Billeteras digitales y el mito de “solo Apple Pay hace esto”

John Gruber tiene unas palabras selectas para Merrick Garland y su equipo, pero este párrafo me pareció especialmente interesante:

Apple Pay a través de Wallet enmascara tus números de tarjeta de crédito reales, que los minoristas infamemente usan para rastrear a los clientes. Es mucho más privado que usar tu tarjeta de crédito en sí misma. Dudo mucho que algún banco o emisor de tarjetas de crédito lo haga por sí mismo si se le da acceso al pago mediante NFC.

¿Pagos dices? ¡Mi especialidad!

Primero, esta enmascaramiento se refiere al DPAN, que es distinto del FPAN.

Ahem, disculpen la jerga, pero es importante entender lo que está sucediendo, así que déjenme explicar.

El FPAN es el “número de cuenta primaria completo” y es el número de 15-18 dígitos impreso en tu tarjeta física. El DPAN es tu “número de cuenta primaria de dispositivo”.

Imagina el DPAN como algo así como registros DNS. Cuando escribes “birchtree.me” en tu navegador, el navegador puede determinar con qué dirección IP está relacionado este dominio y te dirige allí. Puedo mantener mi sitio web físicamente en el mismo lugar en la misma dirección IP, pero puedo cambiar el dominio a birchtree.com o wigglewobble.org y los navegadores sabrán qué hacer sin que el usuario necesite saber la dirección IP involucrada.

Esto puede ser la forma más friki de explicar los DPANs, pero conozco a mi audiencia, así que creo que esto puede haber ayudado al menos a algunos de ustedes. Tu misma tarjeta utilizada a través de Apple Pay en tu iPhone y iPad mostrará diferentes DPANs, ya que cada dispositivo obtiene su propio número.

Es notable que se llame DPAN y no “el número de Apple Pay” – es un término genérico, y eso es porque esta es una característica estándar de billeteras digitales en todas partes, no solo de Apple Pay. Google Pay y Samsung Pay son las otras billeteras digitales más grandes en EE.UU. y ambas hacen exactamente lo mismo. Aunque técnicamente no esté utilizando un DPAN ya que el pago se realiza a través de diferentes empresas, los botones de Amazon Pay y Shop Pay también enmascaran el número completo de la tarjeta real (FPAN) a los comerciantes.

LEAR  Google Maps hace rápido y fácil encontrar estaciones de carga para vehículos eléctricos.

Siento que esto se menciona mucho, pero no puedo enfatizar lo suficiente lo poco que los comerciantes quieren manejar nunca nunca nunca tu número de tarjeta de crédito real. Añade mucho riesgo en su extremo y las herramientas modernas de aceptación de pagos facilitan la recolección de detalles de pago de una manera que asegura que la menor cantidad de personas posible tengan acceso a la información real de la tarjeta.

Gruber menciona que los bancos absolutamente no quieren usar DPANs por sí mismos, pero en realidad no necesitamos especular sobre esto, ya tenemos esta información. Numerosos bancos desde Walls Fargo hasta Chase hasta Bank of America tienen (o tenían) billeteras digitales, todas las cuales utilizaban DPANs para proteger tu número de cuenta en texto plano. Paze es lo que algunos de los principales bancos de EE.UU. usan hoy en día y, por supuesto, también utiliza DPANs. De hecho, la principal razón que dan para que uses Paze es, “Paze no comparte tu número de tarjeta real con el comerciante”.

Sobre el seguimiento de clientes

Luego está el problema del DPAN que cambia en cada transacción, que no fue mencionado por Gruber, pero que veo que la gente está comentando. Sin embargo, esto no es realmente cierto.

Una versión anterior de esta publicación sugería que el DPAN cambia entre comerciantes, pero fue un error. Me sirve bien por sacar esta publicación demasiado rápido. En serio, mi error.

