Archivo de la categoría: Banca Electrónica

Responsabilidad de las entidades financieras por usar medios de autenticación inseguros

3 respuestas

Desde hace unos cuantos años vengo defendiendo que el mensaje que dan las entidades financieras en los casos de phishing no son correctos. No se trata de que «le hayan engañado al cliente por no ser cuidadoso con las claves» sino que «han engañado al cliente porque el sistema de autenticación que ofrece el banco favorece el engaño«.

Efectivamente, la «ingeniería social» diseña engaños que en ocasiones tienen bien poco de tecnologicos, pero que son muy creibles por la escasa interiorización de los usuarios sobre las materias de seguridad en entornos internet. Pero es que los usuarios no tienen por qué ser especialistas, y las entidades financieras deberían definir «experiencias de usuario» comunes con herramientas básicas de seguridad que permitieran a los usuarios detectar cuando están siendo engañados.

El actual enfoque de la banca frente a las redes de phishing se parece al de las gacelas que se plantean escapar del león. No se trata de correr más que el león, se trata de correr más que la gacela más lenta, que es la que sucumbirá en la carrera. Es decir, cada entidad no se plantea resolver el problema, sino dificultar el fraude solo un poco más que la entidad vecina, contando con que los delincuentes se cebarán primero sobre las entidades más expuestas.

Al final perdemos todos. Los clientes por las molestias causadas, y las entidades financieras por la pérdida de credibilidad, que es lo mismo que la pérdida de confianza. El principal activo de las entidades financieras.

Yo llevo muchos años clamando en el desierto por lo que me parece un enfoque reprobable del tratamiento de la seguridad por las entidades financieras (salvo honrosas excepciones como la de Caixa Galicia), y mi principal crítica es que las entidades no hayan sido capaces de consensuar el modelo común de gestión de la seguridad de sus usarios de banca electrónica, pese a las advertencias de los especialistas y los informes emitidos en el marco del CCI (Centro de Cooperación Interbancaria).

Por otro lado, en cierto modo no me extraña. Si cada vez que las entidades se reunen para cualquer tema la Comisión Nacional de la Competencia ve fantasmas de concertación anticompetitiva, se te quitan las ganas de buscar el bien común.

(Otro dia hablaré de mi percepción sobre la «incompetencia» de la Comisión Nacional de la Competencia).

Así que el artículo aparecido hace unos días en El País, tiene, en mi opinión, un carácter agitador imprescindible. En el Banco de España «ya no cuela» el tema de la responsabilidad del usuario, y es preciso ponerse serios con el problema de la seguridad.

(También estoy tentado de escribir un artículo con mis «recetas»)

El artículo, de Piedad Oregui, apareció en la sección salmón de El País el domingo 13 de abril de 2008.

Tirón de orejas para la banca

El Banco de España critica a las entidades financieras por lavarse las manos ante los casos de fraudes electrónicos

El Banco de España lo tiene claro: las entidades financieras no pueden lavarse las manos en lo relativo al fraude electrónico. Su servicio de reclamaciones -las primeras quejas por este motivo comenzaron a recibirse a finales de 2005 y, desde entonces, se han ido acelerando- es contundente. «No parece equitativo ni proporcionado que las entidades eludan sin más su responsabilidad, dirigiendo a sus clientes a los tribunales de justicia y haciendo recaer en los mismos la totalidad de los importes defraudados. No se estima ajustado a las buenas prácticas bancarias que las entidades, al amparo de las cláusulas contractuales que les exoneran de toda responsabilidad, se desentiendan de los problemas de sus clientes sin realizar actividad probatoria alguna que permita determinar lo realmente sucedido; debiendo, en definitiva, demostrar un cierto grado de diligencia en la gestión de estas reclamaciones de sus clientes. Éstos -no debe olvidarse- han depositado en aquéllas no sólo sus fondos, sino también su confianza».

Clientes indefensos

«Las entidades», prosigue el banco emisor, «al hacer recaer en sus clientes toda la responsabilidad, así como la carga de la prueba de haber actuado correctamente, les colocan en una situación de inferioridad e indefensión, cuando son las propias entidades las que les han ofrecido el sistema y han elegido el mecanismo de seguridad que han estimado más conveniente, resultando, por tanto, que cualquier fraude operado pondría en evidencia la debilidad del sistema de autenticación utilizado».

Son varias las razones que el Banco de España aduce para justificar este tirón de orejas a la banca, y ello pese a que, desde su punto de vista, «con carácter general, las entidades de crédito cuentan con medidas de seguridad internas muy eficaces y acertadas a efectos de prevenir y minimizar el fraude electrónico». Para la máxima autoridad monetaria, en primer lugar, «estas medidas, muy importantes en su fin, no son suficientes para eludir los riesgos, pues las actuales sofisticaciones de los fraudes electrónicos superan las posibilidades del cliente medio que, en general, no es un experto en seguridad informática».

En segundo lugar, por razones técnicas: «Es de sobra conocido que los sistemas de autenticación ofrecidos a los clientes de banca electrónica por la mayoría de las entidades de crédito son sistemas débiles o de un solo factor (una clave fija o aleatoria), a pesar de que la mayoría de los expertos en seguridad informática coinciden al señalar que las medidas de autenticación son más eficaces si incorporan dos factores: algo que el cliente conoce (una clave) y algo que el cliente tiene (un token, un teléfono móvil, etcétera). Estos sistemas de doble factor podrían evitar la captura indebida de la firma electrónica y, por consiguiente, el fraude».

En tercer lugar, por una cuestión de información: «Si bien en los contratos se informa al cliente de las condiciones para operar y de las consecuencias que le depararía un uso indebido de sus claves, no se le suele advertir del riesgo de que éstas puedan ser capturadas por los ciberdelincuentes para su posterior uso con fines delictivos ni de que, en este caso, deberá soportar los quebrantos ocasionados». Por último, la reprimenda tiene también un componente de «falta de responsabilidad». «Tampoco podemos olvidar que el usuario de banca electrónica puede acceder a este servicio no sólo desde su equipo en su domicilio sino también desde lugares públicos como bibliotecas, hoteles o cibercafés y, en muchos casos, sin necesidad de un puesto fijo gracias a las redes inalámbricas».

