Pagar con el celular: ¿qué tan seguras son las billeteras digitales?

En junio de 2021, en Práctico presentamos en un artículo lo que entonces era la gran novedad en materia de comercio y tecnología: las billeteras digitales, también conocidas como e-wallet.

“Están multiplicándose con rapidez, promovidas por bancos y casas comerciales, ofreciendo el beneficio de pagar con el teléfono, sin necesidad siquiera de andar trayendo las tarjetas bancarias en el bolsillo. ¿Es solo un chiche tecnológico o un avance en seguridad y eficiencia?”, nos preguntábamos hace dos años.

Desde entonces, las billeteras digitales han avanzado, pero aún no se masifican en el país. Una hipótesis que explicaría esto es la que nos aportó Máx Valdés, editor y fundador de Chócale, un medio especializado en productos financieros e industria bancaria:

“El nivel de bancarización en el país, pese a las creencias, es bastante amplio, y buena parte de la población tiene una tarjeta de débito o crédito que le permite comprar sin efectivo u online. Por eso, no hay tanto apuro por cambiarse al pago por teléfono”.

Pero la reciente entrada de Apple al negocio en Chile, a través de su app Apple Pay, ha significado un nuevo incentivo a adoptar este formato, que según algunos expertos ofrece varias ventajas sobre el pago físico mediante tarjetas y, en especial, sobre el efectivo. Pero antes de continuar hacia ese punto, un pequeño repaso.

“Una billetera digital es una herramienta electrónica que permite a los usuarios almacenar y gestionar tarjetas de crédito, débito y otros medios de pago en un formato digital”, responde Felipe Mancini Ruiz-Tagle, CEO de Asimov Consultores, empresa que desarrolla apps móviles, software e inteligencia artificial para el sector público y privado.

Estas herramientas, en forma de apps compatibles con smartphones, smartwatches y servicios en línea, operan principalmente a través de tecnologías como NFC (sigla en inglés de “comunicación por campos cercanos”) o por medio de códigos QR, ambas presentes en casi todo los dispositivos actuales.

La primera vía permite realizar pagos sin contacto, solo acercando el teléfono o reloj inteligente al terminal de pago, tal como si fueran una tarjeta de débito o crédito. Apple Pay y también Google Pay utilizan este sistema, que además puede operar sin necesidad de estar conectado a internet.

Cuando las billeteras digitales funcionan por QR, hay que escanear el código de compra que te entrega el comercio, lo que te llevará a un sitio web desde el cual podrás realizar el pago. Hasta ahora, este es el formato que más se ha instalado en el país, ya que es el más fácil de implementar para los servicios de bancos y retail chilenos.

A dos años de nuestra primera nota sobre este tema, y tras la esperada llegada de Apple Pay al país, vale preguntarnos cuánto nos han enseñado las billeteras digitales hasta ahora.

“Van principalmente por el lado de la comodidad”, sostiene Carlos Oliva, ingeniero y consultor senior en ciberseguridad. “Eliminas la necesidad de andar trayendo tus tarjetas físicas, lo que disminuye la posibilidad de que las pierdas por algún robo o descuido”.

“Las billeteras digitales son muy convenientes, en todo sentido”, asegura Rodrigo Alegre, experto financiero de Continuum. En lo que refiere a experiencia y uso, según él, las e-wallet han demostrado facilitar el pago. “Si por ejemplo tienes dos tarjetas de crédito, dos de débito y una de prepago, puedes elegir en el momento cuál utilizar, sin tener que buscarlas y sacarlas de tu billetera”. Aunque en este punto cabe hacer una salvedad. Un gran asterisco al costado.

“Para ser justos, en Chile esto no pasa en todas las wallets por igual”, reconoce Alegre. Apple Pay, por ejemplo, por ahora funciona con 10 bancos chilenos, aunque entre ellos no está BancoEstado, el que tiene la mayor cartera de clientes, por lo tanto esas personas no podrán usar la billetera digital de Apple. Al menos hasta nuevo aviso.