El DPAN siempre es el mismo para transacciones posteriores en el mismo comerciante. Así que sí, aunque esto puede dificultar que los intermediarios de datos compren fácilmente datos de transacciones de varios comerciantes y descubran tendencias de compras en esos comerciantes, no impide que un solo comerciante vea tu historial de transacciones con solo el DPAN proporcionado por Apple Pay. Si la historia de Target de hace tiempo sobre Target sabiendo que un adolescente estaba embarazada basado en su historial de compras en Target, Apple Pay no impide que alguien como Target pueda hacer ese seguimiento. Y sí, es lo mismo con las otras billeteras digitales por ahí.

LEAR  El Macintosh Color Classic trae finalmente el color: Hoy en la historia de Apple

Una cosa final a tener en cuenta sobre los DPANs es que son mucho mejores para ti como cliente en caso de una violación de datos. Ningún comerciante debería estar manejando directamente tu número de tarjeta de crédito en 2024, pero digamos que se hackea la pasarela de pagos y se filtran el DPAN y la fecha de caducidad de una transacción que realizaste en una tienda. En ese caso, el atacante no podría hacer nada con tu DPAN que adquirió porque los DPANs solo funcionan cuando se envían como parte de un paquete encriptado que es único para cada transacción. Hay una forma de realizar transacciones recurrentes en una tarjeta recopilada a través de Apple Pay, pero eso no debería ser posible para un hacker y ahora estamos entrando un poco en detalles técnicos, así que digamos que tu FPAN en una violación de datos es mucho peor que tu DPAN que es recopilado por todas las billeteras digitales.

Información personal en Apple Pay

También hay una idea que veo a veces (de nuevo, no en la publicación vinculada de Gruber, pero que quiero aclarar de todos modos) de que Apple Pay oculta tu información personal. Eso simplemente no es cierto.

Como soy un bloguero muy comprometido, en realidad realicé una transacción real de Apple Pay en una de mis cuentas de prueba de comerciantes (pero que realizan transacciones muy reales) y miré los informes a nivel de comerciante al respecto. Esto es lo que veo como comerciante para esta transacción con Apple Pay:

He borroso una buena cantidad de información porque es mi dirección de facturación y domicilio real, así como mi nombre completo y dirección de correo electrónico.

LEAR  Cómo usar Traducir con el botón de acción en iOS 17.2

Y si lo piensas, ¡por supuesto que esa información estaría ahí! En este ejemplo, mi página de pago era para un artículo físico, por lo que necesitaba la información de envío del cliente. El SDK de Apple Pay me permite elegir qué información personal quiero obtener del cliente, y es para este tipo de situaciones exactas.

Oh, y la información del producto se puede pasar a Apple Pay para mostrarte lo que estás comprando, y esa información también se envía al comerciante. Nuevamente, por supuesto que es así, ya que el comerciante necesita saber qué compraste.

Básicamente, cuando esa tarjeta de Apple Pay aparece cuando estás pagando, espera que todo en esa tarjeta se envíe al comerciante. De esa manera es justo como todas las demás formas de pago; el comerciante elige cuánta información personal quiere o necesita recopilar, y Apple Pay no les impide pedirte eso al momento de pagar.

Y sí, así es como funcionan otras billeteras digitales.

Conclusión

Espero que lo que saques de esta publicación sea que aunque Apple Pay es una excelente forma de pagar cosas y que Apple hizo un gran trabajo popularizando billeteras digitales como esta, lo que hacen no es único en la industria. Los DPANs son excelentes para dificultar el seguimiento de las compras de una persona en varios comerciantes y hacen que los clientes estén menos en riesgo en caso de una violación de datos de la información de la tarjeta de pago.

Ninguno de nosotros puede saberlo todo sobre todo, y no creo que sea razonable esperar que todos conozcan todos los detalles sobre cómo funcionan las billeteras digitales. Por eso encuentro oportunidades como esta tan útiles; puedo compartir más información que la mayoría en este nicho de Apple, y espero que sea informativo.