queda un cargo de 10€ que a ver si me lo devuelven.

La pregunta es, ¿dónde me clonaron la tarjeta? Porque repasando por dónde utilicé la tarjeta varios días antes no veo nada

#10 He puesto dos veces CCV y es CVC

#19 youtu.be/rX7wtNOkuHo

#28 no, hay muchos tipos de pasarela de pagos y las hay que no se conectan con el banco en el momento.

#33 La verdad es que no lo sé, pero según tengo entendido el pago puede tramitarse de forma válida aunque metas el CVC mal. Supongo que hay varios factores para detectar un robo o fraude.

Yo he memorizado los números y rayado con un cuchillo la superficie de la tarjeta que contiene el CVC

#35 ¡EXACTAMENTE!

No me sorprende que estén al borde de la ruina, y eso que en otra época presumian de ser los mas rentables de Europa

No es buena época para el Opus Dei en los negocios.

#29 Si una pantallita en la parte trasera de tu tarjeta de crédito no te parece nada nuevo...

#41 Creo que la noticia se refiere al robo de los datos por parte de una web maligna. Si haces una compra les estás dando tu CVC, da igual que no esté en la tarjeta.

#17 cuidado no vayas a un país sin cobertura de itinerancia para tu operador o no podrás reservar billetes de avión con tu tarjeta.

Simyo, por ejemplo, no tiene cobertura en algunos territorios franceses.

#36 En el momento sacas la tarjeta de la cartera ya hay posibilidades de que sea clonada.
Te pongo un par de ejemplos:
- Le das la tarjeta al empleado de cualquier comercio y este, tiene una microcámara HD oculta, mientras coge el datáfono que suelen estar escondidos en el mostrador, pasa la tarjeta por delante de la cámara cogiendola hábilmente por los cantos y una pasada por delante y otra por detrás, en dos segundos ya tiene tus datos.
- Vas a pagar en una gasolinera de autoservicio, en el kiosko donde metes la tarjeta colocan un dispositivo (de apenas 1 cm de grosor y del mismo color que el metal con el que construyen estos aparatos) justo donde entra la tarjeta que escanea ambas caras de la tarjeta, la tarjeta entra y sale como siempre y tú realizas la operación sin notar nada extraño.

#44 creo que tienes que razón.

#21 Entonces existe una fórmula. Y cuando hay fórmula hay hack seguro.

Esto no haría falta si ya usaran el reconocimiento del iris como en 'Demolution man'  

#45 si tengo wifi, me llega el mensaje incluso a la tablet

Ese método es mucho mas eficiente que rascar el cvc, ya que rascando el cvc no te protege del robo de datos a traves de internet.

Pienso que Lo ideal seria que el cvc fuera autogenerado a cara uso y que tuviera al menos 6 digitos.

#11 Las pilas de los Casio son eternas, entonces, esta mini pantalla tendrá pila durante años. Tres según dicen. ¿qué reloj cargas tú? los smartwatch, supongo. Yo no le veo utilidad a un smartwatch.

#22 "Pues si no se tiene a mano, ajo y agua"

No. Si no se tiene a mano se usa el método de esta tarjeta que es más fácil que el tuyo.

Aunque para compras online están las tarjetas virtuales que se generan desde la página del banco. Generas tarjeta y le cargas el importe que quieras (p. ej. el que necesites gastar en el momento), aunque te roben la tarjeta virtual no podrán pasarse del límite, y al mes ya caducan (o la anulas a mano al momento).

#25 Ahora las coordenadas te las da una aplicación del banco instalada en el móvil. Las apps son más seguras en tanto que tienen códigos ilimitados frente a los pocos que trae la tarjeta, y más cómodas, pero ¿no son menos seguras dado que un móvil se puede infectar pero una tarjeta física no? Pregunto.

#46 datáfono TPV, eso de datáfono suena muy antiguo.

#21 Lo haran mediante un sistema de firmado o clave única que tendrá en cuenta el día con algún tipo de reloj interno. No hace falta ninguna sincronización, y con que cambie el numero cada día ya incrementa bastante la seguridad. Incluso no tener ningun algoritmo y almacenar cada uno de los cvc hasta que caduque la tarjeta.

#20 Una pegatina opaca encima, no van a rascar la pegatina delante de tus morros para ver el número y si necesitas recordarlo lo podrás hacer, lo que veo de pintar con rotulador #26, a simple vista puedes evitar que se memorice pero una foto se puede tratar para sacar el dato.

#50 Sensores biométricos como lector de huellas para confirmar pagos como hacen, oh horror!!! los malvados iPhone. Propicios días.

¿Por qué no todos los numeros, o mas numeros?

Toca un analisis de las medidas de los bancos.

Activar y desactivar la tarjeta mediante una app. (bbva lo publicita, los otros creo que mas de uno tambien lo hace)

Te dan un numero de una tarjeta virtual que tu cargas con una cantidad y usas (bbk, kutxabank hace mucho mucho tiempo)

Una tercera clave de identificación para compras online que tu estableces en la plataforma online de tu banco. Despues de pedirte los numeros y el cvc este, te piden otra palabra clave conectandose a una interface de tu banco (un poco como lo de openid)
Esto lo hacia ing direct.

