Archivo de la categoría: Banca Electrónica

Congreso de Factura Electrónica y Digitalización certificada

2 respuestas

Atentos a este evento que se celebra el 18 de octubre de 2006.

La firma electrónica ha sido durante unos años una excelente solución a muchos problemas que admitían más soluciones, y, salvo usos concretos en el ámbito tributario o en proyectos cerrados, ha estado encerrada en un círculo vicioso en el que la escasez de servicios justificaba la escasa adopción de certificados y viceversa.

Eso está cambiando gracias al DNI electrónico.

Aunque el número de DNI electrónicos expedidos hasta estas fechas no ha alcanzado aún las cifras de certificados de la FNMT-RCM, la verdadera campeona de usos de certificados en la Administración española, las expectativas que despierta están removiendo los conceptos asentados en estos últimos años y provocando el interés de muchas empresas con departamentos informáticos poderosos.

Entre estas, destacan especialmente las entidades financieras que ven en el DNI una solución (no inmediata, pero sí prometedora) contra el phishing y otras amenazas.

En el corto plazo, la normativa sobre factura electrónica, ya muy madura, ha sido la causa de la reactivación del subsector de la certificación, que encuentra argumentos económicos de calado en los ahorros que se producen por enviar y recibir por via telemática facturas firmadas electrónicamente.

Así que este Congreso tiene la oportunidad de tratar de resolver las dudas que se generan en torno a la firma electrónica en aspectos tan concretos como la gestión de facturas, o la forma de firmar archivos gráficos como los que se obtienen al digitalizar facturas en papel.

Por cierto, respecto a la Digitalización Certificada, cabe comentar que aunque la norma está disponible como borrador y aún no es oficial, merece la pena empezar a firmar YA los documentos escaneados, porque en el mismo momento en que se publique en el Boletín Especial del Estado, podremos destruir todo el papel que tengamos digitalizado, inicialmente las facturas, y, en el futuro, todo tipo de documentos.

Denuncias de intentos de fraude por Internet en el Servicio de Reclamaciones del Banco de España

150 respuestas

En la Memoria del Servicio de Reclamaciones del Banco de España del año 2005, se da un indicio estadístico del impacto que las diferentes técnicas de fraude (phishing, pharming, keyloggers, troyanos,…) han tenido en la banca española en el citado año.

Aparte de las escasas actuaciones al alcance del organismo que tiene que ver con sus atribuciones y medios, merece la pena hacerse eco de los comentarios al respecto que figuran en la Memoria:

Se han recibido numerosas denuncias de intentos de fraude por Internet, que no han podido ser objeto de tratamiento por parte del Servicio de Reclamaciones del Banco de España, por exceder su ámbito de competencia.

Dada la multitud de ataques informáticos de los que se ha tenido conocimiento, se alerta a las entidades y usuarios a extremar las medidas de cautela a la hora de enviar las claves de acceso para operar con banca telefónica o electrónica.

El uso de los servicios de banca electrónica implica la utilización y adopción por parte de los usuarios de las medidas de seguridad informática adecuadas de sus equipos (antivirus, firewall, etc.).

Las denuncias de spam, correos falsos procedentes de supuestas entidades financieras para la obtención de las claves de seguridad de los usuarios financieros (phishing), no pueden ser objeto de reclamación contra la entidad financiera suplantada.

Sistemas de ataques más comunes:

Phishing
Conduce a los clientes de una entidad de crédito a una página web falsa, que aparentemente pertenece a dicha entidad. Una vez en dicha página, se solicitan los datos personales, que posteriormente son utilizados para la realización de operaciones fraudulentas.

Pharming
Mediante la explotación de la vulnerabilidad de los sistemas de servidores DNS, el atacante adquiere el nombre de dominio de un sitio web y redirige el tráfico de esa página a otro sitio distinto del verdadero, a través del cual se obtiene la información personal.

Keylogging
Registro de pulsaciones. En ocasiones es utilizado como una técnica de espionaje para obtener contraseñas o claves encriptadas y así traspasar las medidas de seguridad de las entidades de crédito.

