¿Es seguro pagar una compra con el móvil?

El 15% de los españoles paga sus compras con el móvil habitualmente, según un estudio de UniversalPay. Aunque las compras vía smartphone están todavía muy lejos de la tasa de penetración de las tarjetas (el 72,5% de los encuestados afirma usar las tarjetas en su día a día para abonar compras), lo cierto es que los españoles estamos perdiendo el miedo a pagar con el móvil. Además, durante los últimos años las posibilidades de vincular una tarjeta al smartphone se han multiplicado: la mayoría de los bancos disponen de su propio wallet compatible con teléfonos Android y los principales medios de pago independientes para el móvil (Apple Pay, Google Pay y Samsung Pay) no han parado de sumar colaboradores.

Pero la seguridad de este innovador método de pago sigue levantando dudas. Una encuesta realizada el pasado año por el comparador bancario HelpMyCash.com en la que participaron más de mil usuarios revelaba que al 40% de los participantes le asustaba utilizar su móvil para pagar una compra. Y de ellos, el 65% confesaba que el motivo era la falta de confianza en la seguridad de este tipo de pagos.

La privacidad del pago móvil

Los principales wallets disponibles en España hacen hincapié en la seguridad. Cuando usamos Apple Pay, por ejemplo, se genera un código de transacción único en cada compra, de manera que la numeración de la tarjeta no queda guardada en el dispositivo ni tampoco en los servidores de Apple y la compañía no comparte este dato con el comercio. Google Pay y Samsung Pay tampoco comparten la información de nuestra tarjeta. Samsung recuerda que la información personal no queda guardada ni en los servidores de la compañía ni en el teléfono.

La información de la tarjeta se guarda encriptada en el wallet, algo que no ocurre con las tarjetas físicas, que tienen toda la información estampada en su superficie y que cualquiera puede obtener si el titular no es discreto.

Detrás del pago móvil hay un sistema de tokens que ayuda a proteger las tarjetas. “Un token es un número virtual, de un solo uso, que sirve para proteger el número de la tarjeta mediante la asignación de un valor aleatorio que no guarda relación con la tarjeta real”, explica la Oficina de Seguridad del Internauta. “En ningún momento se facilitan al dueño del TPV los datos personales del titular de la tarjeta (nombre y apellidos), ni los datos de la tarjeta, como número, fecha de caducidad y CVV”, añade el organismo dependiente del Instituto Nacional de Ciberseguridad. Este sistema evita que un tercero pueda clonar la tarjeta.

No obstante, ya hay voces que dicen que este sistema es vulnerable: según el profesor Zhe Zhou de la Universidad Fudan de China, como cada transacción usa un único token, los atacantes necesitan interceptar ese código e impedir que llegue al servidor de pagos, tal y como recoge el portal Andro4All. Y resulta que existen teléfonos móviles que permiten realizar esta operación. En cualquier caso, no olvidemos que cualquier medio de pago tiene sus riesgos: las tarjetas físicas, por ejemplo, puede ser clonadas.

¿Más seguro que pagar con la tarjeta física?

A la hora de pagar en comercios físicos, la principal medida de protección de nuestras tarjetas es el código pin, una contraseña que ni siquiera hace falta usar si la compra es inferior a 20 euros y la operación es contactless (en las compras online la seguridad es mayor, ya que normalmente para completar la operación se debe introducir un código recibido por SMS o una clave de firma).

Los wallets incorporan medidas extra de seguridad de las que carecen las tarjetas, especialmente útiles cuando se paga en comercios a pie de calle. Para empezar, si se quiere pagar con el móvil el teléfono debe estar desbloqueado, por lo que se deberá conocer el patrón de desbloqueo o el pin o superar el reconocimiento facial o dactilar. Hay excepciones: Google Pay permite abonar compras de importe reducido sin desbloquear el smartphone, aunque advierte que solo se puede realizar “una cantidad limitada de transacciones con el teléfono bloqueado antes de que se te solicite que lo desbloquees”. En España el límite de pago en Google Pay con un teléfono bloqueado es de 20 euros.

Dependiendo del wallet, la operación se tendrá que autorizar con un sistema u otro. Apple Pay usa un sistema de reconocimiento facial o dactilar (Face ID o Touch ID). Samsung Pay, por su parte, requiere autorizar los pagos mediante la huella, el escáner del iris o una contraseña.

Por último, será necesario introducir el pin de la tarjeta en el datáfono si la compra es superior a 20 euros. No obstante, se puede pedir al banco que la tarjeta exija siempre el código pin, sea cual sea el importe de la compra.

¿Y si pierdo mi teléfono?

Si perdemos el móvil o nos lo roban, podremos bloquear o borrar la cuenta de Samsung Pay de forma remota gracias al servicio Find My Mobile. Google, por su parte, señala que con el sistema encontrar mi dispositivo podremos, directamente, bloquear el teléfono y borrar su contenido.

La compañía de la manzana recuerda que si el sistema Buscar mi iPhone está activado en el dispositivo que hayamos perdido o nos hayan robado, podremos bloquear el teléfono con un código de forma remota. Al activar el modo perdido, Apple Pay deja de estar operativo y no se puede abonar ninguna compra con el wallet. Asimismo, también se puede optar por borrar el contenido del teléfono, incluidas las tarjetas vinculadas a Apple Pay.

En cualquier caso, no olvidemos que por mucho que usemos un móvil en lugar de un rectángulo de plástico, seguimos usando nuestra tarjeta, por lo que, tal y como recuerdan desde HelpMyCash, seguimos teniendo la misma protección. Si alguien usa de forma fraudulenta nuestras tarjetas, solo tendremos que hacernos cargo de los primeros 50 euros gastados hasta el momento que notifiquemos el robo o la pérdida a la entidad.