La Caixa expidió cuatro millones de tarjetas vulnerables

stop

LEY ORGÁNICA PROTECCIÓN DE DATOS

Tarjeta con tecnología Contactless de CaixaBank

en Barcelona, 10 de noviembre de 2015 (22:10 CET)

La tecnología Contactless, en el punto de mira por infringir la Ley Orgánica de Protección de Datos (LOPD) y resultar vulnerable al fraude. Entre 2012 y el primer semestre de 2014, La Caixa (ahora CaixaBank) emitió, a sabiendas, cuatro millones de tarjetas a las que, con sólo un teléfono móvil, se podía interceptar el nombre del usuario, el número y la fecha de caducidad porque la información no está encriptada. Datos suficientes para realizar compras en el portal Amazon.

Por este motivo, la Agencia Española de Protección de Datos (AGPD) multó el pasado julio con 80.000 euros a la entidad. Sanción que fue rebajada en octubre a 20.000 euros al estimarse parcialmente el recurso presentado por el denunciado. CaixaBank argumenta que la vulnerabilidad es inherente a la tecnología -que permite realizar compras sin tener que marcar el PIN- y que no se podía modificar para "respetar la interoperabilidad del sistema de pagos". En cambio, el organismo público lamenta que solamente se tuvo en cuenta "el punto de vista de su negocio" y no los riesgos existentes.

Una auditoría interna detectó las deficiencias

La sociedad conocía los huecos encontrados en el sistema hasta el año pasado, cuando una actualización permitió ocultar el nombre de los clientes. En un informe de seguridad interno de 2012, se calificaba el nivel de seguridad de "medio-bajo" y se instaba a "acelerar la renovación anticipada del parque de tarjetas". Sin embargo, la dirección desestimó la medida y mantuvo que la sustitución se continuaría realizando "por vencimiento u otras causas que puedan suceder", como la pérdida o el robo. Los riesgos supeditados a esta decisión los asumiría CaixaCard, la filial expendedora, de la entidad bancaria.

En el mismo informe se determinaba que la información se podía interceptar con un TPV (un lector de tarjetas) falso "a distancias de hasta dos metros". Además, no se establecían garantías para determinar si la comunicación se realizaba con un TPV auténtico. Por ello, la AGPD tilda de "falta de diligencia achacable a CaixaCard" las deficiencias en la seguridad.

A juicio de la agencia, "CaixaCard no ha llevado a cabo las actuaciones necesarias para corregir las anomalías y minimizar sus efectos". En su alegación la entidad apuntaba que cuando el usuario firma un contrato, adquiere la condición de responsable de su conservación y uso correcto. Además, recuerda que los datos accesibles no son diferentes a los que se pueden ver echando un vistazo al anverso de las tarjetas.

Ningún afectado

Contactada por Economía Digital, CaixaBank ha querido poner en valor que, pese a la resolución, no hay ningún afectado por las vulnerabilidades descubiertas. Al contrario, sí que son conocidas clonaciones de tarjetas tradicionales. Además, ha añadido que todos los clientes están protegidos bajo el seguro CaixaProtec, "que garantiza inmunidad frente a riesgos económicos".

Por otro lado, en el Recurso de Reposición, la agencia tiene en cuenta el argumento de la empresa que explica que la seguridad se ve alterada "por la existencia de estándares internacionales que las entidades emisoras de tarjetas han de respetar en beneficio de la interoperabilidad del sistema de pagos". Por ello, la sanción cae de los 80.000 a los 20.000 euros.

Además, la mayoría de portales de venta por Internet exigen el código de seguridad CVV2 antes de realizar cualquier operación. Sin embargo, el gigante Amazon omite el número, por lo que se convierte en una ventana al fraude.

El Banco de España, al corriente

Según un correo electrónico al que ha tenido acceso Economía Digital, el Departamento Jurídico del Banco de España está al tanto de la infracción. En el texto, el organismo asegura que la vulneración "será analizada para el caso de que pudiera ser relevante dentro del marco de las competencias y de las funciones de supervisión que tiene legalmente atribuidas esta Institución".

Existe un precedente a nivel europeo. CaixaBank no es la única entidad afectada por la exposición al fraude de sus clientes. En 2012, el gobierno británico instó a Barclays a sustituir hasta 13 millones de tarjetas con tecnología Contactless. El canal de televisión Channel 4 verificó que, del mismo modo que sucede con los dispositivos españoles, con sólo un teléfono móvil se podía acceder al nombre del usuario, el número de la carta y su fecha de caducidad debido a que no eran datos encriptados.

En el caso de verse obligado a la renovación completa del parque de tarjetas, fuentes del sector estiman que el coste para la entidad rondaría los 20 millones de euros.

CONSULTA AQUÍ LA RESOLUCIÓN INICIAL DE LA AGPD

CONSULTA AQUÍ EL RECURSO DE REPOSICIÓN

Suscribir a boletines

Al suscribirte confirmas nuestra política de privacidad