Los sistemas que deben utilizarse para evitar en lo posible estos fraudes son:

  • Utilizar el protocolo SSL (Secure Sockets Layer). Permite cifrar la conexión y garantiza la autenticación.
  • Comprobar el propietario del dominio al que se está accediendo.
  • No atender las peticiones de información personal, ni de claves de acceso, mediante correo electrónico o llamadas telefónicas que aparentemente proceden de entidades de crédito.

Demanda por reinventar el lector de tarjeta chip

4 respuestas

logo-c3po.jpgLa demanda presentada por C3PO, S.L, contra la persona de Kalysis, S.L. que «reinventó» el lector de tarjeta chip,  para obtener la declaración judicial de nulidad de la patente de invención española nº 2001101056, ha sido admitida a trámite por el Juzgado de Primera Instancia nº 14 de Granada.

El demandado solicitó el registro de la patente que se impugna, el 9 de Mayo de 2001 bajo el título “adaptador de tarjeta inteligente a puerto estándar para dispositivos con conexión a Internet orientado a transacciones telemáticas”, lo que comúnmente se conoce como “lector de tarjetas inteligentes”; la patente fue concedida el 16 de junio de 2004.

La razón por la que se ha interpuesto la demanda, es que, en opinión de C3PO, S.L., el producto objeto de dicha patente, se caracteriza por unas funciones y especificaciones que cumple la gran mayoría de los lectores existentes en el mercado, no haciendo referencia a un invento novedoso; además de ello, el solicitante de la patente nº 2001101056 optó por la posibilidad legal de que la Oficina Española de Patentes y Marcas no efectuara un examen previo de su novedad, a pesar de que el informe del estado de la técnica evidenciaba la falta de novedad de la patente; ello supone que ésta queda encuadrada dentro de lo que se conoce como “patente débil”, es decir, patentes que no tienen un valor inventivo verdadero y que se conceden aprovechando la laxitud del sistema.

Tanto C3PO como el resto de fabricantes de lectores, han manifestado ya que rechazan la validez de la patente y se oponen al uso engañoso y desleal que el solicitante está haciendo de la misma para tratar de apropiarse de la paternidad de un producto que viene desarrollándose y fabricándose desde los años 70 en Japón y Francia; en España desde 1994 con tecnología nacional.

Los fabricantes han denunciado que intente aprovecharse de todas las investigaciones ajenas y del trabajo de muchas empresas del sector precisamente en el momento en que la implantación del DNI electrónico en España, abre interesantes perspectivas de negocio en el mercado de los lectores de tarjeta inteligente.

Al parecer existe documentación de otras actividades relacionadas con este tema, y un foro en el que opinan demandantes y demandado.

Zona Única de Pagos para el Euro (SEPA:Single Euro Payment Area)

2 respuestas

Estos días he estado hablando sobre SEPA (Single Euro Payment Area) con Oski Goldfryd, Director de FinancialTech Magazine. Ha sido a raiz de un estudio publicado por Accenture sobre el grado de adaptación de las entidades financieras los requisitos de la iniciativa SEPA.

Oski ha sido muy amable al hacer referencia a mis comentarios en su publicación.

De paso, hemos comentado algunas de las nuevas iniciativas que está preparando para dinamizar el mercado de productos y soluciones que se mueve alrededor de las entidades financieras. Una de las más interesantes es la Feria virtual FinancialTech Expo, centrada en tecnologías para el sector financiero, que desarrollará junto con la entidad británica Ahead Business Solutions, pionera internacional en la realización de Ferias y Exposiciones Virtuales.

En mi opinión, esta iniciativa es muy interesante ya que no existe una verdadera Feria del Sector Financiero, y lo más aproximado, el Congreso anual CIT que organiza IIR, es una demostración palpable, con su exposición asociada, de que existe interés por parte de las entidades financieras en conocer la actualidad del mercado, y por parte de las empresas, en darse a conocer.