«Algunas entidades dan publicidad a esta facilidad en su página web», prosigue el razonamiento del Banco de España, «destacando que la banca electrónica permite realizar todo tipo de operaciones bancarias a través de Internet desde cualquier lugar en el que se encuentre y a cualquier hora. Dicho esto, puede resultar un tanto incongruente que si la entidad no ha limitado expresamente las vías de acceso a este canal, pretenda que su cliente sea el único responsable de la falta de seguridad del equipo a través del cual se efectuó la operación fraudulenta».

Responsabilidad de la banca

Por último, desde el Banco de España se recuerda que la recientemente publicada Directiva 2007/64/CE del Parlamento Europeo y del Consejo de 13 de noviembre de 2007 sobre servicios de pago en el mercado interior establece: «Cuando un usuario de servicios de pago niegue haber realizado una operación ya ejecutada (o alegue que ésta se realizó de manera incorrecta), corresponderá a su proveedor demostrar que la operación fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico o cualquier otra deficiencia, teniendo en cuenta que la utilización del instrumento de pago registrada por el proveedor no bastará necesariamente para demostrar que la operación fue autorizada por el ordenante, ni que éste actuó de manera fraudulenta o incumplió deliberadamente o por negligencia grave una o varias de sus obligaciones».

Cuadro: Los fraudes más habituales

  • Fraudes derivados de la utilización con fines fraudulentos de las claves operacionales de clientes de banca electrónica, que tienen como resultado la realización de transferencias de fondos de las cuentas de los clientes a las de terceras personas (que se utilizan como intermediarios, comúnmente conocidos como «muleros»), desde las que a su vez se dispone de los fondos, normalmente en efectivo o mediante envío a través de un establecimiento de cambio o de envío de dinero como Western Union, perdiéndose la pista de la operación, lo que dificulta enormemente la localización de los autores de la estafa.
  • Fraudes o timos tradicionales a través de páginas web (ofertas falsas de venta de productos o servicios difundidos a través de una determinada página web).
  • Casos de suplantación de identidad en los que mediante la utilización de documentación robada -DNI, NIE o pasaporte- se abren cuentas o se contratan operaciones a nombre de la persona que ha sido objeto del robo o sustracción.

Los fraudes derivados del uso de claves de acceso y operación en la mayoría de los casos se originan por la captura de dichas claves a través de alguno de los siguientes sistemas:

  • Phishing: a través de un correo electrónico, generalmente enviado de forma masiva, el usuario recibe un aviso de una entidad de crédito que le indica la necesidad de visitar el sitio web de dicha entidad e introducir sus datos de acceso. La dirección desde la que se envía este correo es generalmente manipulada para confundir al usuario aparentando proceder de una cuenta de correo legítima de la entidad. Este correo incluye un link a la URL que el usuario ha de visitar y que le dirige a un sitio web que no se corresponde con el de la entidad afectada, aunque suele presentar un aspecto y funcionalidades similares. Todos los datos introducidos en la página fraudulenta son convenientemente registrados por los responsables del fraude siendo en algunos casos almacenados en algún fichero de la propia web o enviados a una cuenta de correo electrónico.
  • Pharming: de forma similar al phishing, el fraude se produce por la redirección del usuario hacia una página que suplanta la imagen de la entidad de crédito correspondiente y que recoge los datos de acceso a los servicios online introducidos por el usuario. En este caso, la redirección del usuario hacia páginas distintas de la legítima de la entidad no se realiza con técnicas de ingeniería social sino que se debe a una modificación previa del DNS. Los primeros incidentes de este tipo se debían a una modificación en el fichero host del equipo del usuario, pero nuevas variantes apuntan a la utilización de servidores DNS externos comprometidos o a modificaciones en la configuración del router que proporciona al usuario un acceso a Internet por banda ancha. Este tipo de fraude electrónico se aloja por tanto bajo el dominio legítimo de la entidad cuya resolución DNS proporciona una dirección IP distinta de la legítima.
  • Malware bancario (troyanos, keyloggers, etcétera): bajo este epígrafe se enmarcan todos aquellos casos de fraude a través de cualquier tipo de malware. Un ejemplo de mecanismos de este tipo son los keyloggers, que registran las pulsaciones del teclado y las envían para su posterior utilización sin el conocimiento del usuario. Los capturadores de pantalla presentan un funcionamiento y prestaciones similares. Otros códigos maliciosos detectan cuando el usuario accede al sitio web de una entidad de crédito y, de manera local, inyectan el código correspondiente para capturar las claves de acceso que el usuario introduce.
  • Estafa piramidal / hoax / cartas nigerianas y otros timos tradicionales distribuidos por correo electrónico: en todos los casos se trata de intentos de fraude en los que, bajo diferentes estrategias de ingeniería social, el timador pretende convencer al usuario de que le adelante una determinada cantidad de dinero (que, por supuesto, no volverá a recuperar) o sus datos bancarios o personales (que serán posteriormente utilizados por el timador). Suelen distribuirse a través de correos electrónicos enviados de forma masiva.

Fuente: Servicio de Reclamaciones del Banco de España.

 

Nuevas técnicas de phishing

6 respuestas

Santi Casas me pasa este intento de phishing, que tiene algunas características interesantes:

La dirección utilizada como remitente es del dominio del Banco Popular, «avisos@bancopopular.es», con lo que todas las direcciones que respondan con error al no poder entregarse, serán rebotadas a esta dirección del Banco Popular y, por lo tanto, es posible que se enteren directamente del intento de phishing.

