Comercio electrónico: ¿Qué es el CVV?

3

Seguimos con el tutorial de comercio electrónico. En la anterior entrega revisamos el PAN. Ahora vamos con otro dato curioso de la tarjeta, el CVV. ¿He dicho dato? Pues no, son datos. Sí, datos, pues hay más de uno. ¿No lo sabías? Vamos a revisarlo.

¿CVV, CVC, CVN, …?

Antes de empezar, indicar que este es quizás el concepto de más nombres tiene. Casi cada fabricante usa un nombre diferente con unas siglas. Veamos todos los ejemplos que he visto:

  • CVV: El más común en España. Card Verification Value.
  • CSC: Card Security Code, es el nombre más común en USA, y creo que es el oficial según PCI DSS.
  • CVC: Card Verification Code
  • CVD: Card Verification Data
  • CVN: Card Verification Number
  • SPN: Signature Panel Code
  • V-Code: Verification Code
  • CVVC: El más raro y divertido de todos: Card Verification Value Code.

Pero sea el nombre que sea, es siempre lo mismo. Un emisor de tarjetas puede usar CVV, y a la vez un sistema de pago habla del CVC, pero ambos se refieren al mismo valor. Así que en el fondo son todos lo mismo.

Cómo lo más común en España es CVV, usaré este nombre a partir de ahora.

Hay uno especial que es el CID (Card Identification Code) que suele usar AMEX, o también llamado a veces UCC (Unique Card Code), aunque de único tiene poco. Son 4 dígitos que se imprimen delante de las tarjetas AMEX. Esto, aunque AMEX lo usa para el mismo propósito que el CVV, no es lo mismo. Las AMEX tienen detrás también el CVV.

¿Cuál es el propósito del CVV?

El objetivo de todos los códigos CVV es probar que la tarjeta físicamente esta presente en el momento del pago. Así que un pago en el que no intervenga ningún CVV no puede demostrar que la tarjeta haya sido usada. En cambio, cuando hay un CVV en la operación se considera que la tarjeta ha estado presente.

Ya veremos que esto, en caso de fraude, no es del todo cierto. Un atacante podría hacerse con el CVV, por lo que aunque el pago asuma la presencia de la tarjeta no es del todo descabellado que la tarjeta no esté realmente presente. Pero aún así es importante este concepto, porque en todo pago en el que haya un CVV involucrado se asume que el dueño de la tarjeta es que el ha originado el pago y si esto no es cierto, es un fraude. ¿Y cómo te puede afectar? Veamos el siguiente caso:

En la recepción de un hotel la recepcionista le pide la tarjeta de crédito al huesped y apunta el PAN y el CVV. El cliente paga su habitación y se marcha. Por la tarde, al revisar el mini-bar ven que ha consumido. Así que usando el PAN y el CVV que ha copiado hace un pago a la tarjeta.

Además de otras ilegalidades, al hacer el pago con CVV, y no ser consciente el dueño de la tarjeta, el hotel está cometiendo fraude. Incluso aunque haya un acuerdo con el cliente, o el cliente haya firmado una autorización para hacer ese tipo de cargo en el contrato de reserva de la habitación.

Si hay un CVV, es porque el dueño de la tarjeta origina el pago, sino es fraude.

Los distintos tipos de CVV

Hay tres tipos de CVV que pueden estar en las tarjetas:

  • Tipo 1: Está grabado dentro de la banda magnética de la tarjeta. Cuando se hace un pago pasando la banda, se recoge ese valor. Eso es lo que demuestra que no se ha hecho el cobro simplemente copiando el número, sino que la tarjeta se ha pasado y estaba presente.
  • Tipo 2: Esta impreso en la tarjeta y nunca están en relieve. Están en la parte trasera, en la zona de la firma, y suelen tener 3 dígitos. Es el que se usa en transacciones electrónicas de Internet. Así que si como yo, vives en el mundo on-line, casi siempre que se hable de CVV te referirás al tipo 2. Teóricamente no se puede grabar el CVV en ningún sitio (excepto el dueño), por lo que si se usa es porque se tiene la tarjeta en la mano. Es muy común llamarlo CVV2.
  • Tipo electrónico o iCVV (o iCSC, o …): es el que usan las tarjetas contactless y con chip. Lo mejor de este código es que se genera por la tarjeta cada vez que se paga y cada vez es diferente. Así que el fraude es mucho más complejo con esta forma de pago.

