Seguridad en las tarjetas: ¿Firma o pin? ¿Contactless?

Leo en el artículo que enlazas: "Para que este "robo" funcione hay que teclear el importe en el TPV, sin que nadie advierta este hecho. Pero en un metro, una persona con un datáfono (más aparatosos que un teléfono móvil) sería vista fácilmente. Una vez tecleado el importe (inferior a 20 euros), tendría que acercar el dispositivo rápidamente al bolsillo de algún usuario de metro, esperando que en la cartera tenga una tarjeta NFC. Esto debe hacerlo en unos segundos, de lo contrario, el TPV dará error de "time out" o tiempo agotado y habrá que introducir de nuevo la cantidad. Y así, una y otra vez sin que nadie note nada.
Otra cosa a tener en cuenta es que los TPV son "cedidos" por el banco a comercios, y están vinculados a una cuenta bancaria."

¿De verdad que alguien piensa que esa explicación nos tiene que dejar tranquilos? ¿En serio creemos que los ladrones son tan idiotas? ¿No conocemos el significado de la palabra "hackear"? ¿Robo de datos? Escribid por favor "hackear lector tarjetas" en google.

"En un convención en Nueva York, Ricardo robó en directo los datos de una tarjeta NFC con una 'app' en su móvil y los mandó al móvil de Pepe, en Madrid, quien con este móvil realizó un pago de un euro en el TPV de su oficina. Así, una tarjeta que teóricamente sólo puede pagar a 10 centímetros de distancia, pagó a 8.000 kilómetros"
(fuente: Por qué las nuevas tarjetas contactless no son tan seguras como crees. http://www.elconfidencial.com/tecnologia/2016-03-28/tarjetas-contactless-debito-seguridad-bancos_1173539/ )

"Según el informe, un dispositivo equipado con antena NFC puede leer y copiar los siguientes datos de una tarjeta de crédito también NFC: "Número de tarjeta, fecha de expiración, titular de la tarjeta e histórico de transacciones realizadas con la tarjeta, no sólo mediante NFC sinó también las verificadas con el chip de la tarjeta", algo que entra ya en el terreno no sólo del robo sino también de la violación de la privacidad." [NFC = Near Field Communication = comunicación de campo cercano, la tecnología usada por las tarjetas contactless]
(Fuente: Por qué las nuevas tarjetas contactless no son tan seguras como crees.
http://www.elconfidencial.com/tecnologia/2016-03-28/tarjetas-contactless-debito-seguridad-bancos_1173539/ )

pues entonces a ese tal pepe se le cae el pelo al usar el TPV que tiene en su empresa a su nombre para hacer un cargo ilegal.

Todo TPV imagino que tendra que tener un contrato y toda tarjeta que pase por ahi el dinero tendra que ir a parar a una cuenta a nombre de alguien.

El tema este me recuerda al escandalo que salio cuando las tarjetas empezaron a salir con chip y ya no era necesario pedir identificacion al cliente... ahora todo el mundo lo tiene asumido ya

Los estafadores utilizan "mulas". El que se pringa con su nombre es un mindundi que cobra una comisión del estafador a cambio de ser receptor de los cargos fraudulentos. El estafador se lleva la pasta y la mula, si puede, se esfuma.
Por favor, escribe "mula de dinero" en google.
.
Primera operación de la UE contra las "mulas de dinero", 42 detenidos en España
http://www.eleconomista.es/legislacion/noticias/7388789/03/16/Primera-operacion-de-la-UE-contra-las-mulas-de-dinero-42-detenidos-en-Espana.html

De todas formas los cargos que no has realizado, normalmente te los devuelven.
Para eso estan los seguros asociados a las tarjetas

Sí, bueno, pero las pérdidas las sufre el sector y acabarán repercutiendo en el usuario. Aparte que el susto no te lo quita nadie.
No pretendo sembrar la paranoia, dios me libre. Pero que la seguridad de las transacciones electrónicas es un problemón de primera magnitud, y creciendo, es un hecho.
Por algo los bancos se están interesando cada vez más en la tecnología blockchain que utilizan el bitcoin y otras monedas similares, y que permite hacer pagos electrónicos con mucha mayor seguridad.

Para compras inferiores a 20 euros contactless tienes que mostrar el DNI? Me lo han pedido varias veces y pierdes más tiempo en sacar el DNI que en teclear el PIN...

Bueno, hoy he hecho pruebas, y es como dice mentafresc. al pasar la tarjeta por el lector es como haberla introducido. Lo primero que he hecho es darle a "últimos movimientos", y antes de nada, ya piden el pin. He visto el saldo y sin salir, he sacado dinero y me han vuelto a solicitar el pin.

Pues lo bueno que le veo es que puedes estar seguro que no te ocurra que por error se quede la tarjeta dentro. Otra ventaja no le veo, es casi más rápido meterla que pasarla por el lector y esperar unos segundos que la detecte.

Saludos y perdón por el susto inicial

Esto depende del comercio. Normalmente, el DNI se pide cuando la validación es mediante firma. Con el PIN, ya casi nadie lo pide. Y para operaciones contactless de menos de 20€, el TPV ni siquiera te pide el PIN.

Saludos.

Supongo que así también es más difícil que te puedan clonar la tarjeta.

Yo he ido un paso más allá y he empezado a utilizar SAMSUNG PAY. De momento lo he usado en Repsol, Mercadona y ECI. Muy buena experiencia. Eso sí, de momento vale para los clientes de Caixabank. Se irá extendiendo.

También podrías utilizar Caixabank pay.
¿tiene alguna ventaja utilizar otro intermediario? En este caso Samsung.

La respuesta es la misma, está claro. Ambos permiten el pago con el móvil. La ventaja que veo es que si deseas cambiar de tarjeta para pagar, basta con deslizar el dedo con Samsung Pay mientras que en Caixabank Pay hay que entrar en la App. Otro aspecto positivo es que no es necesario tener que estar pendiente de activar el NFC, es suficiente con poner tu huella y el NFC se activa solo permitiendo el pago. Pequeños detalles. Al final son dos gestos, deslizar el dedo y elegir tarjeta y poner tu huella permitiendo el pago. Ni siquiera es necesario desbloquear el móvil para pagar. Con la pantalla en negro se pueden ver las tarjetas.
Supongo que en el futuro irán incorporando nuevas funcionalidades como que se pueda usar en cualquier TPV

El problema es que las tarjetas buenas como american express o mastercad de caixabank siguen estando fuera del sistema y no permiten su incorporacion.

Al parecer a american express no le da la gana que sus medios de pago se asocien a moviles.