Archivo de la categoría: Medios de Pago

Google Checkout: la cartera de pago por Internet

1 respuesta

Me he enterado a través del blog de Jordi Miró.

¿Qué pasaría si Google tuviera los números de tu tarjeta de crédito?

Pues que sería un aliciente para los «robos de identidad», robos de contraseñas y otras modalidades de suplantación y phishing.

Aunque el hecho de que Google se meta en esto hace probable la adopción del sistema y su generalización, a mí me da un poco de miedo.

Por lo demás el tema no es nuevo: Google Checkout es una especie de Paypal o ePagado o una de las múltiples variantes de cartera virtual.

Desde luego, podría ser una aplicación «killer» si se combinara con el teléfono móvil a estilo de Mobipay. Ya sabes: seguridad de «doble factor»: algo que tienes y algo que sabes.

Fraude en las apuestas por Internet

28 respuestas

Aunque era de prever que sucediera, la noticia empieza a ser importante por la enorme expectativa que ha levantado el mundial de fútbol y las pasiones que desata.

Las casas de apuestas (empresas como Ladbrokes, William Hill, Coral, Paddy Power o Bet 365) pueden desarrollar actividades que son legales en un país e ilegales en otro. Y en ocasiones incumplen la normativa española de contratación a distancia, en particular en lo referido a sus cláusulas abusivas. La noticia la publica La Voz de Avilés-El Comercio y de ella entresaco la siguiente cita:

Entre otras situaciones de riesgo, la UCE explicó que al darse de alta en estas páginas, los usuarios se ven obligados a aceptar unas clausulas que permiten a su dirección modificar las reglas a su antojo, reglas que están sometidas a las leyes de Antigua y Barbuda, un paraíso fiscal al que es imposible realizar cualquier reclamación en caso de fraude o deficiencia en el servicio.

La UCE relató el caso de un usuario que, tras abrir una cuenta aportando una cantidad inicial, descubrió que su saldo estaba bloqueado y no podía recuperarlo sin que existiera una causa justificada. A pesar de que presentó numerosas reclamaciones a la dirección de correo electrónica facilitada, no obtuvo ningún tipo de respuesta.

Consulta pública de la Comisión Europea sobre el sector financiero

Deja un comentario

La Comisión Europea ha publicado el Informe Provisional sobre las Tarjetas de Pago en el Area Unica de Pagos en Euros (SEPA, Single Euro Payment Area), para el que se ha abierto un período de Consultas que acaba el 21 de junio de 2006.

La Comisión cree que el sector financiero puede ser más eficiente y utilizar sistemas que no penalicen sus costes en la forma en que lo hacen ahora, de forma que pueda lograrse que los costes de todas las operaciones financieras de la Zona Euro sean iguales a los costes domésticos.

En el fondo es un problema político. La existencia de múltiples sistemas de compensación y liquidación, aunque funciona (y es uno de los más importantes logros del Sistema Financiero a lo largo de los años) implica complejidad y reparto de comisiones para todos los intervinientes.

Por otro lado, la existencia de múltiples entidades intermediarias, tambien garantiza cierto nivel de competencia.

Además, las infraestructuras desarrolladas en los diferentes paises atienden a idiosincrasias que sería complejo respetar en sistemas unificados sin una evolución conjunta de todos los paises hacia un eventual "modelo óptimo".

En este marco, en el que las entidades españolas están bien posicionadas por su competencia operacional y tecnológica, a veces se ven penalizadas por el uso del idioma inglés en las discusiones y las presiones de los representantes de todos los países por arrimar el ascua a su sardina.

En definitiva, las discusiones en el marco de SEPA, pretenden que el esfuerzo de adaptación de cada país al modelo común sea el menor posible. Y quizá ese objetivo, respetable, no sea el óptimo. Quizá el objetivo sería elegir un país como modelo más avanzado, exigirle mejoras al modelo y forzar a que el resto de países se ajusten al modelo.

En ese caso sí podría ganar el modelo de compensación y liquidación español, cuya principal crítica reside en que la compensación diaria en transferencias y adeudos no es transaccional y on-line sino por lotes y diferida.

Captación de mulas para phishing

1 respuesta

Los delincuentes del phishing están especializados y trabajan con una organización sistematizada.

