Archivo de la categoría: Banca Electrónica

Demanda por reinventar el lector de tarjeta chip

4 respuestas

logo-c3po.jpgLa demanda presentada por C3PO, S.L, contra la persona de Kalysis, S.L. que «reinventó» el lector de tarjeta chip,  para obtener la declaración judicial de nulidad de la patente de invención española nº 2001101056, ha sido admitida a trámite por el Juzgado de Primera Instancia nº 14 de Granada.

El demandado solicitó el registro de la patente que se impugna, el 9 de Mayo de 2001 bajo el título “adaptador de tarjeta inteligente a puerto estándar para dispositivos con conexión a Internet orientado a transacciones telemáticas”, lo que comúnmente se conoce como “lector de tarjetas inteligentes”; la patente fue concedida el 16 de junio de 2004.

La razón por la que se ha interpuesto la demanda, es que, en opinión de C3PO, S.L., el producto objeto de dicha patente, se caracteriza por unas funciones y especificaciones que cumple la gran mayoría de los lectores existentes en el mercado, no haciendo referencia a un invento novedoso; además de ello, el solicitante de la patente nº 2001101056 optó por la posibilidad legal de que la Oficina Española de Patentes y Marcas no efectuara un examen previo de su novedad, a pesar de que el informe del estado de la técnica evidenciaba la falta de novedad de la patente; ello supone que ésta queda encuadrada dentro de lo que se conoce como “patente débil”, es decir, patentes que no tienen un valor inventivo verdadero y que se conceden aprovechando la laxitud del sistema.

Tanto C3PO como el resto de fabricantes de lectores, han manifestado ya que rechazan la validez de la patente y se oponen al uso engañoso y desleal que el solicitante está haciendo de la misma para tratar de apropiarse de la paternidad de un producto que viene desarrollándose y fabricándose desde los años 70 en Japón y Francia; en España desde 1994 con tecnología nacional.

Los fabricantes han denunciado que intente aprovecharse de todas las investigaciones ajenas y del trabajo de muchas empresas del sector precisamente en el momento en que la implantación del DNI electrónico en España, abre interesantes perspectivas de negocio en el mercado de los lectores de tarjeta inteligente.

Al parecer existe documentación de otras actividades relacionadas con este tema, y un foro en el que opinan demandantes y demandado.

Zona Única de Pagos para el Euro (SEPA:Single Euro Payment Area)

2 respuestas

Estos días he estado hablando sobre SEPA (Single Euro Payment Area) con Oski Goldfryd, Director de FinancialTech Magazine. Ha sido a raiz de un estudio publicado por Accenture sobre el grado de adaptación de las entidades financieras los requisitos de la iniciativa SEPA.

Oski ha sido muy amable al hacer referencia a mis comentarios en su publicación.

De paso, hemos comentado algunas de las nuevas iniciativas que está preparando para dinamizar el mercado de productos y soluciones que se mueve alrededor de las entidades financieras. Una de las más interesantes es la Feria virtual FinancialTech Expo, centrada en tecnologías para el sector financiero, que desarrollará junto con la entidad británica Ahead Business Solutions, pionera internacional en la realización de Ferias y Exposiciones Virtuales.

En mi opinión, esta iniciativa es muy interesante ya que no existe una verdadera Feria del Sector Financiero, y lo más aproximado, el Congreso anual CIT que organiza IIR, es una demostración palpable, con su exposición asociada, de que existe interés por parte de las entidades financieras en conocer la actualidad del mercado, y por parte de las empresas, en darse a conocer.

La idea de Oski es que FinancialTech Expo comience en Febrero de 2007 y se extienda hasta finales de Abril. Ahora que es temprano, creo que es una excelente oportunidad para situarse como patrocinador del evento, y agradezco a Oski que nos haya dado la ocasión de ser una de las primeras entidades en confirmar nuestro patrocinio. Creo que este período es perfecto dentro del calendario de iniciativas de las entidades financieras, y, por cierto, coincidirá de forma muy saludable y simbiótica con el CIT 2007 que se celebrará el 6, 7 y 8 de marzo de 2007. Otras fechas para reservar en la agenda.

