¿Cómo funcionan Google/Apple Pay y por qué tan pocas personas pueden usarlos en Chile?
El futuro está aquí. Bueno…ni tan futuro, ni tan aquí. Apple Pay fue lanzado en 2014 y Google Pay el 2015 ¿Por qué ha demorado tanto la introducción en Chile de estas billeteras digitales?
Para responder esa pregunta tenemos que profundizar sobre cómo funciona esta tecnología (que incluye la tokenización de tarjetas, algo super importante) y las consecuencias de negocio empezarán a emerger de manera natural.
Empecemos. Es importante que sepas cómo funciona la industria de tarjetas en el mundo y (próximamente) en Chile. Resumiendo: Además de los actores obvios en una compra (tú como tarjetahabiente y el comercio que recibe el pago) hay otros 3 actores: la red (o marca) de tarjetas (Mastercard , Visa, etc), el banco emisor (que te dio la tarjeta) y el banco adquirente (con el que el comercio tiene su cuenta donde recibe los pagos). Le llaman “el modelo de 4 partes” (en realidad son 5, pero la red de tarjeta no se cuenta como una “parte”)
¿Qué rol juega Google o Apple en este modelo? La sorprendente respuesta es que tratan de ser lo más invisibles posible en las compras presenciales, manteniendo el modelo básicamente igual.
De hecho cuando pagas con Apple Pay o Google Pay, puedes dejar tu teléfono completamente offline (sin datos 4G ni wifi) y funciona perfecto. El teléfono hace básicamente lo mismo que hace tu tarjeta de crédito contactless (que tampoco tiene wifi). Lo que es genial porque así se aseguran de funcionar en cualquier comercio con lector de tarjeta contactless sin necesidad de que el adquirente o el comercio agreguen algo especial.
Una consecuencia importante: Es falso que CMR se estaría saltando a Transbank al proveer Google Pay en pagos presenciales. ¡No puede! CMR es el emisor, y no controla quien es el adquirente del comercio. Cuando pagas con Google Pay en un restaurant hoy Transbank (el adquirente del restaurant) procesa esa transacción y la lleva a CMR, sin saber que era una transacción originada por la billetera digital.
“Aaaah, entonces es tan simple como que el teléfono lee mi tarjeta de crédito y luego cuando pago con el teléfono usa la misma info que leyó para enviarla”
No. Ojalá fuera tan simple (y este artículo más breve). Pero no.
En realidad gracias a la tecnología de tokenización estas billeteras son capaces de tener una especie de tarjeta virtual que es completamente diferente de lo que envía tu tarjeta de crédito “real” cuando pagas con ella.
Pero antes de explicar de qué se trata esa tokenización (lo que es clave para llegar al punto de por qué no tenemos Apple Pay y casi nadie tiene Google Pay) tenemos que mirar por qué esa idea de “copiar” la tarjeta para pagos contactless no funciona.
Tarjetas de Crédito, Tecnología y Fraude: Una Breve Historia.
Hagamos un breve desvío hacia la historia de la tecnología de pago presencial y su relación con el posible fraude hacia el tarjetahabiente (que otra persona compre haciéndose pasar por ti). Porque no queremos que las billeteras digitales te expongan al fraude, ¿cierto? 😬.
Acá vamos:
Ancient History: En los muy viejos tiempos tu tarjeta de crédito era literalmente copiada por el comercio, quien mandaba esos números después a la red (vía el adquirente) para que ojalá hubieran fondos en tu cuenta.
Posibilidad de fraude: altísimo, llegar y copiar los numeritos.
Dato curioso: Por razones que sinceramente no entiendo, algunas industrias siguen en la antigüedad y te piden una tarjeta que copian. La primera vez que arrendé un auto no podía creer que me estaban fotocopiando la tarjeta como si nada 😱. Pero por otro lado, esta inseguridad original basada en la buena fe es la raíz del modelo que permite a los tarjetahabientes informar al emisor que desconocen una compra (generando lo que se conoce como un contracargo o chargeback). Luego son los comercios los que tienen que demostrar que la transacción realmente ocurrió con el consentimiento del tarjetahabiente. En Chile es poco conocido y muy poco usado ese mecanismo. Pero en otros países la gente incluso llega a usar estos contracargos cuando no le gustó el servicio que recibió.
