"Yo siempre pongo una mano encima cuando tecleo el pin de los cajeros". Francesc Leiva, director de seguridad de Giesecke & Devrient

07/09/2014
Publicat a: El Mundo

Nos vigilan 250 cámaras en nuestra visita a las instalaciones de Giesecke & Devrient en Barcelona. Esta multinacional alemana fabrica dinero desde el siglo XIX, sean billetes, tarjetas de crédito o chips monedero. Su filial en Barcelona crea "software" y produce físicamente 5 millones de tarjetas al día, rojas, azules, doradas, para entidades bancarias de todo el mundo. Los 400 empleados de G&D en Barcelona traspasan cada día una puerta doble, para entrar o salir de su puesto de trabajo, donde se les pesa para asegurarse de que entran de uno en uno, sin polizones. Francesc Leiva (es.linkedin.com/pub/francesc-leiva/2/6bb/96b) es el Director de Seguridad de la empresa.

-¿Qué tal va el trabajo?

-Ha llegado un punto que los criminales son tan profesionales que funcionan como una empresa. En estos niveles estás más atento a proteger tus activos con los medios que tienes, que a investigar qué hay de nuevo. Y las compañías de "software" no ayudan mucho: vulnerabilidades que no son corregidas a tiempo, agujeros de seguridad desconocidos que no puedes solucionar porque no los conoces...

-¿Hay alguna parte buena?

-Sí, que no te aburres nunca.

-En cuanto a seguridad en tarjetas de crédito, ¿qué le preocupa?

-El principal problema, en general, es que tienes en la nube tal cantidad de datos personales que quien quiera hacer un fraude lo tiene relativamente fácil. No se ha planteado aún cómo debe ser la monumental tarea de proteger todo esto. A nivel de datos bancarios, están seguros en los bancos, teóricamente no tienes que sufrir por ello.

-¿Pero cuando compro algo y mis datos bancarios se quedan en la web del comercio, qué?

-Existe una normativa que deben aplicar, lo que pasa que algunos la aplican de una forma muy "sui generis". Por ejemplo, me sorprenden los hoteles: te piden la tarjeta de crédito para coger tus datos y te dicen que no te preocupes, que si no pasa nada no te cargarán nada. No puedo negarme porque, si no, no me dan habitación, pero ¿están protegidos mis datos?

-No da la impresión que el ordenador de un hotel sea un lugar muy protegido...

-O sitios donde almacenan datos, como los peajes de autopista, que no están conectados directamente al banco sino que van guardando los datos de las tarjetas y, al final del día o de la semana, los envían y validan. Si no aplican bien las medidas de seguridad, cualquiera puede conseguir estos datos y hacer fraudes con ellos.

-Se habla mucho de un nuevo tipo de robo de datos: introducen un programa espía (troyano) en el ordenador-caja registradora de una tienda y, cuando metemos la tarjeta en el aparato lector, nuestros datos van al ordenador y, de allí, al troyano, que los manda al delincuente.

-Esto sólo pasa si el ordenador tiene un agujero de seguridad que nadie conoce, o no está bien protegido. Si en la tienda siguen correctamente lo que marca la norma, seria complicado que les entrase un troyano.

-¿Hay alguna forma de evitarlo?

-A nivel de fabricante, la máxima seguridad que podemos dar es el chip. Aquí en Europa tenemos suerte porque la mayoría de tarjetas llevan chip, pero en Estados Unidos van con banda magnética, que es lo más inseguro. El chip está basado en claves criptográficas, la información teóricamente no se puede clonar... Con una tarjeta de chip no puede pasarte esto.

-Otro conocido delito son los llamados "skimmers" que graban los datos y el pin de tu tarjeta cuando sacas dinero del cajero automático. ¿Si mi tarjeta lleva chip estoy a salvo?

-Si es "contactless", sí. Como la tarjeta lleva antena no tienes que ponerla dentro de la ranura para operar, sólo la pasas por encima del lector. De momento sólo lo tienen determinados modelos de tarjetas y cajeros, como los de La Caixa.

-¿Y si mi tarjeta no es "contactless"?