No quiero dejar pasar la oportunidad de felicitar a Oski por superar los 10.000 lectores semanales de FinancialTech Magazine.

Teclado virtual en banca electrónica: no sirve contra los troyanos.

4 respuestas

Desde hace mucho tiempo, quienes me conocen saben que estoy intentando luchar contra la generalización de técnicas de banca electrónica que utilizan teclados virtuales en la identificación de los usuarios.

Crean una falta sensación de seguridad y quitan presión a los técnicos respecto al despliegue de soluciones verdaderamente efectivas contra el robo de credenciales y la suplantación.

Uno de mis alegatos lo hice en este mismo blog hace unos dias.

Durante un tiempo, se podía arguir que, al menos, eran un paliativo para luchar contra una de las modalidades de phishing.

Lo cierto es que, teniendo en cuenta el esfuerzo que supone para una entidad financiera cualquier modificación de su operativa y para sus usuarios el volver a aprender a usar el sistema, las entidades tendrían que ser más cuidadosas a la hora de aplicar cambio inútiles. Sobre todo si consideramos que a los crackers, les estimulan los retos y que para ellos sacar nuevas versiones de sus «exploits» es cuestión de días.

Una noticia documentada por Hispasec, viene a darme (una vez más) la razón sobre este tema.

Este es el titular:

Troyano bancario captura en vídeo la pantalla del usuario

Técnicas de fraude en cajeros automáticos

3 respuestas

Tengo previsto incluir algunos posts en este blog para avisar sobre algunas técnicas de fraude en entornos físicos y virtuales.

Pero en esta ocasión quisiera hacerme eco de un sitio web que he conocido a través de meneame, y que explica de manera muy gráfica y sencilla algunos tipos de fraude.

El sitio web se denomina «que no te roben» y escenifica algunas técnicas que utilizan ciertos delincuentes para obtener el PIN (Personal Identification Number, número secreto) de la tarjeta de crédito y el contenido de la banda magnética de la tarjeta, con lo que pueden utilizar estos datos en «tarjetas blancas» y extraer dinero en otros cajeros automáticos.

recomendaciones.gif

i-Button como Medio de Pago

Deja un comentario

Anillo Java con i-ButtonLa verdad es que poder contar con algo tan sencillo de llevar como un anillo parece la única opción capaz de mejorar la facilidad de uso de las tarjetas de crédito.

Un anillo, de hecho, es más resistente al robo que una tarjeta, ya que es más fácil de detectar si están intentando quitártelo.

Respecto a las tarjetas convencionales, tiene una ventaja clara: la capacidad de procesamiento inteligente embebida en el dispositivo, lo que permite utilizar avanzados algoritmos criptográficos. Esa misma capacidad permite almacenar claves de todo tipo y censar todas las operaciones en las que interviene, lo que permite crear un log de transacciones individualizado, como elemento complementario de seguridad.

Contenido del i-ButtonEl coste del i-Button, de 1,4 dólares por unidad (en pequeñas cantidades) podría ser un elemento en contra, pero teniendo en cuenta que ya se considera al i-Button una alternativa al RFID, incluso en coste, parece que por ese lado también aparecen ventajas.

Además, la robustez de la tecnología y la duración de la alimentación hasta 10 años extiende la vida de las actuales tarjetas de crédito (de plástico), que vienen a durar 3 años como máximo, si se quieren mantener unas condiciones dignas de presentación y operatividad.

Por tanto, disminuyen los costes asociados a la expedición de dispositivos, y al control de entrega a su destinatario.

Si no es necesaria la personalización, como lo es en el caso de las tarjetas de plástico, aún se disminuyen más los costes, ya que el anillo se puede entregar en la sucursal en el mismo momento de la contratación, y en ese mismo momento. también, se asocia a su titular.

Un riesgo de este sistema es la pérdida de control de elementos de marca, dado lo reducido del espacio grabado para incluir diseños. Así y todo, cabe pensar en un diseño elegante y compacto que transmita la imagen de la entidad financiera, así como la marca de maedios de pago tal como VISA o MasterCard. En el caso que se muestra, la imagen Java queda muy elegantemente destacada.