La idea de Oski es que FinancialTech Expo comience en Febrero de 2007 y se extienda hasta finales de Abril. Ahora que es temprano, creo que es una excelente oportunidad para situarse como patrocinador del evento, y agradezco a Oski que nos haya dado la ocasión de ser una de las primeras entidades en confirmar nuestro patrocinio. Creo que este período es perfecto dentro del calendario de iniciativas de las entidades financieras, y, por cierto, coincidirá de forma muy saludable y simbiótica con el CIT 2007 que se celebrará el 6, 7 y 8 de marzo de 2007. Otras fechas para reservar en la agenda.

No quiero dejar pasar la oportunidad de felicitar a Oski por superar los 10.000 lectores semanales de FinancialTech Magazine.

Teclado virtual en banca electrónica: no sirve contra los troyanos.

4 respuestas

Desde hace mucho tiempo, quienes me conocen saben que estoy intentando luchar contra la generalización de técnicas de banca electrónica que utilizan teclados virtuales en la identificación de los usuarios.

Crean una falta sensación de seguridad y quitan presión a los técnicos respecto al despliegue de soluciones verdaderamente efectivas contra el robo de credenciales y la suplantación.

Uno de mis alegatos lo hice en este mismo blog hace unos dias.

Durante un tiempo, se podía arguir que, al menos, eran un paliativo para luchar contra una de las modalidades de phishing.

Lo cierto es que, teniendo en cuenta el esfuerzo que supone para una entidad financiera cualquier modificación de su operativa y para sus usuarios el volver a aprender a usar el sistema, las entidades tendrían que ser más cuidadosas a la hora de aplicar cambio inútiles. Sobre todo si consideramos que a los crackers, les estimulan los retos y que para ellos sacar nuevas versiones de sus «exploits» es cuestión de días.

Una noticia documentada por Hispasec, viene a darme (una vez más) la razón sobre este tema.

Este es el titular:

Troyano bancario captura en vídeo la pantalla del usuario

Técnicas de fraude en cajeros automáticos

3 respuestas

Tengo previsto incluir algunos posts en este blog para avisar sobre algunas técnicas de fraude en entornos físicos y virtuales.

Pero en esta ocasión quisiera hacerme eco de un sitio web que he conocido a través de meneame, y que explica de manera muy gráfica y sencilla algunos tipos de fraude.

El sitio web se denomina «que no te roben» y escenifica algunas técnicas que utilizan ciertos delincuentes para obtener el PIN (Personal Identification Number, número secreto) de la tarjeta de crédito y el contenido de la banda magnética de la tarjeta, con lo que pueden utilizar estos datos en «tarjetas blancas» y extraer dinero en otros cajeros automáticos.

recomendaciones.gif

i-Button como Medio de Pago

Deja un comentario

Anillo Java con i-ButtonLa verdad es que poder contar con algo tan sencillo de llevar como un anillo parece la única opción capaz de mejorar la facilidad de uso de las tarjetas de crédito.

Un anillo, de hecho, es más resistente al robo que una tarjeta, ya que es más fácil de detectar si están intentando quitártelo.

Respecto a las tarjetas convencionales, tiene una ventaja clara: la capacidad de procesamiento inteligente embebida en el dispositivo, lo que permite utilizar avanzados algoritmos criptográficos. Esa misma capacidad permite almacenar claves de todo tipo y censar todas las operaciones en las que interviene, lo que permite crear un log de transacciones individualizado, como elemento complementario de seguridad.

Contenido del i-ButtonEl coste del i-Button, de 1,4 dólares por unidad (en pequeñas cantidades) podría ser un elemento en contra, pero teniendo en cuenta que ya se considera al i-Button una alternativa al RFID, incluso en coste, parece que por ese lado también aparecen ventajas.

Además, la robustez de la tecnología y la duración de la alimentación hasta 10 años extiende la vida de las actuales tarjetas de crédito (de plástico), que vienen a durar 3 años como máximo, si se quieren mantener unas condiciones dignas de presentación y operatividad.

Por tanto, disminuyen los costes asociados a la expedición de dispositivos, y al control de entrega a su destinatario.

Si no es necesaria la personalización, como lo es en el caso de las tarjetas de plástico, aún se disminuyen más los costes, ya que el anillo se puede entregar en la sucursal en el mismo momento de la contratación, y en ese mismo momento. también, se asocia a su titular.