(También por esta razón es mala idea vender bitcoins y que te paguen por ellos con tarjeta de crédito)
Middle Ages: Con la aparición de dispositivos electrónicos y redes de comunicación se inventaron los lectores de tarjeta con banda magnética que enviaban… bueno, envían hasta hoy los números de tu tarjeta de crédito tal cual. O sea agregamos tecnología para transferir la información digitalmente, pero nada cambia en respecto a la antigüedad: hacemos una “copia” de la información de la tarjeta y se envía no más. Por eso son fáciles de clonar: es copiar y pegar la info que está en tu banda magnética en otra banda magnética.
Y si crees que el PIN te agrega mucha seguridad, la verdad es fácil de saltar: basta que te pasen un POS intervenido para que además de copiar la info de la banda magnética también grabe lo que se digita en su teclado. Deslizas la tarjeta, digitas tu PIN y listo, los malos de la película tienen lo necesario para clonar tu tarjeta y autenticarse con tu PIN.
Posibilidad de fraude: alto, llegar y copiar los numeritos si tienes como leer y escribir bandas magnéticas.
Early Modern Age: Las tarjetas con chip son la respuesta razonable a todo este problemita de mandar los números de tu tarjeta de crédito de un lado a otro. ¡Las matemáticas y la electrónica vienen al rescate y nos permiten cifrar y firmar información! ¿Cómo? El chip de tu tarjeta de crédito es “inteligente”: tiene la capacidad de “conversar” con el POS y no simplemente entregar la información que contiene. Entonces el chip tiene información secreta que no está impresa en tu tarjeta y que es básicamente imposible de leer.
Ni tú — ¡que eres dueño de la tarjeta!—, podrás jamás conocer ese secreto 🤯.
Pero tu banco emisor sí conoce el secreto. Cuando crearon tu tarjeta fue el emisor quien puso esa información ahí. De manera que junto con la información sensible (como el número de tarjeta) el chip en la conversación con el POS puede enviar lo que llaman un criptograma: una firma que verifica que la información salió realmente del chip original.
Además ese criptograma incluye el monto de la compra y una marca de tiempo que impide el ataque de un POS adulterado que clone la información mientras “viaja”: El emisor se preocupa de que el criptograma sólo sea válido por una vez y sólo por un breve lapso de tiempo.
Posibilidad de fraude: bajísimo cuando se usan criptogramas y a eso le sumamos protección con PIN. Toda esa tecnología moderna que describimos mas arriba sirve para hacer la tarjeta incopiable. Pero si te la roban, el malo de la película no necesita una copia: tiene la tarjeta original. Ahí entra a jugar el PIN como factor adicional. Y claro, si te robaron la tarjeta después de que digitaste tu PIN en una teclera adulterada entonces sí te puede hacer fraude en el lapso de tiempo que demores en avisar a tu banco.
Dato práctico: Por retrocompatibilidad tu tarjeta además de chip también tiene banda magnética. Cuando deslizas tu tarjeta por la banda magnética retrocediste a la edad media en cuanto a protección contra el fraude. Trata de no deslizar tu tarjeta 😅.
Late Modern Age: Hemos llegado a la actualidad. Donde no hay tanto que contar: La tecnología contactless significa que ese chip inteligente inventado en la era anterior ahora también puede conversar por NFC y no necesita ser insertado en el lector. Pero la “conversación” que tiene el chip con el lector es exactamente la misma. El secreto que tiene tu chip nunca es revelado directamente a nadie.
Posibilidad de fraude: bajísimo cuando se usan criptogramas y a eso le sumamos protección con PIN. Igual que el chip.
De vuelta a Apple/Google Pay: ¿Aún más seguro que la tarjeta con chip o contactless?
Ahora ya sabes por qué Apple Pay y Google Pay no pueden simplemente “copiar” la info de tu tarjeta y emularla enviando esa información. ¡Eso sería clonar la tarjeta!. Las tarjetas con chip las inventaron para que no fuera posible clonarlas. Nadie puede sacar la info secreta de tu chip. Ni siquiera Apple, ni siquiera Google.
Entonces cuando agregas tu tarjeta a tu billetera digital, hay que inventar algo que sea tan seguro como con la tarjeta física. Algo que le permita al emisor conocer un secreto que sólo conoce tu medio de pago (que ahora es tu teléfono, y no un chip).
Por eso no puedes sumar cualquier tarjeta a Google Pay o Apple Pay. ¡Por eso ambos servicios tienen una lista cerrada de tarjetas con las que funcionan! La billetera digital tiene que tener una forma de ir donde el emisor y convencerlo de que el dueño de la tarjeta original es quien está enrolando la tarjeta.