Entre los inconvenientes, cabe citar la necesidad de desplegar una infraestructura de recogida de operaciones: Terminales Punto de Venta (POS: Point of Sale) y Cajeros Automáticos (ATM: Automatic Teller Machine). Sin embargo, dada la actual presión por desplegar infraestructura de recogida de operaciones para tarjetas chip bajo la especificación EMV (especialmente desde la resolución adoptada en el área SEPA, Single Euro Paymen Area, de generalizar la adopción de EMV antes de fin del 2010) , cabría pensar en que por el mismo coste se puede disponer de una infraestrucrura que sirva tanto para EMV como para i-Button.

Además, pese a lo innovador de la propuesta, la tecnología i-Button es una tecnología madura, con muchos años en el mercado, y que ha llevado al fabricante, incluso, a definir modelos de almacenamiento de valor como el escasamente exitoso «monedero electrónico» que en la especificación CEPS («Common Electronic Purse Specification») ha sido poco respaldado por las entidades financieras.

Efectivamente, Dallas/Maxim ha publicado la especificacion de monedero: Digital Monetary Certificates, como nota de aplicación en la que se estudia de forma detallada la gestión de información asociada.

Estoy deseando poder definir el proyecto piloto de este medio de pago con una entidad financiera que se considere avanzada. A ver si alguna se anima…

Documentos Extraviados y Robados (DER Servicio SADP en el CCI), alternativa a PERSUS

72 respuestas

Hace unos días mencionaba un iniciativa para reducir los problemas que se producen cuando perdemos o nos roban la documentación, y de forma destacada, el DNI. Se trata del fihero PerSus gestionado por ASNEF-Equifax.

Rafael Marín, del Centro de Cooperación Interbancaria (CCI), me comenta otra iniciativa que se ha acometido desde esta institución con el mismo objetivo, enmarcada en su política de Prevención del Fraude.

Se trata del Fichero de Documentos Extraviados y Robados (accesible a través del Servicio de Actualización de Datos Personales SADP) que permite que las entidades financieras puedan comprobar ciertos datos en el momento en el que una persona acude a abrir una cuenta en una oficina, aportando documentación que pudiera o no ser robada.

Es importante este tipo de inicativas para paliar los efectos adversos de perder el DNI o de que te lo roben, como se documenta en estos casos:

Sobre este asunto reproduje un artículo originalmente publicado por El Mundo.

Condenado por un caso de phishing, pharming, troyano

2 respuestas

Por Alvaro del Hoyo, me he enterado de esta noticia publicada en El Correo Digital y que documenta el caso de una sentencia a «una mula» que interviene en un caso de phishing y similares. La «mula» es la persona que interviene en el paso de enviar y recibir dinero, muchas veces sin enterarse, o sin querer enterarse, de la procedencia del dinero.

Condenado por estafar 30.000 euros a un colegio de Getxo a través de Internet.

La noticia está firmada por O. B. OTÁLORA y A. DE LAS HERAS y sus e-mails pueden verse en la noticia publicada en la página web del Correo Digital.

Transcribo la noticia por si dejara de estar disponible en el medio original.

La Audiencia provincial vizcaína ha ratificado la condena impuesta por el Juzgado de lo Penal número 5 de Bilbao a Oleksiy L., ciudadano ucraniano de 30 años, a dos años y medio de prisión por una estafa continuada de casi 30.000 euros vía Internet a un colegio de Getxo. Según ambas sentencias, a las que ha tenido acceso este periódico, el acusado abrió cuatro cuentas corrientes en distintas sucursales bancarias de Sevilla, que recibieron nueve transferencias no autorizadas oficialmente de importantes cantidades de dinero, de entre 3.000 y 6.000 euros, los días 1, 4 y 6 de diciembre de 2004.

Según la última resolución de la Sección Segunda de la Audiencia, el caso responde a una trama urdida por varias personas cuyas identidades se desconocen, entre ellas un ‘hacker’ que introdujo un virus ‘troyano‘ -programa que suele estar oculto bajo la apariencia de una fotografía o publicidad remitida por correo electrónico- en uno de los ordenadores del centro escolar. De esta forma, lograron violar las claves secretas de acceso y ordenar traspasos de dinero a los números de cuenta cuyo titular era Oleksiy L., anteriormente citadas.