¿Qué mas opciones como estas, ultimamente no he estado al dia?

Todas las que son activar desactivar desde una app tienen la pega de que los crackers se hagan con el control de tu movil y los datos privados que te puede estar pillando el banco de tu movil con los permisos de acceso de la app.

¿Y las tarjetas anonimas que puedes recargar con dinero en un cajero?

¿Tarjetas asociadas a cuentas de bitcoins, y otras?
(claro todas estas tecnologias tienen el riesgo de las black, traficantes, fraude, blanqueo, dinero negro a destajo, se acabó pagar los sobres con maletines de billetes de 500 euros, ahora sacan una tarjeta anónima, la comprueban y listo.

#21 lleva una trajeta sim la tarjeta del banco ? como se conecta y sincroniza ?
como ya dije, vaya atraso la idea esa del cvc cambiante

#31 Y sin patata, que para algo es francesa.

#13 Eso es, en ING así funciona también.

Deberían activar una verificación en dos pasos desde el móvil. Algo así como un CVC a través del móvil. Ahora mismo, algunos bancos como Banco Sabadell, te obligan a loguearte en su plataforma para compras online, BBVA además te envía un SMS con un código que tienes que meter para realizar el pago.

Tengo claro que el pago desde el móvil se extenderá por problemas como éste.

#20 Lo que no entiendo es que vayan escritos detrás. ¿No los pueden proporcionar con el pin?

#52 ¿Que te parecería una pantalla AMOLED-HD, para ver el porno en tu tarjeta?

Las tarjetas de crédito son una cuerda más que rodea nuestro cuello y los banqueros, una suerte de verdugos hijos de perra a exterminar.

No lo olvidéis y no les riáis las putas gracias al sector, que dais pena.

NO-MENEO

#53 Efectivamente, lo más seguro es una lista de códigos de un solo uso al que no se pueda tener acceso a través de Internet. Ya sea en papel o en un dispositivo electrónico sin conexión a Internet.

#43 Los tokens RSA existen desde hace muchos años, simplemente cambiaría el soporte donde aparece la pantallita.

#11 Al menos las tarjetas RSA caducan un dia, y ese dia se apaga la pila y listos. Es matemático

Todo esto está genial, pero también deberían implantar sí o sí tokens en vez de tarjetas de coordenadas, e incluso como pin de la tarjeta.

Que levante la mano quien no conoce a alguien que lleva la tarjeta de coordenadas del banco, y un postit con el pin, y el código de acceso.

#42 que puto cachondeo. Vivimos es un teatrillo donde mientras tengas suerte y esquives las balas no te das cuentas de que un hijo de puta se ha dejado la metralleta enchufada y en modo torreta.

El mundo es un puto cachondeo.

#66 "Biologos consiguen producir huevos con nanotecnología que muestran una cuenta atrás con el tiempo de caducidad sobre la propia cáscara"

Meh, la fecha de caducidad de toda la vida, nada nuevo.

#69 Las tarjetas tiene un gran meríto al cumplir con los los principios KISS: Keep It Simple and Stupid. Solo tenemos que puntear nuestros extractos y denunciar el fraude cuando ocurra. Todos los días roban en las grandes superficies, y no por ello se cuestiona su negocio, practicas o rentabilidad. Lo productivo y eficiente es el "puto cachondeo". La cultura justo se acepta sin cuestionar (RAE: usos y costumbres) y es la clave de la productividad nacional.

#10 Eso está muy bien, pero si sucede el caso inverso (que te roben la tarjeta físicamente), creo que es peor el remedio que la enfermedad.

En ese caso yo, propietario legítimo, estoy a dos velas, mientras que el que tiene el CVC "de verdad" es el ladrón. O sea, que él puede operar tranquilamente, mientras yo igual tengo problemas en anular la tarjeta porque no soy capaz de darle al banco el numerito.

¿Y cómo se generan estos numeritos? Porque dudo mucho que la tarjeta se comunique con el banco de ninguna manera, por lo que sospecho que, simplemente, los CVCs que van cambiando serán una secuencia predefinida. Y si es predefinida, se puede destripar el algoritmo, y ale, a comprar alegremente.

Vivo en el extranjero. Aquí se usa un llavero con una pantallita lcd que genera un número cada vez que aprietas un botoncito, así que la tarjeta ya te la pueden quitar que no sirve para nada.

#72 Y si mi tía tuviese rabo, sería mi tío.

Si te roban la tarjeta físicamente la anulas, no intentas usarla acordándote del número CVC.

#54 Datáfono he dicho yo siempre también, y lo sigo oyendo en los comercios.

#57 #50 Para cagarse.

_{Pero luego no olvidéis utilizar las tres conchas.}

#72 No tener la tarjeta físicamente ni recordar el número de tarjeta no debería ser ningún problema: tuve que anular una vez una tarjeta de crédito cuando la perdí, y del banco no me pidieron ningún número de la tarjeta ni el CVC, solo me pidieron mi número de DNI y algún otro dato para comprobar mi identidad y entonces procedieron a anular la tarjeta y enviarme una nueva a mi domicilio.

