El lado oculto de las tarjetas de crédito: datos expuestos antes de llegar al usuario

En un ecosistema financiero que presume de seguridad, blindaje digital y protocolos estrictos, existe una contradicción evidente que pocas instituciones están dispuestas a reconocer: los datos de millones de tarjetas de crédito y débito están expuestos incluso antes de que sus dueños reciban el plástico en sus manos. Esta situación, que pone en riesgo a consumidores en todo el mundo, abre interrogantes serios sobre la transparencia y la responsabilidad de bancos, emisores y operadores de tarjetas.

La simple experiencia de cualquier usuario que llama a un centro de atención al cliente revela una verdad inquietante. Antes de que el cliente brinde el número de su tarjeta, el operador ya lo tiene visible en el sistema. Esto implica que los datos completos de la tarjeta —número, nombre del titular, fecha de vencimiento— circulan dentro de plataformas internas a las que acceden múltiples empleados. Cada agente, cada tercerizado, cada operador externo que gestiona atención telefónica o reclamos puede ver esa información sin restricciones aparentes.

La justificación oficial es que esto agiliza la atención y mejora la experiencia del cliente. Sin embargo, la contracara es un sistema donde información altamente sensible se encuentra disponible para un número indeterminado de personas durante el proceso de fabricación, emisión y activación de la tarjeta. Lo más grave es que esta vulnerabilidad sucede aun cuando el usuario jamás tuvo la tarjeta en su poder. Es decir, la filtración no ocurre por descuido del cliente, sino dentro de la cadena interna del propio banco o del emisor.

A esto se suma un elemento técnico que agrava el panorama: el código de seguridad (CVC o CVV). Aunque no aparece registrado en los paneles de los agentes, su protección es sorprendentemente frágil. Al ser un número de solo tres dígitos, basta con probar 999 combinaciones posibles. Para un ciberdelincuente con software de prueba automatizada, esa tarea puede llevar minutos. Esta vulnerabilidad ya ha sido señalada por expertos en ciberseguridad, pero la industria financiera insiste en minimizarla.

El problema no termina allí. En muchos países, cómo Argentina, se ha detectado otro riesgo insólito: tarjetas que llegan al domicilio del cliente ya activadas. Esto significa que el plástico sale habilitado desde el centro de emisión, quedando expuesto durante su traslado, en manos de distribuidores, personal de correo, empleados tercerizados o cualquiera que intercepte el sobre antes de que el usuario final lo abra.

Cuando una tarjeta está activa antes de llegar al consumidor, toda la cadena previa queda habilitada —aunque sea involuntariamente— para realizar compras fraudulentas, insertar datos en la dark web o comercializar la información en mercados clandestinos que hoy funcionan con total normalidad.

Este escenario plantea preguntas que hasta ahora no tienen respuesta pública: ¿Quién controla el acceso interno a la información? ¿Cuántas personas pueden ver el número de tarjeta de un cliente antes de que este la reciba? ¿Qué auditorías existen para supervisar a los empleados o contratistas? ¿Por qué un sistema que se presenta como “seguro” permite que los datos circulen antes de estar en manos de su titular?

Las entidades financieras se apoyan en discursos estandarizados sobre cifrado, protección multicapa y normas internacionales. Sin embargo, la realidad día a día demuestra que la principal vulnerabilidad no está en el usuario, sino en la estructura misma que gestiona la información. Las filtraciones masivas de tarjetas que cada tanto salen a la luz —y que terminan atribuidas a “brechas técnicas” o “incidentes aislados”— exponen una falla sistémica que nadie parece dispuesto a enfrentar de manera transparente.

Mientras tanto, los clientes siguen recibiendo tarjetas cuyo número ya fue visto, almacenado y accesible para una red de empleados. Y cada nueva filtración confirma lo que el sistema pretende ocultar: la seguridad financiera, tal como la conocemos, tiene grietas profundas que comienzan mucho antes del primer uso de una tarjeta.