Lo más sorprende de la estafa radica en que el ‘troyano‘ estaba alojado en la página de una empresa de Japón (sin que ellos lo supieran), de donde se descargó al sistema operativo del colegio vizcaíno. Las claves fueron enviadas a Estonia y las transferencias, realizadas desde Estados Unidos y Ucrania. Una perfecta red en la que el verdadero cerebro resulta difícil de desenmascarar.

La alarma saltó gracias al responsable de un banco que sospechó de la legalidad de una de las operaciones y realizó una llamada telefónica de confirmación. La directora del colegio negó haber ordenado ninguna traspaso de dinero en las fechas señaladas, y no le cabía ninguna duda ya que se trataba de días festivos. La responsable del centro educativo presentó una denuncia ante la Ertzaintza y expertos informáticos del cuerpo iniciaron entonces una investigación que concluyó con la detención en Sevilla de Oleksiy L.

Indemnización a la BBK

Durante el juicio, el único acusado, último escalón del entramado, alegó que abrió las cuentas como «favor» a varios compatriotas ilegales que trabajaban de temporeros en el campo y querían ingresar sus salarios. El inmigrante negó que conociera el origen ilícito del dinero, aunque admitió que días después escuchó que podía proceder de un robo. Esta versión no ofreció «credibilidad» al magistrado ni al tribunal que revisó la primera sentencia.

La sala ratifica la prisión provisional en que se encontraba el condenado por el riesgo de fuga y le condena a indemnizar con 20.868 euros a la BBK, entidad perjudicada que reclamaba como acusación particular más de 50.000 euros. La BBK devolvió en su día a la escuela parte del dinero transferido. Otro intento de estafa no llegó a materializarse y el dinero quedó retenido.

El Ministerio fiscal reclamaba la misma pena a la que finalmente ha sido condenado el inculpado; la acusación privada pedía tres años de cárcel, y la defensa solicitaba la libre absolución por considerar que no había delito.

Es muy importante que se produzcan noticias como esta para acabar con la sensación de impunidad y de bajo riesgo que se produce en caso de phishing, pharming, troyanos y similares.

Sorprende que teniendo estos tipos de fraude la incidencia que tienen y la alarma social que generan, no se hayan producido acciones más enérgicas de las entidades financieras que habitualmente siguen esquemas defensivos que aspiran únicamente a actuar de paliativo.

Es preciso dar algunos pasos que permitan localizar, perseguir, detener, juzgar y encarcelar a todos los participantes en las tramas de engaño, estafa y fraude que sustraen fondos por internet a los usuarios de la Banca Electrónica, causande un grave perjuicio en la imagen e incluso en los resultados de las entidades financieras. Y estas acciones deben llevarse a cabo en el marco de la legalidad y considerando todos los condicionantes de las operaciones transfronterizas.

Espero poder contaros en breve qué acciones se van desarrollando para combatir la impunidad.

Google Checkout: la cartera de pago por Internet

1 respuesta

Me he enterado a través del blog de Jordi Miró.

¿Qué pasaría si Google tuviera los números de tu tarjeta de crédito?

Pues que sería un aliciente para los «robos de identidad», robos de contraseñas y otras modalidades de suplantación y phishing.

Aunque el hecho de que Google se meta en esto hace probable la adopción del sistema y su generalización, a mí me da un poco de miedo.

Por lo demás el tema no es nuevo: Google Checkout es una especie de Paypal o ePagado o una de las múltiples variantes de cartera virtual.

Desde luego, podría ser una aplicación «killer» si se combinara con el teléfono móvil a estilo de Mobipay. Ya sabes: seguridad de «doble factor»: algo que tienes y algo que sabes.

Consulta pública de la Comisión Europea sobre el sector financiero

Deja un comentario

La Comisión Europea ha publicado el Informe Provisional sobre las Tarjetas de Pago en el Area Unica de Pagos en Euros (SEPA, Single Euro Payment Area), para el que se ha abierto un período de Consultas que acaba el 21 de junio de 2006.