Alegre dice, por otra parte, que un beneficio “obviado” de las e-wallet es su utilidad para el pago o las compras en línea. “Por ejemplo, si tienes OnePay, de Transbank, basta con aceptar pagar por esta vía y elegir qué tarjeta utilizar”, señala el experto. La ventaja es que “no tienes que sacar tu tarjeta, anotar los numeritos, fecha de expiración, códigos CVV o CVC, pasar a la página del banco en algunos casos, levantar la app de tu banco, ni autorizar la transacción con el pinpass o la tarjeta de coordenadas”.

La seguridad es otra gran ventaja respecto a los medios de pago físico. “Desde el punto de vista técnico y de uso, tener tus tarjetas virtualmente en el teléfono es más seguro, porque no expones visualmente los números de tu tarjeta al pagar, tienes validaciones biométricas y, si te roban el teléfono, hay que pasar varias capas de seguridad y de password: primero la clave de tu teléfono, luego la de la wallet y después la clave para autorizar”, asegura Alegre.

Felipe Mancini, además, dice que las billeteras digitales ofrecen funcionalidades adicionales, “como seguimiento de gastos, facilitar pagos globales sin cambiar de moneda e integrarse fácilmente con otras aplicaciones para una experiencia de usuario más fluida”. Es decir, al momento de realizar una compra con tu e-wallet, no tendrás que pasar por los tediosos formularios que debes rellenar con tus datos personales y bancarios.

Las billeteras digitales son un sistema que todavía no se consolida. Esto implica que así como entran nuevos actores, tal como lo acaba de hacer Apple, también otros desaparecen. Es el caso de Fpay, el “monedero virtual” de Falabella, que dejará de operar el 31 de octubre para integrar sus funciones a la aplicación del banco de esa compañía.

Otra implicancia de lo anterior es que su adopción, especialmente en los casos que funcionan con códigos QR, aún no es universal en el comercio. “No todos los negocios las aceptan”, dice Mancini. Es decir, no siempre servirán como medio de pago o, a veces, la compatibilidad es con algunas billeteras y no con otras. Por eso, muchos usuarios cuentan con más de una e-wallet en su smartphone.

Aquí aparece otro punto: aún no existe la interoperabilidad digital. Eso permitiría “pagar con cualquier billetera de forma estándar en cualquier comercio, o si se da el caso, pasarse plata entre billeteras”, dice Rodrigo Alegre. Eso sí, existen algunas expeciones. “Por ejemplo, Redbanc tiene Redpay, que permite pagar con distintas billeteras o apps de bancos compatibles. Transbank, y su app One Pay, permite que pagues con su QR a BCI y Líder BCI. Luego, está pasarse plata entre usuarios del mismo ecosistema, como con MiPago o Mach”.

Mancini piensa que la gestión de múltiples billeteras digitales puede “complicar la experiencia del usuario, más todavía si hay falta de familiaridad o confianza en la tecnología”. Eso puede “disuadir” a algunas personas de adoptarlas.

El otro problema que aparece es la excesiva dependencia al teléfono móvil que se genera. Carlos Oliva estima que centralizar tus medios de pago en un dispositivo “implica que si se queda sin batería o se te queda en tu casa, no puedas pagar; lo mismo ocurre si pierdes el teléfono o eres víctima de robo del mismo”. A eso se añade la posibilidad de ser vulnerables a ataques cibernéticos. Lo que nos lleva de vuelta al tema de la seguridad.

De acuerdo a los entrevistados, las principales amenazas a la seguridad de las e-wallet se encuentran en los ataques de phishing: los ciberdelincuentes intentan engañar a los usuarios para obtener información confidencial, muchas veces a través de sitios fraudulentos que se asemejan a los del comercio. Los malwares o softwares maliciosos también son trampas comunes, muchas veces en forma de tentadoras apps, en las que se pueden robar datos personales sensibles y, de paso, comprometer la funcionalidad de la billetera.