#71 Para mi el puto cachondeo es que la mierda esta ahí y muchos no lo vemos hasta que nos cae encima. A mi me robaron los datos de tarjeta, y todo muy bien, se dieron cuenta y me lo devolvieron automáticamente. Pero lo que no me devolvieron automáticamente son los gastos de operación bancaria de los mismos ladrones cuando sacaron de un cajero desde el extranjero. Un puto cachondeo. Eficiente. Pero un cachondeo.

#59 #73

Unos pensando en que hay que recargarlo todo, olvidándose de que hace mucho tiemo que existen dispositivos (relojes) con minúsculas pilas que duran años y años.

Otros pensando en que todo tiene que estar conectado y sincronizado a Internet para poder funcionar...

¿en qué mundo vivimos que vamos para atrás? Ni hace falta recargarla ni hace falta meterle Internet. Los tokens hace tiempo que existen y son seguros.

Mathematical-algorithm-based one-time passwords
Another type of one-time password uses a complex mathematical algorithm, such as a hash chain, to generate a series of one-time passwords from a secret shared key. Each password is unguessable, even when previous passwords are known. The open source OATH algorithm is standardized; other algorithms are covered by U.S. patents. Each password is observably unpredictable and independent on previous ones. Therefore, an adversary would be unable to guess what the next password may be, even with the knowledge of all previous passwords.

en.wikipedia.org/wiki/Security_token

#35 Es que muchas se activan con la primera compra. Y hay bancos que te mandan el PIN en otra carta, pero al mismo sitio.

#10 Se podria saber que numeros habra a cada hora hackeando la tarjeta y descifrando el algoritmo?

#4 ¿Pero funciona con Linux?

#82 seguramente, pero clonar tarjetas es muy facil, pero crackear el algoritmo no.

#60 Entonces no es tortilla ni es na'.

#74 aqui usamos el movil y pillamos el numero en un SMS

#86 La ventaja es que el llaverito no necesita conexión ni cobertura ni nada, va a su bola.

#80 Son seguros... hasta cierto punto. Si alguien se sabe mi CVC me estafará a mí, pero si rompe el algoritmo de generación de CVCs, podrá saber los CVCs de todas las tarjetas del mundo, de un porrazo.

Francamente, habiendo verificación por SMS (o cosas más cómodas, como el Google Authenticator y cosas así), no le acabo de ver el sentido a este invento.

#43 pues no porque está tecnología lleva años, es más las tarjetas que se usan vía smartphone lo llevan de "serie". Es un token rsa que lleva años...

#87 estas seguro?, como saben los del banco que lo has pulsado entonces, y cuando llegue el pago tienen que mirar ese codigo y no el anterior?

#12 Un token RSA, ¡de tres números!

Con un poco de suerte, consiguen la semilla para generarla en un par de meses.

#91 Porque es una máquina que establece una secuencia de números que seguirá una secuencia particular, y tendrán esa misma secuencia en el banco. Hablo sin saber, pero no se me ocurre otra cosa. Adjunto foto de la criatura. Tenéis 2 minutos para robarme.  

#88 No, en todo caso sabrán los CVCs de solo tu tarjeta porque habrán averiguado tu semilla desde la cual se generan y el algoritmo. Cada uno tendrá su semilla.

Es que Google Authenticator funciona de la misma manera. Lo que tendrías sería un "Google Authenticator" incrustado en la tarjeta.

Decir que podrían romper el algoritmo es como decir que podrían romper SHA-2 o romper un cifrado asimétrico a partir de tu clave pública. Por poder... todo se puede pero antes te caduca la tarjeta.

#93 pero eso no explica como sabe el banco que has pulsado el boton. Otra cosa seria que el banco te haya asignado 5000 codigos en ese llavero y los conozca todos, en ese casi si tendria sentido.

#94 No, cuando hablo de romper hablo de romper el algoritmo, por ejemplo encontrando una vulnerabilidad. En ese caso, a lo mejor resulta que sí que se puede adivinar el siguiente CVC a partir de los anteriores.

Pero bueno, que es verdad que son casos muy extremos.

Bah, si pagarais con billetes de 500

#95 Los códigos no se almacenan, se generan a partir de una semilla secreta y un algoritmo, y se generan en función de la hora. Si son las 11.03 de hoy, se genera tal código. Tanto el banco como el llavero saben qué hora es y la semilla secreta, entonces generarán el mismo código al mismo tiempo.

Y un código no podrá usarse dos veces porque aunque los dispositivos no se comuniquen, el banco sabe qué códigos usaste contra él.

Si el código dura dos minutos, tienes un margen de más o menos dos minutos por desfase de reloj, que a lo mejor el reloj del token va un poco atrasado y los códigos a destiempo, pero con dos minutos se arregla el problema.

#33 por mi experiencia diría que el modelo estándar son 3 fallos y bloqueo.

Pero luego cada entidad puede configurar al gusto todos estos parámetros, así como directamente eliminarlos.

#75 No es tan fácil, si tiene rabo y se siente mujer sería tu tía.