  • Unos trabajan hackeando sitios web y poniéndolos a disposición de la organización.
  • Los siguientes utilizan sitios web hackeados para poner las páginas web que simulan ser las de una entidad financiera, y en la que se instalan los programas que recogen las passwords y los códigos de tarjetas de barcos.
  • Mientras, otros van obteniendo direcciones e-mail con técnicas de spammer, en ocasiones a través de virus especializados que husmean en los ordenadores de sus víctimas.
  • Los expertos en e-mail usan sus conocimientos para hacer llegar diferentes tipos de mensajes a diferentes tipos de víctimas-incautos, sin que los bloqueen los filtros antispam ni los filtros antiphishing.
  • Uno de los mensajes tipo es el destinado a engañar a los clientes de una entidad financiera en cuyo nombre se emiten los mensajes. El tono de la redacción de los mensajes no suele ser el que utilizaría una entidad financiera, y muchas veces las frases no están correctamente redactadas en la lengua en la que opera la entidad financiera y eso hace que frecuentemente sea relativamente fácil detectar el phishing a quien sabe de qué va eso. Sin embargo cada vez las técnicas de suplantación son más perfectas y los diseños de los email más profesionales.
  • Los responsables de los webs-zombie (los que van captando las passwords en webs hackeados) hacen llegar los datos de acceso a las cuentas bancarias a otros miembros de la organización.
  • Estos acceden a las cuentas con los datos obtenidos y envían transferencias a cuentas bancarias de las "mulas".
    Las mulas envían el dinero (menos la comisión que se quedan por su "trabajo") a otro destinatario a través de entidades remesadoras de envío de dinero en efectivo en las que se deja relativamente poco rastro.
  • La captación de mulas se hace por otra modalidad de mensajes tipo. En estos mensajes, el remitente dice trabajar para una multinacional "prestigiosa" y señala que has sido "seleccionado" para desempeñar un trabajo honrado y sencillo, recoger la recaudación de las facturas de los productos que exportan a tu país y enviársela a su organización. Algo, desde mi punto de vista, tan sospechoso, que sorprende que gente formada se lo haya creido y se haya prestado a ello. Y, por supuesto, haya sido detenida por la policía, al ser el primer elemento de la cadena de movimiento de dinero de la organización, con la identificación de la cuenta proporcianada por el defraudado.

Para que veais el ingenio de estos tipos, os adjunto un mensaje que envían en modo gráfico, de forma que puedan soslayar la técnica de análisis de palabras de los filtros antispam.

Captacion de mulas

Más sobre el nuevo tipo de fraude en comercio electrónico

2 respuestas

Como e introducido en el post anterior,  asistimos a una nueva modalidad de ataque a tiendas virtuales,que usa las mismas técnicas que el crimen organizado ha creado para el phishing: la contratación de "mulas".

Hasta hace poco tiempo los mails que ofrecían trabajo desde casa se concentraban en ofrecer compensaciones "laborales" por llevar a cabo unas cuantas transacciones económicas: transferencias a determinadas cuentas por empresas remesadoras, y recepción de pagos "de clientes" en cuentas bancarias propias.

Aunque parece increible que haya gente que se crea la historia (sobre todo en aquellos primeros e-mails tan cutres, últimamente el aspecto ha mejorado mucho), lo cierto es que personas de cierto nivel cultural (y usuarios frecuentes de internet) han sido detenidas por su participación "involuntaria " en las redes de fraude "phishing" y en el posterior "blanqueo" de dinero.

Esta técnica se extiende ahora, y las ofertas para "trabajar desde casa" incluyen la gestión de "paquetes enviados por los clientes" de la "empresa" que ofrece el trabajo (no olvidemos que lo normal es enviar paquetes a los clientes, no al revés).

Estos "paquetes" son los que contienen los productos que las empresas de comercio electrónico envían engañadas a destinatarios aparentemente fiables. A las tiendas debería hacerles sospechar la adquisición de pedidos tan grandes y el hecho de que en ellos pidan incluir teléfonos móviles y otros objetos de alto valor y fácil reventa.

En definitiva, el crimen organizado en guerra contra el comercio electrónico, que tiene menos medios para reaccionar que las entidades financieras.

Como muestra, mirad el tipo de e-mail que envían para captar "mulas":

You might have noticed how the recent changes of all kinds influence your life. Constant growth of prices, low wages, employment problems. If you aren't satisfied with your present income or it doesn't comply with your capabilities; If you constantly lack money; If you want to better your financial status or you are just looking for a part-time job, then this job is what you need. Consider the advantages of the work we offer: Extra incomeYou might have noticed how the recent changes of all kinds influence your life. Constant growth of prices, low wages, employment problems. If you aren't satisfied with your present income or it doesn't comply with your capabilities; If you constantly lack money; If you want to better your financial status or you are just looking for a part-time job, then this job is what you need. Consider the advantages of the work we offer: Extra income
Minimal expenses and no expenditures at all (only I-net and e-mail)
The easiness of work. – Possibility to combine this work with your occupations (you just need to check your e-mail several times a day) For this work you don't need a special education possessing some special skills or knowledge possessing storehouse, office, special equipment.
The job we offer is related to mail. It is an easy job which doesn't require leaving your main occupation. You will have to receive to your home address parcels from our clients and ship them out further following our manager's instructions ($30 for each shipped out box). Contact us by e-mail and you will be sent a list of vacancies available at the present time. You work will be paid for without any delays.
You may work with several orders at a time as well as work with each one separately

Nuevo tipo de fraude contra las tiendas virtuales

1 respuesta

Un nuevo tipo de fraude de las mafias del phishing se empieza a ver por España (y, con toda probabilidad, por todo el mundo), esta vez dirigido contra las tiendas virtuales.