Estos códigos son únicos por tarjeta. Cuando se hace un duplicado, el PAN y la fecha de caducidad no cambian, pero sí que lo hacen los CVV. Así las tarjetas anteriores dejan de ser válidas.

¿Cuál es el algoritmo para generar CVV?

Cada emisor tiene el suyo. Hay de todo, desde algoritmos que encriptan información de la tarjeta con claves secretas que sólo conoce el emisor, generando un hash (hasta donde yo sé, el más común), hasta tablas clave valor generados aleatoriamente. Hasta donde yo sé nadie ha roto estos algoritmos, por lo que no hay manera de:

  • Generar un CVV a partir del PAN.
  • Comprobar si un CVV es correcto (no hay dígitos de control) sin llamar al emisor de la tarjeta.

Gestión del CVV

Si con el PAN ya os recomendé no procesarlo nunca, porque las medidas que impone PCI DSS son muy grandes, con el CVV ya os aconsejo que os olvidéis por completo del tema. Hay restricciones muy fuertes con respecto al CVV:

  • Cualquier equipo informático por el que pase el CVV (como un servidor o un router), o cualquier equipo que generé código (como javascript) por el que vaya a pasar un CVV debe cumplir unas medidas muy severas de seguridad.
  • En caso de cumplirlas el CVV no se puede almacenar en ningún sitio:
    • Nunca en disco, ni siquiera en logs.
    • No se puede almacenar en memoria al acabada la transacción. Mucho ojo destruir el objeto o liberar la memoria en la que estaba. El dato sigue grabado en memoria. Hay que borrarlo proactivamente (sobreescribiendo con ceros o nulls, por ejemplo).
    • No se puede mandar a ningún sistema que no cumpla todo esto.

El procesado de CVV es muy severo. No vale guardarlo encriptado. Ni nada parecido. Si lo hacemos, estamos cometiendo fraude. Además de asumir un riesgo muy elevado, porque si nos lo roban, la capacidad de fraude del atacante sería muy, muy grande.

Seguridad del CVV

Quitando el iCVV, el CVV, ya sea de tipo 1 o 2, no garantiza nunca que realmente la operación la haya realizado el dueño de la tarjeta. Ya que es una protección muy fácil de sobrepasar.

El CVV de tipo 1 está en la banda magnética de la tarjeta, por lo que cualquier lectura de la banda, y duplicado de la misma en otra, copiará, no sólo el PAN, sino también el CVV. Así, que de poco sirve este dato.

El CVV2 es casí más fácil de copiar. Unos segundos con la tarjeta en la mano y una cámara oculta y ya lo tendremos copiado todo: PAN, fecha de caducidad y CVV2. Así que ojito con soltar la tarjeta en restaurantes.

La industria lo sabe, por lo que un pago con CVV no está 100 % garantizado que no sea fraude. Para eso hay otros métodos.

Fraude relacionado con el CVV

Ya haré un artículo exclusivo sobre fraude, pero os doy un pequeño adelanto de dos tipos de fraude relacionado con CVV2 y transacciones on-line:

  • Robo de CVV2. El CVV2 se puede robar de múltiples maneras: malware, phishing, cámara oculta u otros medios. En estos casos el atacante, en posesión del PAN, Fecha de caducidad y CVV2, puede hacer compras de bienes (normalmente electrónicos) que luego puede revender.
  • Fraude Chargeback o fraude amigo (friendly fraud). El fraude amigo consiste en hacer una compra con la propia tarjeta, conseguir el producto o servicio, y luego reclamar al banco el retorno del pago indicando que no es suyo.

En ambos casos, se trata de un retroceso de una “operación no autorizada”. El emisor de la tarjeta acusa al comerciante de que la operación no estaba autorizada por el dueño y el comerciante, dado que la operación era electrónica y no puede demostrar que realmente estaba hecha por esa persona, sólo puede demostrar que le ha dado el producto o servicio al dueño real de la tarjeta. Si no puede, no sólo tiene que devolver el dinero, sino que además puede caerle otro problemas como:

  • Cargos por transacción.
  • Baneos por exceso de fraude.

Es decir, se hace una operación electrónica con CVV, entregas el producto o servicio, y luego te acusan de fraude.