La url a la que se accede mediante el enlace también es del banco popular:

«http://www.bancopopular.es/correo/envio2.asp?_MailTo=a@a.a&_SuccessDocument=http://www.oficinamulticanal.com/AppBPE/servlet/servinp_pf=cp_id=espp_pm=bop_et=pa/»

Se aprovechan de la existencia de un código ASP estándar para mandar correos y donde se pasa como parámetro la URL de retorno, que es la del phishing. Esto es un agujero de seguridad de la web del banco, aunque seguramente los «logs» también les permitirá detectar cosas «anómalas».

Finalmente el dominio que utilizan los atacantes «www.oficinamulticanal.com» (marca que utiliza el Banco Popular), está registrado en un registrador americano (www.domainsite.com), con lo que a la policía no le será excesivamente complicado seguirles la pista .

Asunto:

Aviso de Seguridad
De:

Grupo Banco Popular <avisos@bancopopular.es>
Fecha:

Mon, 07 Apr 2008 21:56:12 +0200
Para:

santi@casas.name

logo

Estimado Cliente:

Según nuestros registros informáticos, hemos detectado que los accesos a su cuenta a través de banca electrónica han sido realizados desde diferentes direcciones IP.

Esto seguramente se debe a que la dirección IP de su ordenador es dinámica y varía constantemente, o debido a que usted ha utilizado más de un ordenador para acceder a su cuenta.

Debido a este suceso y en cumplimiento con la legislación vigente, y para brindar una mayor seguridad a nuestros clientes, le invitamos a acceder al servicio de Banca Multicanal y reactivar su Firma Electrónica.

Para ingresar a su cuenta a través de Banca Multicanal y verificar la actividad de la misma, debe utilizar el siguiente enlace:

https://www2.bancopopular.es/AppBPE/servlet/servinp_pf=c&p_id=esp&p_pm=bo&p_et=pa

Gracias por su ayuda y compresión.

Caixa Galicia acepta contratos electrónicos con el DNI electrónico

3 respuestas

Ayer tuve la ocasión de colaborar con Caixa Galicia en el lanzanmiento una nueva forma de contratación electrónica, pienera entre las entidades financieras y que fue presentada en rueda de prensa en La Coruña.

Rueda de Prensa - Caixa Galicia - José Valiño, Marcelino Fernández, Antonio Vázquez de Parga

En virtud de este desarrollo, las personas que deseen abrir una cuenta Caixa-Galicia-On podrán utilizar su DNI electrónico (DNIe) y otros certificados reconocidos para firmar el contrato por Internet. Todo desde la comodidad de su casa y sin tener que desplazarse a las oficinas de la caja de ahorros o al buzón de correos.  

El nuevo DNIe incluye un chip que contiene dos certificados, uno de autenticación y otro de firma. Algunos bancos y cajas, entre los que se encuentra Caixa Galicia ya han utilizado el certificado de autenticación para identificar a sus clientes cuando acceden a su página web. Caixa Galicia es la primera entidad que habilita el uso del certificado de firma electrónica y posibilita así la contratación de servicios financieros 100% online.  

Este anuncio se produce en el marco de los procesos de innovación que Caixa Galicia ha impulsado desde hace unos años. 

En Mayo de 2002, Caixa Galicia lanza su Oficina por Internet, On Caixa Galicia, con el fin de satisfacer la creciente demanda por parte de los clientes del uso de nuevos canales para la contratación de productos y servicios financieros.
 
Con esta iniciativa, Caixa Galicia marcaba distancias respecto al sector de cajas de ahorro por su mayor y más avanzado uso de las nuevas tecnologías y canales en su actividad comercial.

En ese momento, el proceso de contratación online era doble: por un lado, estaban los clientes de Banca Electrónica de la Caja gallega, que podía contratar productos financieros de manera online, utilizando sus claves como firma de los contratos; y por otro lado, los nuevos clientes, que por motivos de seguridad, debían identificarse a través de un sistema de correspondencia convencional.

Desde el año 2002, el avance tecnológico ha sido constante, y Caixa Galicia ha liderado diferentes iniciativas relacionadas con las mejoras de la autenticación de clientes en los servicios web, con el uso de la telefonía móvil o la funcionalidad disponible en los cajeros automáticos. De hecho, el DNI Electrónico ya se utiliza en Caixa Galicia como sistema de autenticación para acceder a su servicio de Banca Electrónica, Caixa Activa, a través de la página web de la entidad. 

El servicio que hoy se anuncia, reconoce el derecho de los ciudadanos a utilizar el DNI electrónico en sus transacciones telemáticas, y por ello se enmarca en un conjunto de iniciativas legislativas que se han producido durante el año 2007, que afectan a las entidades financieras y a otros sectores, y que se han tenido en cuenta de forma pionera al desarrollar el proyecto:

  • Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos.
  • Ley 22/2007, de 11 de julio, sobre comercialización a distancia de servicios financieros destinados a los consumidores.
  • Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información.

El gobierno ha invertido más de 315 millones de euros en el despliegue del DNI electrónico. Próximamente se completará el despliegue de equipamiento en las comisarias de expedición del DNI y ya no será posible conseguir el antiguo DNI al ir a renovar.

En Marzo de 2008 se superará la barrera de los 3 millones de DNIe emitidos y a un ritmo de 20.000 unidades expedidas cada dia,  se estima que 2008 finalizará con más de 6 millones de documentos.

El DNIe va a ser un instrumento de capital importancia en la modernización de las relaciones entre ciudadanos, empresas y administraciones públicas. Muy pronto será habitual utilizarlo para la contratación de todo tipo de servicios por Internet, desde abrir una cuenta bancaria a contratar una hipoteca, pasando por la contratación del seguro del coche o el ADSL.

A la vista de esta tendencia,Caixa Galicia estima para que este año 2008, el 5% de los nuevos contratos de las modalidades de cuenta on-line se perfeccionarán mediante firma electrónica, y que en el año 2009 este sistema se extenderá al 20% de los contratos.

