El pago por proximidad ha supuesto una auténtica ruptura con la forma tradicional de utilizar los medios de pago.
Durante décadas, pagar con tarjeta implicaba introducir físicamente la tarjeta en un cajero o en un datáfono, teclear el PIN y esperar a que el terminal leyera el chip. La llegada del contactless eliminó ese gesto mecánico y, sobre todo, introdujo un nuevo paradigma: ya no es necesario que el medio de pago “toque” el lector de forma activa, basta con acercarlo.
Esta transición, aparentemente menor, cambió por completo la experiencia de pago, redujo tiempos en caja, normalizó la tokenización de credenciales y abrió la puerta a que el teléfono móvil se convirtiera en un instrumento financiero.
A partir de ese momento, el ecosistema dejó de estar centrado exclusivamente en la tarjeta física y pasó a integrar plataformas de pago móvil desarrolladas por compañías como Apple y Google, apoyadas, a su vez, en las redes internacionales de pago de Visa y Mastercard.
Las ID que se crean desde el teléfono o la tarjeta con el datáfono
Cuando se paga por proximidad, ni la tarjeta ni el teléfono envían directamente el número real de la tarjeta al datáfono. En ambos casos se generan identificadores dinámicos, comúnmente denominados tokens o credenciales sustitutas, que representan a la tarjeta real dentro de una transacción concreta.
En el caso de la tarjeta física sin contacto, el chip EMV integrado contiene claves criptográficas que permiten generar, para cada operación, un identificador de transacción único. El datáfono recibe ese identificador junto con datos criptográficos que permiten a la red de pago validar que la tarjeta es legítima y que la operación no ha sido manipulada.
En el pago con teléfono, el proceso es conceptualmente similar, pero con una capa adicional de virtualización. La tarjeta real se sustituye por una tarjeta digital almacenada en un entorno seguro del dispositivo o en un elemento seguro gestionado por el sistema operativo. A partir de esa tarjeta virtual se generan identificadores de pago de un solo uso que se transmiten al datáfono mediante la interfaz de proximidad. El comercio y la red de pago nunca reciben el número real de la tarjeta, sino ese identificador temporal que solo es válido para esa operación.
La diferencia clave es que, en el móvil, la creación de la ID de pago está condicionada por la autenticación del usuario. El sistema no libera la credencial si antes no se ha validado la identidad mediante huella, reconocimiento facial o código de desbloqueo.
Ventajas e inconvenientes en cada caso
Pagar con tarjeta por proximidad destaca por su simplicidad operativa. No requiere batería, ni sistema operativo, ni actualizaciones de software. La experiencia es homogénea en cualquier comercio y el tiempo de transacción es muy bajo. Desde el punto de vista de disponibilidad, la tarjeta sigue siendo el medio más fiable: funciona incluso cuando el teléfono no está operativo o no se dispone de conectividad.
Sin embargo, la tarjeta física tiene una limitación estructural en materia de control de uso. En importes bajos no suele exigirse PIN, por lo que cualquier persona que disponga de la tarjeta puede iniciar pagos hasta que el sistema solicite verificación adicional. Además, la gestión de límites, bloqueo o revisión de transacciones depende casi siempre de aplicaciones externas del banco.
El pago con teléfono aporta una capa de control adicional. Cada transacción suele requerir autenticación local del usuario y la credencial de pago está ligada al propio dispositivo. La revocación del medio de pago es más inmediata, ya que se puede desactivar la tarjeta virtual sin afectar a la tarjeta física y, en muchos casos, incluso borrar remotamente las credenciales del teléfono. Como contrapartida, el sistema depende del correcto funcionamiento del hardware, del sistema operativo y de la batería. También existe una mayor complejidad técnica, lo que incrementa la superficie de dependencia del proveedor de la plataforma.
Cuál es más difícil de clonar
Desde un punto de vista estrictamente técnico, ninguno de los dos sistemas transmite el número real de tarjeta durante el pago por proximidad. En ambos casos se utilizan identificadores dinámicos y criptografía fuerte. No obstante, el riesgo práctico de clonación es distinto.
La tarjeta sin contacto es un objeto pasivo. Aunque el chip está diseñado para impedir la extracción de claves internas, su uso no está ligado a la identidad del portador en cada operación. Si un atacante consigue hacerse con la tarjeta física, puede intentar realizar pagos de bajo importe sin ningún factor adicional de autenticación. La clonación completa del chip es extremadamente compleja, pero el uso fraudulento por posesión es relativamente sencillo.
En el teléfono, la credencial de pago está protegida por un entorno seguro y, además, por la autenticación biométrica o por código. Para poder generar la ID de pago válida es necesario superar primero esa autenticación local. Esto introduce un segundo factor inherente al dispositivo que no existe en la tarjeta. Incluso aunque un atacante lograse interceptar una ID de transacción, esta no podría reutilizarse, ya que está diseñada para un único uso.
Por tanto, en la práctica, el pago con teléfono es más difícil de clonar y, sobre todo, más difícil de reutilizar de forma fraudulenta, porque combina tokenización, aislamiento de claves y verificación explícita del usuario antes de cada operación.