Por lo tanto es muy importante que el comercio electrónico en el que se monte un pago por CVV se asegure:

  • Que en el caso de que se pida la devolución se puede retirar el servicio, por lo que el valor del mismo es muy bajo.
  • Que en el caso de que se pida la devolución se pueda demostrar que el usuario realmente pidió el producto.
  • Que se ponen otras medidas como 3DS (ya lo veremos más adelante) que nos otorguen más seguridad.

Fijaros en la siguiente picaresca, que es un dolor de cabeza para los hoteleros:

Vladi, un ruso, pide a un amigo suyo, Pietr que le page unas noches de hotel en Palma de Mallorca, la semana que viene a un todo includo. Se hace el pago con la tarjeta de Pietr, pero en el nombre se pone Vladi. Vladi va a Mallorca y se lo pasa pipa, dos semanas en el hotel con todos los gastos pagados. A la vuelta, un mes después, Pietr va a su banco y dice que ese cargo no es suyo. Así que se retira el cargo. El hotel, demuestra que Vladi ha ido, pero es que el dueño es otro.

El hotel tendría que haber pedido la tarjeta a Vladi, para asegurar que el dueño de esa tarjeta es el que está disfrutando del hotel. Y aún así puede haber problemas para conseguir recuperar el dinero que le han hecho devolver al banco.

Los tipos de negocio más abiertos a estos fraudes son:

  • A los CVV robados:
    • Licencias de software
    • Plataformas de juegos de azar
    • Accesos de pago, principalmente el porno.
    • Elementos de juegos electrónicos (como cuentas de LoL, para que te hagas una idea)
    • Conversiones a moneda electrónica.
  • Al fraude amigo
    • Las compras que se envían por mensajería
    • Los servicios vacacionales (hoteles, excursiones, etc.)

Conclusiones

Hemos visto el CVV y todas las implicaciones que tiene. Y quizás el método de pago más común por Internet sea el pago con CVV. Así que si tienes que montar una plataforma de pago, o usar una, tendrás que lidiar con ellos. Y también te aseguro que cuando lo montes tendrás que lidiar con el fraude. No te creas que porque hayan puesto el CVV estás seguro.

Sobre el autor

Jose M. Huerta

Jose es Gestor de Proyectos y Gestor de Servicios en Mallorca. Es Ingeniero de Telecomunicaciones y obtuvo el Master of Advanced Studies durante su etapa como investigador. Pero no tardó en abandonar ese mundo y meterse de cabeza en el mundo de las Tecnologías de la Información. Está certificado como ITIL Expert. Tiene amplia experiencia en gestión de servicios, clásica e integrada con desarrollo, gestión de proyectos, usando metodologías clásicas y ágiles, gestión de programas y portfolios, gestión de grandes grupos de personas, localizadas y off-shore, sin dejar de perder de vista el lado técnico y freak del sector. Ha trabajado en varias empresas del sector con distintos roles en áreas tanto de gestión de servicios de soporte como de equipos de desarrollo. Actualmente trabaja en WebBeds, como responsable del equipo de operaciones TI.

3 comments

  1. Julio 9 octubre, 2018 at 16:00 Responder

    Muchas gracias por compartir. Es aun más interesante que el anterior.
    Nunca he guardado los datos de mi tarjeta en una web, pero cuando lo haces y vuelves a intentar comprar, se supone te vuelve a preguntar el CVV?

    • Jose M. Huerta 10 octubre, 2018 at 07:21 Responder

      No es necesario. Por un lado, es posible ordenar pagos sin CVV. Es simplemente un nivel más de protección para la entidad que cobra el pago. Dependiendo del comercio, puede ser esta la opción. Por otro lado, aunque no lo he explicado, es posible iniciar cobros recurrentes. Cuando guardas los datos de tu tarjeta la entidad hace una transacción con el banco (normalmente asociada a un cobro, que a veces es de céntimos), por la que se autoriza a un pago recurrente. Así puede volver a cobrarte sin usar el CVV, pero con un nivel de seguridad similar.
      Además una vez alguien ha pagado y no has tenido problema, es más fácil que haya pagos futuros sin problemas, ya que la probabilidad de fraude baja. Por lo que se puede permitir un nivel menor de seguridad antifraude.

Post a new comment