Antonio Vázquez de Parga

Según Antonio Vázquez de Parga, Director de Estrategia Digital de Caixa Galicia: «El DNI electrónico puede suponer una auténtica revolución para el sector bancario. Posibilita nuevos servicios y vías de comunicación. La adaptación de cajeros al nuevo DNIe y la firma electrónica de contratos forman parte de  una ambiciosa estrategia de modernización de Caixa Galicia enfocada a ofrecer servicios más cómodos, ágiles y seguros a nuestros clientes.»

Firma electrónica con el DNI electrónico

Para la prestación de este servicio Caixa Galicia ha llegado a un acuerdo con «Tractis«, una plataforma de contratación electrónica integrada con autoridades de certificación a nivel internacional y que permite la generación, almacenamiento y preservación de evidencias electrónicas con plena validez legal. Para mi es una doble satisfacción como consultor, por un lado por los matices técnicos y legales tenidos en cuenta por Caixa Galicia en el proyecto, y por otro por los considerados en la plataforma Tractis.

En la actualidad, la Oficina Virtual de la entidad gallega cuenta con más de 36.000 clientes y ya supera los 800 millones de euros de volumen de negocio, por lo que se consolida como una entidad de referencia en el sector online.

Tiempo de tertulia: Firma electrónica y Factura electrónica

3 respuestas

Como he dicho, ayer fue un día intenso.

Algo después de las 12:00 participé en una interesante tertulia que se emitirá dentro de algunos días dentro del programa Tiempo de Tertulia.

El tema, uno de mis favoritos. La Firma Electrónica y la Factura Electrónica, salpicado con referencias al DNI electrónico, las barreras sociales a la adopción de la firma electrónica, y las cosas que se podrán hacer con ella, especialmente tras toda la reciente legislación que la estimula.

Y los compañeros de tertulia, insignes especialistas:

  • Juan Crespo de la Dirección General de la Policía
  • Julio Cesar Fernández de CECA
  • Adrián Moure de Safelayer
  • Oski Goldfryd  de FinancialTech Magazine
  • Salvador Soriano del Ministerio de Industria, Turismo y Comercio

y un servidor, Julián Inza de Albalia Interactiva.

Según he leído, Tiempo de Tertulia difundido por ATEI se considera uno de los mejores programas de divulgación.

Una multiencuesta, «Preferencias de los estudiantes universitarios en España e Iberoamérica», realizada con la colaboración de varias Federaciones Universitarias, Asociaciones y Universidades en España y 19 países iberoamericanos, ha recogido por primera vez, con la máxima cualificación, un programa español, «Tiempo de tertulia».

El sondeo considera a este espacio como el «mejor programa de divulgación y contenido cultural en español de TV». En el apartado de «documentales educativos», ha sido elegido National Geographic; como «canal cultural», Canal Historia; y Planeta como la «editorial más completa».

Redes y Procesos, nueva filial de Sistema 4B

2 respuestas

Logo Sistema 4BSegún publica Cinco Dias, Sistema 4B planea crear una sociedad llamada Redes y Procesos en la que delegará las labores de procesamiento de pagos. Así, la propia 4B se dedicará exclusivamente a ejercer como interlocutor en los foros de medios de pago de los ocho bancos que integran la red.

La plataforma Sistema 4B ha propuesto a los ocho bancos que componen su accionariado (Santander, Popular, Banesto, Pastor, Guizpuzcoano, Valencia, Gallego y Banca March) crear una entidad llamada Redes y Procesos para hacerse cargo de todas las cuestiones técnicas derivadas de las transacciones con tarjetas. Los partícipes deberán pronunciarse sobre el proyecto el próximo 26 de febrero.

El proyecto trata de seguir las recomendaciones de la Comisión Europea en el marco de la implantación de SEPA (Single Euro Payment Area) de separar las tareas propias de un esquema (ser interlocutor de los bancos en los foros de medios de pago) de las labores de procesamiento (el trabajo estrictamente técnico de gestión de cobro y pago de operaciones).

Uno de los objetivos de SEPA es fomentar la competencia entre los procesadores de pagos y, para lograrlo, es necesario erradicar la verticalidad vigente hoy día en los mercados nacionales porque impide la irrupción de nuevos actores. En el futuro, un banco o caja debe elegir con qué red europea opera en función de sus tarifas y calidad de servicio y no en base a vinculaciones corporativas.

En España existen tres redes: 4B, Euro 6000 y Servired. En las dos últimas ya están repartidas las tareas de esquema y procesador, por lo menos a nivel nominal. Así, Euro 6000 y Servired ejercen de interlocutores institucionales, mientras CECA y Sermepa son los procesadores. En 4B, ambas tareas recaían sobre la misma sociedad.

La operación se viene desarrollando desde la segunda mitad del 2007 y se ha concretado en la convocatoria de Junta General Extraordinaria de Accionistas aprobada por el Consejo de Administración de la sociedad celebrado el 22 de enero de 2008.

Redes y Procesos nacerá, según la convocatoria a partir de ‘la escisión de la sociedad 4B mediante la segregación de una parte de su patrimonio que, constituyendo una unidad económica, se traspasará en bloque a una la nueva sociedad Redes y Procesos (…) todo ello sin extinción de la primera 4B’. 

Los accionistas recibirán una acción de Redes y Procesos por cada una que tenían en Sistema 4B. De esta forma se mantiene el equilibrio existente. El Grupo Santander (es decir, Banco Santander y Banesto) será el mayor partícipe con un 66,8% del capital. Le sigue Popular, con un 23,5%. Los demás socios (Pastor, Guipuzcoano, Gallego, Valencia y Banca March) contarán con paquetes menores que oscilan entre el 3,55% y el 0,43%.

El proyecto de escisión está estructurado de la siguiente manera. Por un lado, se encuentra 4B como sociedad parcialmente escindida, con un capital social de 2,23 millones de euros dividido en 371.727 acciones con un valor de 6,01 euros cada una.

Y por otro aparece Redes y Procesos como sociedad beneficiaria constituida con un capital social de 828.951 euros repartidos entre 371.727 títulos de 2,23 euros cada uno. La forma jurídica de la nueva compañía será sociedad anónima europea.