“La seguridad de todo sistema es tan fuerte como su eslabón más débil, que usualmente es el factor humano”, dice Oliva. “Hay que estar atentos a los ataques de ingeniería social y de malware o aplicaciones maliciosas que podrían, por ejemplo, suplantar una billetera e inducir mediante engaño a los usuarios a que entreguen sus contraseñas”.

Felipe Mancini asegura que las billeteras digitales han implementado diversas herramientas y recursos para fortalecer su seguridad. El uso de tokens es uno de los principales. “En lugar de compartir los detalles reales de una tarjeta durante una transacción, la información se convierte en un ‘token’ único, un código que representa la información de la tarjeta sin revelarla”, explica el CEO de Asimov. Si los ciberdelincuentes logran interceptar los datos de la transacción, no encontrarán ninguna información útil: ni los números de la tarjeta, ni la fecha de caducidad ni el código CVC.

La autenticación de dos factores (2FA) o de múltiples factores (MFA), y la autenticación biométrica —mediante las huellas digitales o el reconocimiento facial— son otras herramientas con las que las billeteras digitales garantizan su seguridad.

La información almacenada y transmitida por las billeteras digitales, además, está protegida mediante tecnologías de cifrado avanzadas. “Esto asegura que los datos, incluso si son interceptados, no puedan ser leídos ni utilizados por terceros no autorizados”, explica Mancini.

Si ya tienes una billetera digital y la usas con frecuencia, te dejamos algunas medidas básicas para mantener seguros tus datos, o bien para elegir la opción que garantice una mayor confidencialidad:

• No descargues cualquier tipo de app (por más atractiva que sea): “revisa quién la creó, si tiene más desarrollos”, aconseja Rodrigo Alegre. “Es esencial considerar su reputación y las reseñas de otros usuarios de la app”, complementa Felipe Mancini.
• Prefiere las billeteras digitales de los mismos fabricantes del sistema operativo: según Carlos Oliva, Apple Pay o Google Pay, que son las opciones nativas de los iPhone y los teléfonos Android (respectivamente), resultan ser también las más confiables.
• Si eliges otra, revisa que tenga sistemas de seguridad: asegúrate de que ofrezcan autenticación de dos factores, tokenización y autenticación biométrica.
• No desbloquees las restricciones de seguridad de tus dispositivos: por ejemplo, dice Alegre, “no desbloquees tu iPhone con jailbreak.
• Al pagar, no uses redes no seguras: como wifi abierto de lugares públicos, aun cuando ésta sea gratis.
• Revisa continuamente el comportamiento de tu teléfono: por ejemplo, dice Alegre, fíjate si se prende la cámara de la nada, o si actúa de manera imprecisa.
• Mantén actualizado el sistema operativo de tus dispositivos.
• Preocúpate de que la app de tu billetera ofrezca actualizaciones frecuentes: aunque no lo parezca, “es de vital importancia”, apunta Mancini. “Eso demuestra una respuesta proactiva a las amenazas emergentes”, apunta Mancini.
• No entregues información sensible sobre tus billeteras a fuentes no confiables.
• Monitorea las transacciones en forma frecuente: para detectar y denunciar cualquier movimiento no autorizado.

En caso de pérdida o robo del celular, los sistemas operativos de los teléfonos ofrecen la capacidad de bloquear o borrar de forma remota los datos almacenados en el equipo, “para evitar el acceso no autorizado”, dice Mancini.

Oliva recomienda activar el bloqueo remoto, “por ejemplo a través de iCloud, en el caso de dispositivos Apple”. Esto permite eliminar los datos almacenados y, de paso, rastrear el dispositivo.

Algunas billeteras digitales cierran sesión automáticamente tras un período de inactividad, o requieren de autenticación con factores biométricos para su acceso. Esto da tiempo para seguir las medidas de emergencia habituales para estos casos: bloquear las tarjetas y cambiar las claves de pago y acceso.