Cuando, en 1971, Bob Thomas liberó Creeper, no sólo probó que era posible crear un programa que se replicara a sí mismo, también demostró que la seguridad es, en cierto modo, una ficción. Desde entonces, cada vez que se ha desarrollado un programa “seguro”, alguien ha logrado romper dicha seguridad, se han creado parches que han sido vulnerados también y así hasta el día de hoy. Por eso, una de las principales claves que señalan los expertos en seguridad es que el exceso de confianza no es bueno, y la mejor táctica es mantener siempre un estado de prudente alerta; por algo decía Goethe “los peligros de la vida son infinitos, y la seguridad es uno de ellos”.
Dicho esto, vamos a centrar la mirada en la seguridad de los medios de pago. Muchos de nosotros todavía recordamos la llegada de las tarjetas de crédito y los cajeros automáticos, así como la desconfianza inicial de los usuarios y la reticencia de los comercios ante la paulatina implementación de los medios de pago electrónicos. Luego, con la llegada de internet y las tiendas virtuales, también fueron apareciendo las primeras estafas, robos de claves e incursiones maliciosas en las cuentas bancarias de algunos que fueron obligando a los bancos y empresas tecnológicas a desarrollar métodos cada vez más seguros, gracias a lo cual hoy las compras con tarjeta superan en muchos casos a las operaciones en efectivo. Así, por ejemplo, en 2022 se produjeron, según datos del Banco de España, 4.735.994 operaciones de compra en TPV por valor de más de 160.000 millones de euros frente a las 991.564 operaciones de 2002 por un valor de cerca de 47.000 millones de euros. Estos datos contrastan con las operaciones de retirada de efectivo en cajeros, que ha ido descendiendo paulatinamente, al igual que el número de tarjetas en circulación, el número de cajeros y las tasas medias de descuento para los comercios minoristas, que han pasado del 1,59% en 2002 al 0,34% en 2022. Es evidente que los periódicos hackeos no han impedido la normalización del comercio online, el dinero digital y las nuevas formas de pago.
La innovación tecnológica está cada vez más consciente de la necesidad de prestar especial atención a la seguridad, sobre todo porque cada vez los sistemas de pago son más abiertos, en el sentido de que puedes tener los datos de tu tarjeta en el teléfono, el reloj o en la propia piel por medio de chips NFC, y vincular las identificaciones de los usuarios a sus patrones biométricos. Pero también porque hay una gran cantidad de usuarios tremendamente confiados que no prestan atención a los consejos de autoseguridad.
La clave para ofrecer seguridad a través de todos estos sistemas (o los que surjan) está en estos momentos en la tokenización, de manera que se vayan creando números adicionales a la tarjeta, a modos de alias encriptados, y vinculados a ella. De esta manera las formas de pagar se vuelven más sencillas y cómodas para el usuario, al tiempo que se refuerza la seguridad de las transacciones. A esto hay que sumar PSD2, el nuevo marco regulatorio europeo para las transacciones digitales que entró en vigor el pasado 1 de enero. Con este nuevo elemento en juego se busca poner un poco de orden en todo el entorno de pago digital y ofrecer garantías a los compradores sobre la protección de sus operaciones y sus datos. De hecho, PSD2 establece que los comercios que incumplan la normativa no podrán intervenir en operaciones o transacciones online, y una de sus obligaciones será la de implementar la autentificación de doble factor, que puede incluir tanto pin como huella digital o reconocimiento facial. Y aún así nada de esto puede proteger al usuario frente a sus propios fallos, esos que, como decíamos al inicio, se producen por exceso de confianza, por algo España es el país con más afectados por phishing, con el 8,38% de los ataques mundiales, especialmente dirigidos a redes sociales.