En la operación se traspasará parte del patrimonio de 4B a Redes y Procesos. A 31 de agosto de 2007, fecha en que se realizó un análisis del balance de cara a la escisión de la compañía, la plataforma contaba con activos por valor de 11,90 millones.

En la misma linea de adaptaciones forzadas por la implantación de SEPA, hace un año, Servired dejaba de ser una sociedad civil y se convertía en sociedad anónima. Así se preparaba la plataforma de BBVA, La Caixa y Caja Madrid al baile de fusiones y alianzas paneuropeas de esquemas y procesadores que se espera conforme avance el despliegue de SEPA y se dibuje el  panorama de entidades gestoras de los medios de pago de cobertura europea.

En estos movimintos  están tomando posiciones grandes procesadores americanos, como First Data (adquirido por KKR – Kohlberg Kravis Roberts en 2007, tras las adquisiones de Austrian Payment Systems Services y la alemana GZS en 2005), y europeos como Atos Origin (que adquiró los belgas Banksys and Bank Card Company en 2006).

EMV e ISO/IEC 14443 (Paypass)

1 respuesta

EMV - Co SmartCard SpecEsta semana acaba el período de comentarios de EMV Contactless Specifications for Payment Systems.

«EMV» es un acrónimo que hace referencia a las especificaciones emitidas por EMVCo, LLC para definir el funcionamiento de las tarjetas de pago basadas en tarjeta inteligente. Los proveedores señalizan como  «EMV Approved» a sus productos que han superado las pruebas de homologación en base al cumplimiento de estas especificaciones.

Europay International, MasterCard International y Visa International crearon EMVCo, LLC ( «EMVCo») en febrero de 1999 para gestionar, mantener y mejorar las especificaciones EMV para los sistemas de pago conforme los avances tecnológicos y la implantación de de programas de tarjetas chip adquirían protagonismo. Estas especificaciones se habían desarrollado previamente a partir del esfuerzo de las entidades promotoras, dando lugar a las especificaciones EMV’96.

El objetivo de EMVCo es garantizar que un único proceso de homologación de los terminales y de las tarjetas permita la interoperabilidad cruzada. Los Fundadores, Europay, MasterCard y Visa, poseían cada una un tercio de  EMVCo, LLC. Dado que MasterCard se fusionó con Europay pasó a poseer dos tercios  de EMVCo LLC. Con la incorporación de JCB en 2005 se reequilibraron las participaciones.

EMVCo se rije por una Junta de Directores con la igualdad de representación de cada una de las asociaciones de pago. Todas su decisiones relativas a  actividades y acciones requieren el voto unánime de los miembros, es decir, el consenso total.

EMVCo ha desarrollado durante más de diez años las especificaciones que definen los  requisitos para garantizar la interoperabilidad entre las tarjetas con chip y los terminales que las manejan a nivel mundial, independientemente del fabricante, la institución financiera, o el lugar en el que se utiliza la tarjeta.

La última versión de Las especificaciones, EMV 2000 versión 4.1, se publicó en junio de 2004 e incluye las Common CORE Definitions

Y desde octubre de 2007  se desarrolla el proceso de publicación de las normas destinadas a la gestión de la interfaz sin contactos de las tarjetas con chip EMV, con las normas de entrada, y de marco de referencia (EMV Contactless Specifications for Payment Systems – Entry Point Specification – V1.0
 y EMV Contactless Specifications for Payment Systems – Framework for Contactless Evolution – V1.0). Y con las normas de PayPass: EMV Contactless Communication Protocol Specification v2.0 y PayPass – ISO/IEC 14443 Implementation Specification – V1.1 (Proximity Integrated Circuit Cards – PICCs y Proximity Coupling Devices PCDs)

Las Especificaciones EMV se basan en la actual serie ISO 7816 de normas para tarjetas de circuito integrado con contactos.

Las normas ISO 7816 fueron desarrolladas por un grupo interinstitucional de la industria y, por lo tanto contienen opciones aplicables solamente a determinados sectores 

Entre las actividades de EMVCo están las de apoyo a actividades de normalización contribuyendo activamente al proceso de redacción de las normas ISO, a fin de garantizar la plena compatibilidad entre las normas ISO y de los derivados de las especificaciones EMV

Las Especificaciones contienen las opciones  de las normas ISO 7816 relevantes para el sector financiero.

CIT estrena Blog

Deja un comentario

El CIT (Congreso Internacional de Tarjetas) ha superado las 10 ediciones y llega este año redefiniendo su vocación «El evento ibérico de Smart Cards, Identificación y Medios de Pago«. Se celebra desde el 1 al 3 de Abril de 2008 en el Palacio Municipal de Congresos (Campo de las Naciones, Avda. Capital de España Madrid, s/n. 28042 Madrid)

La XI edición, CIT’2008, se consolida como punto de encuentro del sector bancario en los aspectos más tecnológicos, y con la incorporación de otros sectores, como el del transporte, en los que se usan también las diferentes clases de tarjetas de plástico.

Y ahora con una nueva iniciativa: el Blog del CIT 2.0 .  Un espacio abierto a la información y el debate en un nueva dimensión abierta a la interactividad. CIT 2.0. pretende recoger los comentarios acerca de las novedades del sector así como la opiniones y/o sugerencias en torno al propio evento.

A ver si nos vemos por allí. Yo estaré presidiendo la jornada del dia 3, en el track de Identidad Digital y dando algunas ideas para el despliegue del DNI electrónico en las entidades financieras.

Y el dia 2 estaré en la Zona Expo CIT con un Workshop sobre PCI-DSS que espero que os parezca interesante.

Caja Navarra y Telefónica firman un acuerdo estratégico para potenciar la banca móvil

1 respuesta

Enrique Goñi, director general de Caja Navarra, y César Alierta, presidente de Telefónica, firmaron el 21 de enero de 2008  un acuerdo para potenciar el uso de la banca móvil. El acuerdo se ha suscrito en Distrito C, las nuevas instalaciones de Telefónica en Madrid.