Un riesgo de este sistema es la pérdida de control de elementos de marca, dado lo reducido del espacio grabado para incluir diseños. Así y todo, cabe pensar en un diseño elegante y compacto que transmita la imagen de la entidad financiera, así como la marca de maedios de pago tal como VISA o MasterCard. En el caso que se muestra, la imagen Java queda muy elegantemente destacada.

Entre los inconvenientes, cabe citar la necesidad de desplegar una infraestructura de recogida de operaciones: Terminales Punto de Venta (POS: Point of Sale) y Cajeros Automáticos (ATM: Automatic Teller Machine). Sin embargo, dada la actual presión por desplegar infraestructura de recogida de operaciones para tarjetas chip bajo la especificación EMV (especialmente desde la resolución adoptada en el área SEPA, Single Euro Paymen Area, de generalizar la adopción de EMV antes de fin del 2010) , cabría pensar en que por el mismo coste se puede disponer de una infraestrucrura que sirva tanto para EMV como para i-Button.

Además, pese a lo innovador de la propuesta, la tecnología i-Button es una tecnología madura, con muchos años en el mercado, y que ha llevado al fabricante, incluso, a definir modelos de almacenamiento de valor como el escasamente exitoso «monedero electrónico» que en la especificación CEPS («Common Electronic Purse Specification») ha sido poco respaldado por las entidades financieras.

Efectivamente, Dallas/Maxim ha publicado la especificacion de monedero: Digital Monetary Certificates, como nota de aplicación en la que se estudia de forma detallada la gestión de información asociada.

Estoy deseando poder definir el proyecto piloto de este medio de pago con una entidad financiera que se considere avanzada. A ver si alguna se anima…

Documentos Extraviados y Robados (DER Servicio SADP en el CCI), alternativa a PERSUS

72 respuestas

Hace unos días mencionaba un iniciativa para reducir los problemas que se producen cuando perdemos o nos roban la documentación, y de forma destacada, el DNI. Se trata del fihero PerSus gestionado por ASNEF-Equifax.

Rafael Marín, del Centro de Cooperación Interbancaria (CCI), me comenta otra iniciativa que se ha acometido desde esta institución con el mismo objetivo, enmarcada en su política de Prevención del Fraude.

Se trata del Fichero de Documentos Extraviados y Robados (accesible a través del Servicio de Actualización de Datos Personales SADP) que permite que las entidades financieras puedan comprobar ciertos datos en el momento en el que una persona acude a abrir una cuenta en una oficina, aportando documentación que pudiera o no ser robada.

Es importante este tipo de inicativas para paliar los efectos adversos de perder el DNI o de que te lo roben, como se documenta en estos casos:

Sobre este asunto reproduje un artículo originalmente publicado por El Mundo.

Condenado por un caso de phishing, pharming, troyano

2 respuestas

Por Alvaro del Hoyo, me he enterado de esta noticia publicada en El Correo Digital y que documenta el caso de una sentencia a «una mula» que interviene en un caso de phishing y similares. La «mula» es la persona que interviene en el paso de enviar y recibir dinero, muchas veces sin enterarse, o sin querer enterarse, de la procedencia del dinero.

Condenado por estafar 30.000 euros a un colegio de Getxo a través de Internet.

La noticia está firmada por O. B. OTÁLORA y A. DE LAS HERAS y sus e-mails pueden verse en la noticia publicada en la página web del Correo Digital.

Transcribo la noticia por si dejara de estar disponible en el medio original.

La Audiencia provincial vizcaína ha ratificado la condena impuesta por el Juzgado de lo Penal número 5 de Bilbao a Oleksiy L., ciudadano ucraniano de 30 años, a dos años y medio de prisión por una estafa continuada de casi 30.000 euros vía Internet a un colegio de Getxo. Según ambas sentencias, a las que ha tenido acceso este periódico, el acusado abrió cuatro cuentas corrientes en distintas sucursales bancarias de Sevilla, que recibieron nueve transferencias no autorizadas oficialmente de importantes cantidades de dinero, de entre 3.000 y 6.000 euros, los días 1, 4 y 6 de diciembre de 2004.

