¿Qué es CVV, CVC o CV2?

CVV (Card Verification Value, Valor de Verificación de Tarjeta), CVC (Card Verification Code, Código de Verificación de Tarjeta) y CV2 son tres nombres para el mismo código de seguridad: los tres dígitos impresos en el reverso de una tarjeta Visa o Mastercard. American Express lo hace de otra forma, con un CID de cuatro dígitos impreso en el anverso. Lo llames como lo llames, la función es la misma. Demuestra que la persona que paga tiene la tarjeta física en la mano, lo que importa cuando nadie puede ver la tarjeta durante una transacción por teléfono o por internet. El código no está en el chip ni en la banda magnética, así que un skimmer no puede capturarlo. PCI DSS prohíbe a los comercios almacenarlo tras la liquidación del pago, sin excepciones.

El CVV (y sus alias CVC y CV2) es la comprobación antifraude más conocida en los pagos sin presencia de tarjeta, y la regla que lo rodea es inusualmente estricta. Otros datos de tarjeta pueden almacenarse cifrados si existe una razón de negocio. El código de seguridad no, punto. Un comercio que lo guarde, aunque sea enterrado en una grabación de llamada antigua, está incumpliendo PCI DSS desde el momento en que se completa la autorización. Por eso los pagos telefónicos son un campo de minas: el cliente lee los dígitos en voz alta, el agente los oye, el grabador los captura, y de repente estás almacenando datos prohibidos sin darte cuenta. El enmascaramiento DTMF esquiva todo el problema dejando que quien llama introduzca el código directamente mientras los tonos se cifran antes de llegar al agente o a la grabación.

Qué es el código

El código de seguridad de tres dígitos del reverso de tu tarjeta es una medida antifraude diseñada específicamente para transacciones sin presencia de tarjeta, situaciones en las que el comercio no puede inspeccionar físicamente la tarjeta. Se conoce con varios nombres según la red de tarjetas:

• CVV (Card Verification Value) Lo usa Visa
• CVC (Card Verification Code) Lo usa Mastercard
• CV2 (Card Verification Value 2) Un término genérico del sector
• CID (Card Identification Number) Lo usa American Express (4 dígitos, impreso en el anverso de la tarjeta)

A pesar de los distintos nombres, todos tienen el mismo propósito y funcionan igual. A lo largo de este artículo usaremos CVV como abreviación, pero todo se aplica igualmente a CVC y CV2.

Dónde encontrarlo

En las tarjetas Visa y Mastercard, el código de seguridad son los últimos tres dígitos impresos en la banda de firma, en el reverso de la tarjeta. En las tarjetas American Express, es un número de cuatro dígitos impreso en el anverso, encima y a la derecha del número principal de la tarjeta.

El código está impreso en la tarjeta, pero no se almacena en la banda magnética, en el chip ni en los datos digitales de la tarjeta. Es una decisión de diseño deliberada: significa que si alguien copia el número de tarjeta mediante skimming o una filtración de datos, aun así no tendrá el código de seguridad. La única manera de obtenerlo es tener la tarjeta física en la mano, o que se lo hayan dicho o mostrado directamente.

Cómo funciona en las transacciones

Cuando haces un pago por internet o por teléfono, el comercio te pide el código de seguridad junto con el número de tarjeta y la fecha de caducidad. El procesador de pagos envía este código al emisor de la tarjeta, que lo comprueba contra sus registros. Si el código no coincide, la transacción se rechaza.

Esto proporciona una comprobación sencilla pero eficaz: si alguien ha obtenido tu número de tarjeta por fraude, es poco probable que tenga también el código de seguridad a menos que tenga la tarjeta física. El código no demuestra identidad sin lugar a dudas, pero eleva considerablemente la barrera para cualquiera que intente usar datos de tarjeta robados.