De esta forma, Caja Navarra y Telefónica se convierten en socios estratégicos para desarrollar el negocio de la banca móvil. Ambos, tienen como objetivo desarrollar sus servicios para que los usuarios de la banca móvil aprovechen la inmediatez de este tipo de terminales y puedan utilizar los servicios financieros a cualquier hora y desde cualquier lugar. Se pretende, además, desarrollar herramientas de valor añadido combinando los servicios financieros de Can y los de comunicaciones móviles de Telefónica.

Esta orientación hacia la vanguardia tecnológica y la movilidad en los servicios viene recogida en el plan estratégico de Caja Navarra 2007-2010. En él se fija como objetivo que el 75% de sus clientes estén dados de alta en servicios de banca a través de teléfono móvil y un 35% de ellos como usuarios frecuentes.

El nuevo concepto bancario acuñado por Can como la Banca Cívica, es un modelo de relación que se basa en los derechos del cliente y las obligaciones de la entidad financiera.

En este sentido, una de las obligaciones de Can con sus clientes es proveer los servicios de vanguardia que liberen tiempo y faciliten la gestión financiera. En resumen, ocuparse de sus clientes.

Primer proyecto piloto

Un primer fruto del acuerdo entre Caja Navarra y Telefónica consiste en un proyecto piloto por el que se han facilitado a empleados de Can una cantidad limitada de terminales de última generación. Estos teléfonos permiten la navegación por las aplicaciones de banca móvil de Can y ofrecen la posibilidad de realizar todo tipo de transacciones.

La prueba se ha desarrollado inicialmente mediante la entrega de los terminales con el compromiso de un uso garantizado mensual de los servicios de la banca móvil. De esta forma, se consigue un número suficiente de usuarios recurrentes que sirven de plataforma de pruebas para ir mejorando los servicios progresivamente. Además de las operaciones financieras habituales (traspasos, consultas de saldo, transferencias, etc.) se han añadido herramientas innovadoras en cuyo desarrollo ha participado también Telefónica, como el broker online. De esa forma, se ha desarrollado una aplicación que proporciona toda la información de Bolsa, valores y gráficos, y permite operar en tiempo real. También se ha lanzado recientemente la venta de entradas de cine, como una de las aplicaciones de Caja Navarra en el móvil.

facturae y XAdES-XL (TS 101 903 ES-X-L)

2 respuestas

Ya está disponible la nueva versión 2.0 de Faccil.

Un esfuerzo de programación que combina técnicas de Ruby on Rails y Java y que supone la primera implementación conjunta de los estándares facturae y XAdES-XL .

De momento nos encontramos con que ninguna otra aplicación es capaz de entender la firma XAdES-XL basada en el estándar TS 101 903 (es nuestra ventaja, pero no deja de ser un problema). Habrá que esperar a que CENATIC en colaboración con el Ministerio de Industria Turismo y Comercio promueva vesiones «Open Software» de un visor de factura electrónica generalizado. Quizá lo veamos como «plug-in» de Mozilla para Firefox.

Esta herramienta, Faccil,  es gratuita para los participantes en el proyecto ePYMES de Albalia Interactiva (aun quedan plazas libres). Además el proyecto se complementa con formación on-line sobre Firma electrónica y Factura electrónica, y sobre negocios electrónicos, y con el uso de la herramienta CatSEO que comentaré los próximos dias. Se identifica con el código PAV-080200-2007-24.

Aunque ya tenemos pensadas algunas ampliaciones para Faccil (especialmente para facilitar la facturación hacia el sector público, que empieza a ser obligatoria a partir de marzo de 2008, y para dar la opción de darse de alta y autenticarse con el DNI electrónico) estamos abiertos a sugerencias y próximamente abriremos un foro para ello.

Por cierto, estamos pensando en algunas futuras características de la plataforma que confiamos en que contribuyan a reducir la morosidad, y a faciltar el acceso a los servicios de factoring de varias instituciones financieras, con las que ya estamos hablando.

Como evitar ser víctima de un fraude

4 respuestas

Ayer comentaba el nombramiento de un amigo en SEPFRA.

Hoy voy a hacer un extracto de algunas recomendaciones de SEPFRA para protegerse, detectar y reaccionar contra el fraude on-line y «off-line».

Este es el enlace para acceder a todas las recomendaciones. VISA también tiene recomendaciones.

Las destinadas a internautas:

  • Sospeche cuando reciba e-mails de remitentes desconocidos. Ante la duda, bórrelos. No abra ningún enlace o documento adjunto, ya que puede ser la puerta de entrada de un programa maligno, como espías y caballos de Troya.
  • No responda nunca a e-mails relativos a supuestos premios ganados en la lotería, ofertas de trabajo sospechosas, propuestas de realización de transferencias bancarias desde otros países a su cuenta, peticiones de auxilio de personas que no pueden disponer de su dinero ?. Son todos ellos trucos para acceder a sus datos personales o estafarle.
  • No participe en «cadenas» (e-mails con noticias curiosas o advertencias, como virus inexistentes, que se le solicita que reenvíe a sus amigos o conocidos), el objetivo de muchas de ellas es recopilar direcciones de e-mail para su posterior utilización en campañas de spam (correo basura masivo) o phishing.
  • Mantenga actualizados los sistemas de seguridad de su equipo (antivirus, firewall y antispyware) así como la última versión del navegador.
  • No proporcione nunca datos o claves bancarias en páginas web a las que se acceda pinchando enlaces desde mensajes de correo electrónico. Incluso aunque no parezcan peticiones de datos. Incluso cuando no sean páginas de entidades financieras sino de servicios que pueda tener lógica que tengan sus datos bancarios como la AEAT y otros organismos públicos. Acceda a su entidad bancaria y a los servicios seguros tecleando usted mismo la dirección web en la linea de direcciones URL del navegador y comprobando el certificado electrónico SSL.
  • Evite acceder a servicios de banca electrónica desde ordenadores públicos (universidad, cibercafés, CDTs, ferias, ayuntamientos, …) ya pueden no cumplir los requisitos mínimos de seguridad. Existe además el riesgo añadido de que alguien pueda verle introducir sus claves (y copiarlas o memorizarlas). Y casi siempre tienen troyanos que roban claves.
  • Cuando se conecte a servicios de banca electrónica, fíjese en la pantalla de su ordenador: la dirección debe comenzar por https:// y en la parte inferior deberá aparecer el símbolo de un candado cerrado, ambos indicativos de que ha entrado en un entorno seguro. El símbolo del candado le permite acceder al certificado de seguridad de la página, que deberá estar emitido a nombre de la entidad con la que está conectado. Si estas señales no aparecen, o el certificado no es válido, cancele la conexión y no introduzca sus claves: probablemente esté en un site fraudulento.

