¿Qué es un Número de Tarjeta de Crédito?

Qué es un número de tarjeta de crédito

Un número de tarjeta de crédito es la secuencia única de dígitos asignada a una cuenta de tarjeta de crédito que identifica al emisor de la tarjeta, la cuenta del titular e incluye un dígito de control para la detección de errores. Para la mayoría de las tarjetas de crédito es un número de 16 dígitos, aunque American Express usa 15 y otros tipos pueden variar.

En la industria de pagos, el número de tarjeta de crédito se conoce formalmente como Primary Account Number (PAN, Número de Cuenta Principal). Es el identificador más importante de cualquier transacción con tarjeta: el número que vincula una compra con una cuenta concreta en un banco concreto.

Cómo se estructura el número

Un número de tarjeta de crédito no es aleatorio. Cada parte lleva información específica que los sistemas de pago usan para enrutar y validar las transacciones.

El primer dígito: identificador de industria

El primer dígito indica el sector industrial que emitió la tarjeta. Las tarjetas que empiezan por 4 son Visa. Las que empiezan por 5 (o en el rango 2221-2720) son Mastercard. Un 3 inicial indica American Express, Diners Club o JCB. Las que empiezan por 6 suelen ser Discover o UnionPay.

El BIN: número de identificación bancaria

Los primeros seis a ocho dígitos forman el Bank Identification Number (BIN), a veces también llamado Issuer Identification Number (IIN). El BIN identifica al banco o institución financiera que emitió la tarjeta y el tipo de tarjeta: si es una tarjeta de consumo estándar, una tarjeta premium, una tarjeta corporativa o una tarjeta prepago. Los procesadores de pago usan el BIN para enrutar las transacciones al banco emisor correcto.

El número de cuenta

Los dígitos entre el BIN y el dígito de control final son el número de cuenta individual asignado por el banco emisor al titular concreto. Es lo que hace que cada tarjeta sea única dentro de la cartera de un banco.

El dígito de control

El último dígito se calcula con el algoritmo de Luhn, una fórmula matemática sencilla que detecta errores accidentales. Si alguien teclea mal un dígito al introducir su número de tarjeta online o por teléfono, la comprobación de Luhn falla y el sistema rechaza el número antes incluso de llegar a la red de pagos. Esto evita perder tiempo de procesamiento y reduce la probabilidad de que los pagos se apliquen a la cuenta equivocada.

Por qué los números de tarjeta necesitan protección

El número de tarjeta de crédito es la llave que abre la capacidad de gastar dinero de la cuenta de otra persona. En una transacción sin presencia de tarjeta —online, por teléfono o por correo—, el número de tarjeta, junto con la fecha de caducidad y el código de seguridad, suele ser todo lo que hace falta para hacer una compra. Sin PIN, sin firma, sin verificación de chip.

Esto hace que los números de tarjeta sean enormemente valiosos para los criminales. Se trafican en mercados de la dark web, se recolectan mediante ataques de phishing, se roban en brechas de datos y se capturan a través de malware. Una sola brecha de datos en un gran minorista puede exponer millones de números de tarjeta de una sola vez.

PCI DSS existe específicamente para proteger los números de tarjeta de crédito (y otros datos del titular) allá donde se almacenan, procesan o transmiten. El estándar trata el número de tarjeta como el elemento de datos primario que define el alcance: si un sistema maneja números de tarjeta, PCI DSS se le aplica.

Números de tarjeta de crédito y pagos telefónicos

Los pagos telefónicos presentan un conjunto único de retos para proteger los números de tarjeta de crédito. Cuando un cliente llama a un negocio para hacer un pago, el número de tarjeta tiene que ir del cliente al procesador de pagos. Cómo ocurra eso determina el riesgo de seguridad y la carga de cumplimiento.

El enfoque tradicional

En el modelo tradicional, el cliente lee en voz alta su número de tarjeta al agente, que lo teclea en un terminal virtual o un sistema de pago. Esto expone el número de tarjeta en varios puntos: el audio de la llamada (que el agente oye y la grabación captura), la pantalla del agente, el teclado del agente, el sistema operativo del puesto y la red local. Cada uno de estos es un punto potencial de compromiso y cae dentro del alcance de PCI DSS.

El enfoque seguro

Con la tecnología de enmascaramiento DTMF, el cliente introduce su número de tarjeta en el teclado del teléfono en lugar de decirlo. Los tonos del teclado se enmascaran antes de llegar al agente, y los dígitos se envían directamente al procesador de pagos. El agente no oye, ni ve, ni maneja nunca el número de tarjeta. Las grabaciones de llamada no contienen rastro de él. Todo el entorno del agente queda fuera del alcance de PCI DSS.

Este enfoque preserva el elemento humano de la llamada telefónica —el agente sigue en la línea, guiando al cliente y respondiendo preguntas— mientras asegura que el número de tarjeta queda protegido en cada paso.

Almacenar números de tarjeta de crédito

Almacenar números de tarjeta de crédito está permitido bajo PCI DSS, pero con requisitos estrictos. El número debe ser ilegible mediante cifrado, tokenización, truncado o hashing. El acceso debe restringirse a quien tenga una necesidad de negocio documentada. Los periodos de retención deben estar definidos y aplicarse: no debes conservar los números de tarjeta más tiempo del que de verdad necesites.

Para la mayoría de los negocios, el enfoque más seguro es no almacenar números de tarjeta de crédito en absoluto. Si necesitas referenciar una transacción o la tarjeta de un cliente, usa un token o los últimos cuatro dígitos. Si necesitas procesar pagos repetidos, usa tokenización a través de tu procesador de pagos para que el número real se quede en su bóveda segura, no en tu base de datos.

Mostrar números de tarjeta de crédito

PCI DSS exige que cuando se muestre el número de tarjeta —en pantalla, recibo, informe o extracto— esté enmascarado, mostrando como mucho los seis primeros y los cuatro últimos dígitos. En la práctica, la mayoría de las organizaciones muestran solo los últimos cuatro, que es suficiente para que el cliente identifique qué tarjeta se usó sin exponer información suficiente para el fraude.

Esto aplica a cualquier contexto donde el número pueda aparecer: pantallas de agentes, recibos para el cliente, confirmaciones por correo, informes de gestión y logs de transacciones. El principio es sencillo: nadie debería ver el número completo de tarjeta a menos que haya un motivo de negocio específico y documentado, y aún en ese caso, el acceso debe registrarse y vigilarse.

Qué hacer si sospechas que se ha producido un compromiso

Si crees que los números de tarjeta de crédito pueden haberse visto comprometidos —por una brecha de datos, una amenaza interna o por cualquier otro motivo—, el tiempo es crítico. Notifica de inmediato a tu banco adquirente y a tu procesador de pagos. Te guiarán por el proceso de respuesta a incidentes, que puede incluir contratar a un PCI Forensic Investigator (PFI), notificar a los titulares afectados e implementar medidas de seguridad adicionales. Retrasar la notificación lo empeora todo: para los titulares, para tu negocio y para tu posición regulatoria.