-Los "skimmers" consisten en un lector de banda magnética, que ponen en la ranura de la tarjeta, y una pequeña cámara encima del teclado para grabar el PIN; por eso yo siempre lo tecleo poniendo una mano encima, para que no puedan verlo. Aunque tu tarjeta sea de chip lleva también una banda magnética y, cuando la metes, el lector del delincuente la lee.

-¿Están ustedes en contacto con las fuerzas de seguridad?

-Colaboramos habitualmente con ellos. En España somos pocos los que nos dedicamos a esto y, por tanto, uno de los pocos sitios para aprender del tema es aquí. Les explicamos el funcionamiento de las tarjetas para que puedan utilizar este conocimiento en sus investigaciones. No hace mucho hicimos una formación para diferenciar una tarjeta de verdad de una falsa.

-¿Cuál es el principal delito que se comete con tarjetas actualmente: la falsificación o el robo de datos?

-Un poco todo, pero lo más importante para los delincuentes son los datos con los que pueden cometer fraudes, sea por Internet o creando tarjetas a partir de datos robados. Su objetivo suelen ser sitios que manejan cantidades interesantes de datos, como autopistas, cadenas de restaurantes, centros comerciales...

-¿El banco se hace responsable si nos roban los datos?

-Los bancos están asegurados y, si se detecta un fraude, aquella cantidad nos la pagarán, pero nosotros debemos actuar de forma segura también: tener un PIN en el teléfono y otro en la tarjeta SIM, si la usamos como monedero.

-Ustedes se muestran muy interesados en el uso del teléfono para comprar, pero hace más de 10 años que se habla de esto y sigue sin verse en la calle. ¿Se verá algún día?

-De chips se hablaba en el 2000 y no se empezó a implantar hasta 2009. En el uso del teléfono como monedero, ahora empieza a ir algo más rápido, pero la población que lo use llevará siempre una tarjeta de crédito en el bolsillo, "por si falla". La siguiente generación ya no, sólo usará el teléfono para pagar. Es algo muy vinculado al tema generacional. Mi madre prefiere pagar con dinero que con tarjeta, en cambio yo lo pago todo con tarjeta.

-¿Y qué pasa si te roban el móvil o interceptan la comunicación inalámbrica del teléfono con el terminal de pago?

-Las tarjetas "contactless" se leen a muy poca distancia, prácticamente tendrían que tocarte para interceptar la comunicación. En cuanto a robarte el teléfono, si lo tienes bien protegido, con PIN en el teléfono y la SIM, es difícil que puedan coger tus datos. La operación de compra no pasa por el sistema operativo del aparato, sinó que se hace directamente con la SIM, cuyo sistema operativo es seguro, opera de forma independiente y cifra la información.

-¿Cómo comprueban que una SIM es segura?

-Lo marca la certificación Common Criteria para productos con un nivel elevado de seguridad, que da el gobierno: la SIM se desarrolla en un entorno seguro, el acceso directo a la información se hace sólo en un sitio concreto, protegido con cortafuegos y otros elementos de seguridad. Además, no todo el mundo puede trabajar en esto, se evalúa a los trabajadores. Cuando el código ya está desarrollado, un laboratorio externo lo audita.

-¿Podrían meter un troyano en una tarjeta SIM?

-Es muy difícil. Para poder cargar este código debería ser indetectable durante todo el proceso de auditoría a que se somete la SIM. Y, una vez está certificada, se firma el código, de forma que si alguien lo cambia nos daríamos cuenta.

-250 cámaras apuntándote también deben ayudar a no cometer delitos...

-Más que las cámaras, que están bien para tener una evidencia de qué se hace, hay otras medidas, como que algunas cosas sólo se puedan hacer con dos personas, en paralelo. Por ejemplo contar tarjetas: si uno quiere llevarse un par no podrá, porque al otro no le saldrá la cuenta. Muchas medidas de seguridad son requerimientos dictados por las certificaciones que estamos obligados a cumplir. Desde otro punto de vista, es un seguro para los trabajadores, garantiza que no tendrán problemas porque, si tengo unas cámaras que me graban, el día que algo vaya mal puedo demostrar que no ha sido cosa mía.



Mercè Molist