Las generales (todos podemos ser víctimas de suplantaciones):

Nuestros datos personales (número de DNI, de NIE o de Pasaporte, número de la Seguridad Social, número de cuenta bancaria, claves de acceso, datos identificativos como teléfonos, fechas de nacimiento,…) son muy golosos para los delincuentes y debemos asumir nuestra responsabilidad de protegerlos de accesos indiscriminados.

Nuestros datos podrían ser robados de muchas formas

  • A través del robo de documentación:
    • Denuncie cualquier robo o pérdida de documentación a la mayor brevedad posible.
  • Mediante el robo de correo postal:
    • Asegúrese que su buzón está siempre correctamente cerrado con llave.
    • Recoja el correo habitualmente. Si va a estar fuera durante unos días, asegúrese que alguien de confianza se ocupe de ello.
    • Ponga especial cuidado cuando cambie de domicilio, asegurándose que el correo llega a su nueva dirección y no a la anterior:
    • Comunique cambios de domicilio a entidades bancarias, organismos públicos, proveedores de servicios y el resto de compañías con las que tenga relación.
    • Contrate durante un tiempo el servicio de reenvío de correos. Es muy económico y merece la pena.
  • Recuperando los datos de la basuraa la que en muchas ocasiones tiramos datos muy valiosos: extractos bancarios, tarjetas caducadas, copias de certificados que ya no necesitamos. La basura no es un lugar seguro para sus datos:
    • Destruya cualquier documentación que contenga datos personales antes de tirarla. Rómpala en trocitos lo suficientemente pequeños como para que no pueda reconstruirse.
  • Escuchando sus conversaciones:
    • Asegúrese de no revelar información personal en lugares públicos o donde otras personas puedan escucharle.
  • Mediante estafas telefónicas:
    • No dé nunca sus datos personales por teléfono, a menos que haya comenzado usted la comunicación y esté seguro de la identidad de su interlocutor.
    • Su banco nunca le llamaría por teléfono para solicitarle su número de cuenta o sus claves de acceso. Si recibe una llamada en este sentido, solicite el teléfono indicando que llama usted (como prueba), cuelgue y llame a su banco mediante el teléfono y persona de contacto que utiliza habitualmente (aporte el número que ha conseguido). De esta forma no sólo se protege usted, además pone en alerta a su entidad financiera.

Otras medidas preventivas

  • Controle sus operaciones bancarias:Realice frecuentemente una comprobación entre su extracto bancario y los recibos de compras, para poder detectar con rapidez cualquier posible irregularidad: Si hay algún cargo que no reconozca, póngase en contacto con la tienda/proveedor que lo haya realizado así como con su entidad bancaria a la mayor brevedad.
  • Si cambia de banco, cierre la cuenta que ya no utilizará, no la deje «dormida» con un saldo mínimo. Un tercero puede reactivarla para uso delictivo e implicarle a usted.
  • Tenga en un lugar seguro y único y fácil de recordar para usted los datos de sus cuentas y tarjetas bancarias, junto con los números de teléfono de las entidades o emisores, de forma que pueda bloquearlas todas con rapidez en caso de robo o sospecha de fraude. Hay servicios como CCP para facilitar el bloqueo simultáneo de sus tarjetas.
  • Si una entidad financiera le deniega un crédito por una deuda que desconoce, contacte con las entidades que gestionan ficheros de insolvencia, como ASNEF o el Banco de España (CIRBE)  y solicite la información que pudieran tener sobre usted para confirmar que no se trate de una deuda que otro haya contraído una persona que le suplante y que haya puesto a su nombre. Si es así, contacte inmediatamente con la entidad acreedora (con la que aparentemente tiene la deuda) y con su banco habitual y denúncielo a las autoridades, policía y guardia civil.
  • Si teme que sus datos hayan podido ser robados, o simplemente si desea tener un mayor nivel de seguridad, valore la posibilidad de adherirse al fichero DER para poner su identidad en vigilancia durante el tiempo que usted mismo determine.

Cómo protegerse de fraude a través del teléfono

  • No proporcione nunca datos personales o bancarios por teléfono a menos que haya comenzado usted la llamada, o tenga plena seguridad de la identidad de su interlocutor.
  • Si recibe por e-mail comunicaciones de su entidad financiera, solicitándole que se ponga en contacto con ellos en un determinado teléfono, no lo haga, puede que sea falso. Utilice el número de teléfono y el contacto habitual que tenga en la entidad y pregunte si son ellos los que han enviado el e-mail.
  • Si recibe llamadas relativas a ofertas de productos o servicios que ?debe adquirir/contratar ya, porque se termina la oferta?, desconfíe y no se deje presionar. Una compañía seria entenderá que quiera decidir con calma la compra o contratación.
  • Resulta más sencillo descartar un e-mail que decir NO a una persona por teléfono. Sin embargo, si las ofertas o promociones le parecen sospechosas, no se sienta coartado, rechácelas educadamente y termine la comunicación. 

