Sebastián Vidal de Kuapay nos escribió para comentarnos un par de detalles sobre Coin, la tarjeta pensada para funcionar como otras tarjetas y evitar que tengamos que llevar un montón de ellas en la cartera, que piensa que harán imposible que salga al mercado, al menos tal y como está pensada su implementación actual, aunque cree que la idea es brillante y podría funcionar muy bien.
El primero de los problemas que ve es que el sistema funciona como un clonador de tarjetas, copiando los datos de esta mediante el lector que se conecta al teléfono, y que estos datos se almacenan en los servidores de Coin, que en realidad viven en los servicios en la nube de Amazon.
Estos datos copiados, según el FAQ de Coin incluyen además el CVV, el código de seguridad de la tarjeta.
Pero según nos comenta Sebastián el reglamento sobre almacenamiento de datos de tarjetas, conocido como PCI DSS, dice que en ningún momento se pueden almacenar ni los datos de la banda magnética mi el CVV aunque estén cifrados, así que prevé que Mastercard, Visa y similares probablemente se le tirarán al cuello a Coin más bien temprano que tarde.
Podría salvarles –y habría que verlo– si Coin cambiara su implementación y en lugar de subir los datos de las tarjetas a la nube estos se quedaran sólo en el teléfono.
Pero está el problema adicional de que la tarjeta Coin propiamente dicha muestra en su pantalla los cuatro últimos dígitos de cada una de las tarjetas que almacena en cada momento, su fecha de caducidad, y el CVV, aún cuando este código, de nuevo según el reglamento PCI DSS, sólo puede estar vivo durante una transacción y no puede ser almacenado de ninguna manera.
En cualquier caso en general Sebastián dice que clonar una banda magnética no le parece una buena idea, pues en cuando esa secuencia de bits acaba en Internet dejas de tener control absoluto sobre ella y puede pasar lo mismo que con las fotos o vídeos que se hace la gente en cueros, que acaban donde uno menos se espera.
Otro problema adicional que ve Sebastián con Coin es que aunque dicen estar trabajando para ser compatibles con el estándar EMV que se usa en Europa para tarjetas con microprocesadores bajo EMV los datos van cifrados desde el chip de la tarjeta hasta el autorizador de tal forma que tan siquiera el TPV los ve, con lo que le parece imposible que Coin pueda llegar a soportarlo.
Así que habrá que ver qué pasa con el proyecto y si la gente que ya ha pagado por su Coin no se queda con nada; no sería la primera vez que pasa algo parecido.
Habrá que ver también si los comerciantes, como se puede leer en Coin Wants to Fix the Way We Pay — But Is It Really Broken?, aceptarán una tarjeta que no saben muy bien lo que es y que desde luego no lleva los logos ni las holografías que identifican a las tarjetas de verdad como tarjetas de verdad.