Riesgos de enviar tarjetas de débito/crédito por correo convencional

Si un banco envía una tarjeta de crédito/débito en un sobre, ¿no existe el riesgo de que en algún lugar del camino se escanee el sobre y se extraiga el número de la tarjeta, la fecha de vencimiento y el código CVV?

Por lo que puedo decir, no hay protección contra escanear un sobre sin abrirlo.

Por escaneo me refiero a usar fuentes de luz para leer los números, la fecha y el CVV. No me refiero al escaneo NFC ya que probablemente no tenga ningún sentido dado que las tarjetas no están activadas, aunque no está claro si hay un vector de ataque NFC aquí.

Si bien los datos extraídos no se pueden usar de inmediato, una vez que el propietario activa la tarjeta, existe la posibilidad de que los datos se usen de manera fraudulenta, siempre que las compras por Internet estén habilitadas para la tarjeta. ¿O me estoy perdiendo algo?

Esta pregunta está fuera de tema porque se trata de riesgos para un banco. Si alguien roba la información de su tarjeta de crédito mientras se la envían por correo, eso no es diferente a cualquier otro problema de fraude con tarjeta. Siempre harás lo mismo; denunciar el fraude, esperar a que llegue una nueva tarjeta por correo; enjuagar; repetir.
@NathanL pero es su tarjeta, y supuestamente corre el riesgo de que le quiten dinero de su cuenta.
@NathanL: la intención de mi pregunta es identificar si hay un vector de ataque; entiendo que lo hay, y quería confirmarlo y evaluarlo con precisión para entender cómo se puede mitigar, por ejemplo, en caso de que Tengo la intención de usar la tarjeta exclusivamente para compras por Internet, entonces podría querer obtener una tarjeta virtual sin ninguna tarjeta física que eliminaría este vector de ataque específico.

Respuestas (2)

Por lo que puedo decir, no hay protección contra escanear un sobre sin abrirlo.

Esto solo sería cierto para sobres muy delgados. Las tarjetas de crédito se entregan en sobres de "acciones comerciales" que son bastante opacos. Además, la tarjeta normalmente se adjunta a un trozo de cartón ligero, que se dobla con la tarjeta en el interior. Además, la tarjeta de crédito en sí es opaca, lo que significa que no puede hacer brillar una luz intensa a través de la tarjeta para tratar de proyectar la información por el otro lado.

Un ataque más probable sería simplemente robar la tarjeta, conocer el número de teléfono de la víctima y luego activar la tarjeta mientras se hace pasar por una llamada de ese número. Desafortunadamente, suplantar el número de teléfono es un truco bastante común para los hackers telefónicos.

Todo el sistema de tarjetas de crédito está protegido principalmente al detectar y desactivar rápidamente las tarjetas que se utilizan de manera fraudulenta. No hay necesidad de pensar en trucos técnicos elaborados para robar cartas. Cada vez que paga con una tarjeta en un restaurante, entrega su tarjeta física y desaparece de su vista. No hay nada que les impida duplicar la tarjeta y venderla en el mercado negro. Nada de eso es excepto el hecho de que la compañía de la tarjeta detectará rápidamente el uso fraudulento y desactivará la tarjeta. De hecho, este tipo de robo ocurre todo el tiempo , y las compañías de tarjetas de crédito simplemente cobran lo suficiente por sus servicios para cubrir los costos del fraude.

Near Field Communication (NFC) no es compatible con la mayoría de las tarjetas de crédito en los EE. UU.

Con respecto a la opacidad: hoy acabo de recibir una tarjeta de débito transparente y tiene un chip NFC, que es bastante común y ampliamente utilizado en Europa. Y el sobre es muy básico con un solo inserto de cartón delgado (es de un banco de Internet de 'nuevo estilo'). Probé poniéndolo contra mi lámpara de mesa y pude ver que no es 100% opaco.
@ccpizza No estoy seguro de seguir haciendo negocios con ese banco, ya que parecen tener un enfoque bastante informal de la seguridad. Por otro lado, actualicé mi respuesta para señalar que los trucos técnicos y sofisticados para robar tarjetas de crédito son la menor de sus preocupaciones, porque son muy fáciles de copiar y robar en restaurantes y estaciones de servicio. ¿Por qué tomarse la molestia de forzar una cerradura cuando puedes lanzar una piedra a través de una ventana?
Los sobres para tarjetas no solo no son opacos, sino que a menudo tienen una capa adicional en el interior que dificulta la lectura de los números en el interior, como este . Además, (al menos aquí en Hungría), el PIN de la tarjeta siempre se envía por separado, por correo certificado (solo el destinatario puede obtenerlo). La activación se realiza utilizando la tarjeta con un PIN por primera vez o llamando a un banco y utilizando su contraseña bancaria, sabiendo que su número no es suficiente.

una vez que el propietario activa la tarjeta, existe la posibilidad de que los datos se utilicen de manera fraudulenta, siempre que las compras por Internet estén habilitadas para la tarjeta. ¿O me estoy perdiendo algo?

Más allá de la excelente respuesta de Charles E. Grant... notará rápidamente los cargos fraudulentos (porque revisa regularmente los saldos de su cuenta, ¿no?) e instantáneamente llamará al banco, que luego cancelará la tarjeta.

Por supuesto, eso está implícito, dado que recibo notificaciones móviles para cada transacción, pero la pregunta no es qué tan pronto puedo reaccionar ante el fraude, sino si hay un vector de ataque, porque la tarjeta viaja por canales de transporte no seguros y cruza fronteras. .
@ccpizza " pero sobre si hay un vector de ataque ", luego vea la respuesta de Charles (que voté). Si alguna vez recibió su propia tarjeta bancaria, se dará cuenta de por qué sus preocupaciones son infundadas.
Anteriormente recibí un montón de tarjetas por correo y nunca tuve problemas con el fraude, y nunca consideré las implicaciones de seguridad, pero eso no significa que no existan. Creo que ser paranoico con la seguridad es bueno.
La paranoia de @ccpizza no es buena porque, por definición, es un "proceso de pensamiento que se cree que está fuertemente influenciado por la ansiedad o el miedo , a menudo hasta el punto de la ilusión y la irracionalidad ". Además, requiere mucho esfuerzo y es mejor invertirlo en cosas importantes.
Entiendo tu punto, pero no estoy de acuerdo. Trabajo en el desarrollo de software durante muchos años y soy muy consciente de la calidad del software, incluido el implementado por los bancos porque solía trabajar para uno. Miro las noticias de seguridad informática y tengo una idea de la escena. Nunca hago suposiciones sobre la seguridad y, en mi opinión, debemos evitar cualquier suposición cuando se trata de seguridad. Para citar un principio básico de programación: frente a la ambigüedad, rechace la tentación de adivinar .
La vida de @ccpizza no es desarrollo s/w. (He estado en el negocio durante 30 años). Negarse a adivinar cuando se escribe código es inteligente, pero adivinar en la vida cuando se basa en evidencia firme es la única forma de sobrevivir sin que la cabeza explote en paranoia. Tengo pruebas firmes de que la forma en que Chase, BoA y Citi manejan el plástico en el correo es suficientemente buena . Por lo tanto, no tengo que preocuparme por eso. Me deja más tiempo para preocuparme por otras cosas más importantes.
Riesgos de enviar tarjetas de débito/crédito por correo convencional
RespuestasAquíPolítica de privacidad1y, 20v