Cómo operar correctamente con tarjetas

  • Para evitar el «skimming», cuando realice compras con tarjeta, no la pierda de vista, esté pendiente mientras el empleado del establecimiento la pasa por el TPV (Terminal Punto de Venta). Existen pequeños dispositivos capaces de grabar los datos contenidos en la banda magnética con solo pasarla por ellos.
  • Guarde los extractos de sus operaciones con tarjeta y copias impresas de sus pagos online y compruébelas con frecuencia conciliando con sus movimientos de cuenta y los extractos de la tarjeta para detectar lo antes posible cualquier cargo que no reconozca.
  • Si dispone de varias tarjetas, no las lleve todas consigo. En caso de robo, el daño será menor.
  • En caso de pérdida o sustracción de tarjetas, notifíquelo a su entidad financiera o emisora inmediatamente para que sea anulada. A 4b ( 913.626.200 y 902.114.400  ) SERMEPA (902.192.100) Euro 6000 (902.206.000) Extranjeros en España VISA (900.971.231) Visa Europa :900.991.124 En USA:  (800) 847-2911 Llamando a USA desde el extranjero: 1-800-VISA-911 (llamda a USA a cobreo revertido: 1-636-722-7111) Otros Paises: VISA
  • Memorice las contraseñas, no las lleve apuntadas ni en la propia tarjeta, ni en ninguna agenda, cartera o similar que lleve habitualmente junto con ella.
  • Tenga siempre su tarjeta y los recibos de sus operaciones bien guardados, no los deje a la vista de cualquiera, copiar los datos no le llevaría ni un minuto.
  • Cuando opere en Cajeros Automáticos:
    • Si observa algo extraño o distinto de lo habitual (por ejemplo, en la ranura para la introducción de la tarjeta, o el teclado), no realice ninguna operación en el porque pueden estar captando sus datos.
    • Si la tarjeta se queda retenida, llame inmediatamente a su entidad, si es posible antes de alejarse del cajero, desde el móvil o desde el teléfono o interfono del que disponen algunos cajeros. Si alguien se acerca a ayudarle o le sugiere trucos para recuperarla, desconfíe, ya que son técnicas para sonsacarle su clave. No se aleje del cajero mientras no recupere la tarjeta, ya que los delincuentes esperan ese momento para captarla ellos.
    • Al introducir su contraseña, tape el teclado con la mano o con algún objeto, para que nadie pueda verle y para impedir que cámaras disimuladas puedan grabarle mientras lo hace.
  • Cuando realice compras o pagos por Internet:
    • Hágalo en sitios y tiendas-online de confianza (que ya conozca o de las que tenga referencias).
    • Llegado el momento de introducir los datos de pago, compruebe la dirección URL comienza por https:// y que en la parte inferior aparece el símbolo de un candado cerrado, ambos indicativos de que ha entrado en un entorno cifrado. El símbolo del candado le permite acceder al certificado de seguridad de la página, que deberá estar emitido a nombre de la entidad con la que está conectado. Si estas señales no aparecen, o el certificado no es válido, no realice la compra.
    • Tenga cuidado con sitios web de recargas telefónicas a muy bajo precio, ya que muchos de ellos tienen como único fin conseguir datos de tarjeta.
    • No envíe nunca los datos de sus tarjetas por e-mail, ni siquiera a personas de confianza, ya que el correo electrónico también se puede interceptar.
    • Imprima y guarde una copia del justificante de pago que aparecerá una vez finalizada la transacción, para poder realizar la comprobación frente a su extracto bancario.
  • Cuando realice compras por teléfono:
    • Asegúrese que se trata de una compañía de confianza.
    • Solicite el nombre y apellidos de la persona que le está atendiendo, y cualquier otro dato identificativo, como su número de empleado, si lo tiene. Esto hará más sencilla una posible reclamación.
    • Para realizar una compra telefónica no es necesario dar el número secreto de su tarjeta. Si se lo solicitan, valore seriamente no continuar el proceso de compra.

Si ha sido víctima de un fraude de suplantación de personalidad («impersonación» o simulación de identidad )

Estos son los primeros pasos que debería dar si descubre que ha sido víctima de un fraude de identidad.

  • Denúncielo a la policía: Si tiene alguna documentación relativa al posible fraude, deberá aportarla. De no se así, bastará con su declaración.
  • Comuníquelo a su entidad o entidades financieras, aportando su DNI y el documento de denuncia a la Policía.
  • En caso de que hubiera alguna otra entidad implicada (una entidad con la que usted no tenga relación, pero que le reclame una deuda, un comercio donde supuestamente haya realizado alguna compra) póngase en contacto con ellos para informarles de la situación. Aporte una copia de su denuncia a la Policía.
  • Si desea saber si puede haber otras deudas asociadas a su nombre, contacte con los principales ficheros de solvencia y solicite la información disponible sobre usted, si existen otras deudas ya vencidas y reclamadas, aparecerán en sus registros. Estos ficheros deben notificarle por escrito la inclusión de sus datos, sin embargo, si dentro del esquema de fraude del que ha sido víctima se ha falsificado su dirección de contacto (práctica muy habitual, precisamente para evitar que la víctima se dé cuenta de la utilización de su identidad), la notificación habrá llegado a esta dirección falsa y no a usted. Según la normativa vigente, los derechos de acceso y cancelación de la información contenida en estos ficheros sólo podrán ser ejercidos por el afectado frente al responsable del fichero, para lo que es necesario que acredite su identidad frente a éste. Podrá, no obstante, actuar el representante legal del afectado cuando éste se encuentre en situación de incapacidad o minoría de edad que le imposibilite el ejercicio personal de los mismos, en cuyo caso será necesario que el representante legal acredite tal condición.
  • Puede dirigirse también a la Central De Riesgos de Banco de España (CIRBE), a la que las entidades han de declarar mensualmente la totalidad (con algunas excepciones) de los riesgos que tienen asumidos y los titulares a quienes corresponden. La CIRBE podrá informarle sobre posibles créditos aún no reclamados, asociados a su nombre.
  • Valore así mismo la posibilidad de incluir sus datos en el fichero DER