La Comisión cree que el sector financiero puede ser más eficiente y utilizar sistemas que no penalicen sus costes en la forma en que lo hacen ahora, de forma que pueda lograrse que los costes de todas las operaciones financieras de la Zona Euro sean iguales a los costes domésticos.

En el fondo es un problema político. La existencia de múltiples sistemas de compensación y liquidación, aunque funciona (y es uno de los más importantes logros del Sistema Financiero a lo largo de los años) implica complejidad y reparto de comisiones para todos los intervinientes.

Por otro lado, la existencia de múltiples entidades intermediarias, tambien garantiza cierto nivel de competencia.

Además, las infraestructuras desarrolladas en los diferentes paises atienden a idiosincrasias que sería complejo respetar en sistemas unificados sin una evolución conjunta de todos los paises hacia un eventual "modelo óptimo".

En este marco, en el que las entidades españolas están bien posicionadas por su competencia operacional y tecnológica, a veces se ven penalizadas por el uso del idioma inglés en las discusiones y las presiones de los representantes de todos los países por arrimar el ascua a su sardina.

En definitiva, las discusiones en el marco de SEPA, pretenden que el esfuerzo de adaptación de cada país al modelo común sea el menor posible. Y quizá ese objetivo, respetable, no sea el óptimo. Quizá el objetivo sería elegir un país como modelo más avanzado, exigirle mejoras al modelo y forzar a que el resto de países se ajusten al modelo.

En ese caso sí podría ganar el modelo de compensación y liquidación español, cuya principal crítica reside en que la compensación diaria en transferencias y adeudos no es transaccional y on-line sino por lotes y diferida.

Captación de mulas para phishing

1 respuesta

Los delincuentes del phishing están especializados y trabajan con una organización sistematizada.

  • Unos trabajan hackeando sitios web y poniéndolos a disposición de la organización.
  • Los siguientes utilizan sitios web hackeados para poner las páginas web que simulan ser las de una entidad financiera, y en la que se instalan los programas que recogen las passwords y los códigos de tarjetas de barcos.
  • Mientras, otros van obteniendo direcciones e-mail con técnicas de spammer, en ocasiones a través de virus especializados que husmean en los ordenadores de sus víctimas.
  • Los expertos en e-mail usan sus conocimientos para hacer llegar diferentes tipos de mensajes a diferentes tipos de víctimas-incautos, sin que los bloqueen los filtros antispam ni los filtros antiphishing.
  • Uno de los mensajes tipo es el destinado a engañar a los clientes de una entidad financiera en cuyo nombre se emiten los mensajes. El tono de la redacción de los mensajes no suele ser el que utilizaría una entidad financiera, y muchas veces las frases no están correctamente redactadas en la lengua en la que opera la entidad financiera y eso hace que frecuentemente sea relativamente fácil detectar el phishing a quien sabe de qué va eso. Sin embargo cada vez las técnicas de suplantación son más perfectas y los diseños de los email más profesionales.
  • Los responsables de los webs-zombie (los que van captando las passwords en webs hackeados) hacen llegar los datos de acceso a las cuentas bancarias a otros miembros de la organización.
  • Estos acceden a las cuentas con los datos obtenidos y envían transferencias a cuentas bancarias de las "mulas".
    Las mulas envían el dinero (menos la comisión que se quedan por su "trabajo") a otro destinatario a través de entidades remesadoras de envío de dinero en efectivo en las que se deja relativamente poco rastro.
  • La captación de mulas se hace por otra modalidad de mensajes tipo. En estos mensajes, el remitente dice trabajar para una multinacional "prestigiosa" y señala que has sido "seleccionado" para desempeñar un trabajo honrado y sencillo, recoger la recaudación de las facturas de los productos que exportan a tu país y enviársela a su organización. Algo, desde mi punto de vista, tan sospechoso, que sorprende que gente formada se lo haya creido y se haya prestado a ello. Y, por supuesto, haya sido detenida por la policía, al ser el primer elemento de la cadena de movimiento de dinero de la organización, con la identificación de la cuenta proporcianada por el defraudado.

Para que veais el ingenio de estos tipos, os adjunto un mensaje que envían en modo gráfico, de forma que puedan soslayar la técnica de análisis de palabras de los filtros antispam.

Captacion de mulas