Grave brecha de seguridad en las pasarelas de pago de las plataformas de comida a domicilio de Baleares

Un usuario de la capital balear demuestra, con pruebas grabadas en vídeo, que es posible realizar pedidos con tarjeta bancaria sin introducir correctamente el código de seguridad, lo que pone en entredicho la protección de las operaciones y la responsabilidad de las empresas implicadas.

Una preocupante brecha de seguridad ha sido detectada en las pasarelas de pago utilizadas por varias empresas dedicadas al reparto de comida a domicilio, según ha podido constatar OKBALEARES  a partir del testimonio y las pruebas aportadas por un usuario residente en la capital balear. El caso, documentado mediante grabaciones realizadas con un teléfono móvil, revela una vulnerabilidad que podría afectar potencialmente a miles de usuarios y comprometer la seguridad de sus datos bancarios.

El incidente se produjo cuando este usuario decidió comprobar el funcionamiento del sistema de pago de una conocida plataforma de pedidos a domicilio. Durante el proceso habitual de compra, la aplicación solicitó los datos bancarios estándar: número de tarjeta, fecha de caducidad y código de validación o seguridad (CVV). Hasta aquí, nada fuera de lo común. Sin embargo, con el objetivo de poner a prueba la fiabilidad del sistema, el usuario realizó dos pedidos consecutivos introduciendo de forma deliberada un código de validación erróneo.

El resultado fue tan inesperado como alarmante. En ambas ocasiones, el pedido fue tramitado con normalidad, la comida llegó a su domicilio sin incidencias y los cargos bancarios se realizaron correctamente en su cuenta, a pesar de que el código de seguridad introducido no era válido. Un hecho que, según los expertos en ciberseguridad consultados, no debería producirse bajo ningún concepto en un sistema de pago que cumpla con los estándares mínimos de protección.

«Estamos ante un fallo muy serio», explica un especialista en seguridad digital. «El código CVV es uno de los principales mecanismos para verificar que quien realiza la compra tiene físicamente la tarjeta. Si el sistema no comprueba ese dato, la puerta al fraude queda prácticamente abierta». Tras constatar la vulnerabilidad, el usuario decidió ponerse en contacto con la empresa gestora de la plataforma de pedidos para informar de lo ocurrido y solicitar explicaciones.

La respuesta, según la comunicación escrita a la que ha tenido acceso este periódico, fue tajante: la compañía aseguró que su plataforma funciona correctamente y que la responsabilidad recae en la entidad bancaria, a la que corresponde verificar los datos introducidos durante la transacción.
Desde la empresa de reparto se desvinculan así de cualquier posible fallo, trasladando la responsabilidad al banco emisor de la tarjeta.

Sin embargo, fuentes del sector financiero recuerdan que las pasarelas de pago y las plataformas intermediarias tienen también la obligación de aplicar controles de seguridad adecuados y de cumplir con la normativa europea de pagos, incluida la directiva PSD2, que refuerza la autenticación del cliente.

Este cruce de responsabilidades, en el que «unos se pasan la pelota a otros», deja al consumidor en una situación de indefensión. Mientras tanto, el caso demuestra que existe una brecha real que podría ser explotada de manera fraudulenta. Tal y como advierte el propio usuario afectado, cualquier persona que encuentre una tarjeta bancaria en la calle podría realizar pedidos a través de estas plataformas sin necesidad de conocer ni comprobar los códigos de seguridad, generando cargos indebidos y perjuicios económicos para los titulares legítimos.

El riesgo no es menor si se tiene en cuenta el auge de las aplicaciones de comida a domicilio y el volumen de operaciones que gestionan a diario. Millones de transacciones se realizan cada mes confiando en que los sistemas de pago cuentan con las garantías necesarias. La detección de esta vulnerabilidad plantea serias dudas sobre los controles internos de las plataformas y sobre la supervisión de los organismos reguladores.

Por el momento, no consta que se haya abierto ninguna investigación oficial, aunque asociaciones de consumidores consultadas consideran que el caso podría ser constitutivo de una infracción grave en materia de protección de datos y seguridad de las operaciones. «Si se confirma que el sistema permite pagos sin validar correctamente los datos, estamos ante un problema estructural que debe corregirse de inmediato», señalan. El usuario, por su parte, asegura que su intención nunca fue cometer fraude, sino evidenciar un fallo que considera peligroso. «Lo hice dos veces para demostrar que no era un error puntual. Si yo he podido hacerlo, cualquiera puede», afirma.

Este caso vuelve a poner sobre la mesa la necesidad de reforzar los sistemas de pago digitales y de clarificar las responsabilidades entre plataformas tecnológicas y entidades bancarias. Mientras tanto, los consumidores quedan expuestos a una brecha de seguridad que, lejos de ser teórica, ya ha quedado demostrada con hechos.