Según la última resolución de la Sección Segunda de la Audiencia, el caso responde a una trama urdida por varias personas cuyas identidades se desconocen, entre ellas un ‘hacker’ que introdujo un virus ‘troyano‘ -programa que suele estar oculto bajo la apariencia de una fotografía o publicidad remitida por correo electrónico- en uno de los ordenadores del centro escolar. De esta forma, lograron violar las claves secretas de acceso y ordenar traspasos de dinero a los números de cuenta cuyo titular era Oleksiy L., anteriormente citadas.

Lo más sorprende de la estafa radica en que el ‘troyano‘ estaba alojado en la página de una empresa de Japón (sin que ellos lo supieran), de donde se descargó al sistema operativo del colegio vizcaíno. Las claves fueron enviadas a Estonia y las transferencias, realizadas desde Estados Unidos y Ucrania. Una perfecta red en la que el verdadero cerebro resulta difícil de desenmascarar.

La alarma saltó gracias al responsable de un banco que sospechó de la legalidad de una de las operaciones y realizó una llamada telefónica de confirmación. La directora del colegio negó haber ordenado ninguna traspaso de dinero en las fechas señaladas, y no le cabía ninguna duda ya que se trataba de días festivos. La responsable del centro educativo presentó una denuncia ante la Ertzaintza y expertos informáticos del cuerpo iniciaron entonces una investigación que concluyó con la detención en Sevilla de Oleksiy L.

Indemnización a la BBK

Durante el juicio, el único acusado, último escalón del entramado, alegó que abrió las cuentas como «favor» a varios compatriotas ilegales que trabajaban de temporeros en el campo y querían ingresar sus salarios. El inmigrante negó que conociera el origen ilícito del dinero, aunque admitió que días después escuchó que podía proceder de un robo. Esta versión no ofreció «credibilidad» al magistrado ni al tribunal que revisó la primera sentencia.

La sala ratifica la prisión provisional en que se encontraba el condenado por el riesgo de fuga y le condena a indemnizar con 20.868 euros a la BBK, entidad perjudicada que reclamaba como acusación particular más de 50.000 euros. La BBK devolvió en su día a la escuela parte del dinero transferido. Otro intento de estafa no llegó a materializarse y el dinero quedó retenido.

El Ministerio fiscal reclamaba la misma pena a la que finalmente ha sido condenado el inculpado; la acusación privada pedía tres años de cárcel, y la defensa solicitaba la libre absolución por considerar que no había delito.

Es muy importante que se produzcan noticias como esta para acabar con la sensación de impunidad y de bajo riesgo que se produce en caso de phishing, pharming, troyanos y similares.

Sorprende que teniendo estos tipos de fraude la incidencia que tienen y la alarma social que generan, no se hayan producido acciones más enérgicas de las entidades financieras que habitualmente siguen esquemas defensivos que aspiran únicamente a actuar de paliativo.

Es preciso dar algunos pasos que permitan localizar, perseguir, detener, juzgar y encarcelar a todos los participantes en las tramas de engaño, estafa y fraude que sustraen fondos por internet a los usuarios de la Banca Electrónica, causande un grave perjuicio en la imagen e incluso en los resultados de las entidades financieras. Y estas acciones deben llevarse a cabo en el marco de la legalidad y considerando todos los condicionantes de las operaciones transfronterizas.

Espero poder contaros en breve qué acciones se van desarrollando para combatir la impunidad.

Google Checkout: la cartera de pago por Internet

1 respuesta

Me he enterado a través del blog de Jordi Miró.

¿Qué pasaría si Google tuviera los números de tu tarjeta de crédito?

Pues que sería un aliciente para los «robos de identidad», robos de contraseñas y otras modalidades de suplantación y phishing.

Aunque el hecho de que Google se meta en esto hace probable la adopción del sistema y su generalización, a mí me da un poco de miedo.

Por lo demás el tema no es nuevo: Google Checkout es una especie de Paypal o ePagado o una de las múltiples variantes de cartera virtual.

Desde luego, podría ser una aplicación «killer» si se combinara con el teléfono móvil a estilo de Mobipay. Ya sabes: seguridad de «doble factor»: algo que tienes y algo que sabes.