CVV frente a CVV2

A veces verás referencias a CVV1 y CVV2. CVV1 es un código incrustado en la banda magnética de la tarjeta: lo leen automáticamente los lectores cuando deslizas la tarjeta. CVV2 es el código impreso en el reverso, usado para transacciones remotas. Cuando la gente dice «CVV» en una conversación cotidiana, casi siempre se refiere a CVV2: el código impreso que te piden al comprar online o pagar por teléfono.

Reglas de PCI DSS sobre los códigos de seguridad

PCI DSS tiene reglas estrictas sobre cómo deben manejarse los códigos de seguridad:

• Nunca almacenes el código de seguridad después de que se haya autorizado una transacción: esto se aplica a todos los comercios y proveedores de servicios sin excepción
• El código solo puede usarse para completar una transacción específica
• No debe escribirse, grabarse en el audio de llamadas, almacenarse en bases de datos ni conservarse de ninguna forma tras la autorización
• El almacenamiento previo a la autorización solo se permite si existe una necesidad de negocio legítima y hay controles de seguridad sólidos

Esta regla es uno de los requisitos de PCI DSS que más se incumple, especialmente en entornos de call center donde los agentes pueden anotar datos de tarjeta o donde las grabaciones de llamada capturan al cliente diciendo el código en voz alta. Incluso el almacenamiento temporal —como un agente que apunta el número en un papel antes de teclearlo en la pantalla de pago— constituye una infracción.

Códigos de seguridad y pagos telefónicos

Los pagos telefónicos plantean un reto particular para el manejo del código de seguridad. Cuando un cliente lee su CVV en voz alta por teléfono, el código queda expuesto de varias maneras:

• El agente oye el código y puede recordarlo, anotarlo o exponerlo sin querer
• Los sistemas de grabación de llamadas capturan los dígitos hablados en el archivo de audio
• Las herramientas de monitorización de calidad y de speech analytics pueden procesar y almacenar el audio
• Las herramientas de compartición de pantalla o supervisión que se usan para la gestión del agente pueden mostrar pantallas de pago

La tecnología de enmascaramiento DTMF aborda esto permitiendo que los clientes introduzcan el código de seguridad en el teclado de su teléfono en lugar de decirlo en voz alta. Los tonos se enmascaran antes de llegar al agente, y el código se enruta directamente al procesador de pagos sin almacenarse en ningún punto del entorno del comercio.

Por qué los comercios no pueden almacenar el CVV

La prohibición de almacenar datos del CVV tras la autorización existe por una razón crítica: si los sistemas de un comercio sufren una brecha, los atacantes no deberían poder obtener todo lo necesario para realizar transacciones fraudulentas. El número de tarjeta y la fecha de caducidad pueden quedar comprometidos, pero sin el CVV los datos robados son mucho menos útiles para fraude sin presencia de tarjeta.

Los comercios que almacenan datos del CVV —incluso accidentalmente a través de grabaciones de llamadas o ficheros de log— se enfrentan a consecuencias graves. Pueden incluir multas de las marcas de tarjetas, mayores comisiones de procesamiento, investigaciones forenses obligatorias a cargo del comercio y, en casos extremos, la pérdida total de la capacidad de aceptar pagos con tarjeta.

El futuro de la verificación de tarjeta

Los códigos CVV estáticos tienen limitaciones. Si alguien fotografía el reverso de una tarjeta, tiene el código de forma permanente. Varios emisores ya están experimentando con tecnología de CVV dinámico, en la que el código de tres dígitos cambia a intervalos regulares y se muestra en una pequeña pantalla de e-ink integrada en la tarjeta. Eso vuelve inservibles los códigos robados en cuestión de minutos.

Además, la tokenización y el 3D Secure / SCA complementan o sustituyen cada vez más las comprobaciones de CVV en transacciones online. Sin embargo, para los pagos telefónicos el CVV sigue siendo el método principal de verificar la posesión de la tarjeta, lo que hace que las prácticas de manejo seguro sean esenciales para cualquier negocio que acepte pagos por teléfono.