El emisor quizás te mande un SMS, o te pida llamar al call center o te permita autenticarte con su propia app. Hay múltiples métodos. Pero al final, cuando el emisor esté convencido de que tú eres tú, habrá acordado con la billetera un número de tarjeta “virtual” y un nuevo secreto asociado a ese número. Este proceso (y todo lo involucrado para que cuando uses ese número virtual esa compra se cargue a tu tarjeta “real”) usa lo que llamamos tokenización. La billetera solo debe almacenar el número virtual y el secreto asociado de la manera más segura posible.
Dato tech: Aquí Apple hace algo extraordinario. Como controla el hardware, se asegura de guardar el secreto asociado a tu número virtual en un chip seguro (“Secure Element”) especialmente diseñado para este fin y al que ningún componente dentro del software de tu iPhone puede acceder. O sea, imposible de clonar.
Google tuvo que ser más creativo —no es opción forzar a los fabricantes a incluir un chip en teléfonos Android — y se las arregla para guardar los secretos en la nube y agregar múltiples acrobacias para evitar que esto sea un problema de seguridad o de usabilidad (igual puedes pagar offline, porque el teléfono tiene algunos secretos pre-cargados en memoria)
Lo bueno al fin de todo esto es que Google Pay o Apple Pay van a generar siempre criptogramas cuando pagues con la billetera digital. No hay una banda magnética que copiar. Y si llegas a tener un problema, es un número separado de tu tarjeta real, por lo que es trivial anularla y generar un número nuevo. O sea, es en la práctica más seguro usar tu billetera digital que tu tarjeta real*.
*Promoción sólo válida para clientes de CMR con tarjeta Visa y Android con NFC.
¿Por qué no podemos tener cosas bonitas?
A menos que tengas esa combinación de CMR + Visa + Android NFC (o cuenta en un banco extranjero) no puedes disfrutar de esta maravillosa y segura tecnología ahora mismo en Chile. ¿Por qué? Simple: Nuestros emisores no han hecho su parte para que la tokenización que necesita Google/Apple Pay funcione con sus tarjetas.
Por cierto: Las redes como Mastercard y Visa ofrecen servicios de tokenización de acuerdo al estándar EMV definido para este fin. Solo falta el trabajo de integración que debe hacer el lado emisor (y la voluntad y acuerdos comerciales).
¿Por qué la delantera la lleva la tarjeta de un retail y no los bancos? Tal vez es porque CMR tiene más agilidad/autonomía ya que puede autorizar sus propias transacciones mientras los bancos delegan esa tarea en Nexus (igual que Transbank es una empresa de apoyo al giro en que los dueños son los mismos bancos — así como con Transbank delegan y centralizan las labores de adquirentes, con Nexus delegan labores de su rol de emisor y autorizador).
O quizás los bancos no quieran abrirse a estas billeteras porque prefieren impulsar billeteras NFC propias (limitadas a Android), como ya hace Santander (sin mucho éxito a juzgar por los reviews en Google Play).
O para el caso de Apple Pay: simplemente los bancos no quieren pagar la comisión extra que cobra Apple por cada transacción (o a Apple aún no le interesa Chile).
Todo lo que hemos visto muestra cuan difícil es que veamos una Apple Card en nuestro mercado. Porque Apple no se salta a los bancos. Apple necesita un banco partner que sea el emisor de su tarjeta y quien opera la parte financiera. Aún si Apple se interesa en nuestro mercado: ¿Habrá un banco en Chile está dispuesto a hacer la misma jugada que Goldman Sachs hizo en EEUU?
En resumen: Son los emisores (bancos y retail financiero) quienes tienen la llave para que nuestros pagos presenciales tengan una experiencia de primer nivel. Y con la honrosa excepción de CMR, no la están usando.
Update: Desde Julio de 2019 Bci también permite usar Google Pay para tarjetas Visa.
Quizás no importe. Aún está la oportunidad para que los pagos online —también llamados “no presenciales” en la industria, aunque esa etiqueta puede quedar obsoleta muy pronto— permitan que dejemos los plásticos en casa y paguemos de forma segura con nuestro celular. Te contaré de eso en el próximo artículo de esta serie.
Update: Ya salió el siguiente artículo de la serie:
¿Qué rol juegan las billeteras digitales en tu estrategia? En Continuum entendemos de medios de pago y sabemos crear productos y servicios que hacen la diferencia. Escríbenos a hola@continuum.cl y tomémonos un café para conversar del tema.