Los defraudadores se dirigen por e-mail a la tienda ofreciendo hacer un pedido grande, y, al mismo tiempo pidiendo lotes de otros productos que la tienda no vende, como teléfonos móviles.

La credibilidad que tiene para una tienda el hecho de que se dirijan a ella juega a favor del defraudador.

Lo que nos debe hacer pensar es la petición de objetos que no sean típicos de nuestro negocio.

Este tema lo ampliaré próximamente porque me están llegando detalles de algunos amigos sobre el "modus operandi" de los delincuentes y detalles para reaccionar de la forma correcta. 

La percepción de seguridad

2 respuestas

En el fondo es un problema de confianza, no de seguridad.

El hecho de que los phishers puedan hacerse su propio certificado de servidor web y simular un entono seguro con SSL ya empieza a preocupar a los usuarios y a desmitificar la supuesta seguridad de este protocolo.

Entendedme, no estoy en contra del SSL: garantiza el cifrado de las comunicaciones entre el servidor y el navegador, pero poco más.

No garantiza que la URL a la que accedemos sea la del servidor. De hecho, hay bancos que usan el certificado de seguro.banco.com en http://www.banco.com o viceversa, y el usuario está acostumbrado a decir OK al aviso de alarma del navegador. 

No garantiza que el certificado que aparece emitido por una autoridad de certificación, esté de verdad emitido por ella. De hecho al certificado autofirmado que nos hacemos cuando creamos la root puede contener los datos que la inspiración nos haya dictado en ese momento, como Verisign, FNMT o Moncloa

Muchos PSC (Prestadores de Servicios de Certificación) de plena confianza no está incluidos en el repositorio de confianza del navegador, por lo que nos crean malos hábitos como el de dar por buena cualquier instalación de root en nuestro sistema que nos sale al paso.  

En definitiva: tenemos que hacer algo más para lograr la confianza que la ¿falsa? sensación de seguridad que da el candadito que señala el funcionamiento del SSL. 

Chipeteras

Deja un comentario

Los lectores de tarjeta chip. a veces se llaman "chipeteras" por similitud con  las "disqueteras" que permiten leer los diskettes magnéticos.

Las tarjetas inteligentes (también llamadas tarjetas chip o smartcards) se utilizan cada vez más en diferentes ámbitos: 

  • Como tarjetas de identificación en telefonía móvil GSM (se denominan SIM Card a partir del término Subscriber Identification Module, es decir , módulo de identificación de abonado).

  • Como tarjetas de alta seguridad en Medios de Pago (VISA y MasterCard han definido conjuntamente el estándar EMV que define el tipo de tarjeta que todas las entidades financieras han comenzado a emitir y que deben poseer todos sus clientes antes de 2010, como parte de los compromisos impuestos por las autoridades en el marco de la SEPA: Single Euro Payment Area).

  • Como tarjetas sanitarias, en base a las que, por ejemplo, pueden llevarse a cabo proyectos de Receta Electrónica

  • Como tarjetas de identidad digital en Firma Electrónica, constituyendo lo que la normativa denomina "dispositivo seguro de creación de firma". Desde este punto de vista, Cámaras de Comercio, Colegios Profesionales, e instituciones públicas han desarrollado estructuras de certificación (PKI) y Prestadores de Servicios de Certificación (PSC) que permiten llevar a cabo con estas tarjetas la firma electrónica avanzada y las firmas electrónicas reconocidas o cualificadas.

Una de estas tarjetas, es la utilizada en el DNI electrónico que ha empezado a emitirse en marzo de 2006. Para poder utilizar el DNI electrónico es preciso disponer de un lector de tarjeta chip conectado al ordenador.

Además del lector de tarjeta chip, y el propio DNI hacen falta las piezas de software de cada dispositivo. El driver CSP del DNI electrónico se encuentra en http://www.dnielectronico.es/. El driver PC/SC del lector se obtiene en el web del fabricante, cuya dirección se entrega en la iformación suministrada con el lector.

Firma electrónica en Banca

1 respuesta

Factura electrónica y DNI electrónico son conceptos unidos por algo más que por el “apellido” electrónico. Ambos son dos expresiones de la importancia que está adquiriendo la firma electrónica.

Los primeros proyectos de firma electrónica españoles se llevaron a cabo en el ámbito de las universidades y de las entidades financieras en 1995. Sin embargo, tras el tropiezo que sufrieron proyectos como GTA o Identrus, o las abortadas iniciativas PKI de Iberion, las entidades financieras han adoptado una actitud de "wait and see".

Algunas de ellas advierten el potencial que la nueva normativa (Ley 59/2003) otorga a la firma electrónica cualificada y empiezan a pensar en cómo adaptar las tarjetas de crédito EMV (tarjetas con chip que, según la normativa de Visa y Mastercard seberán sustituir a las actuales con banda magnética) para que permitan llevar a cabo todo tipo de trámites.

 Sin embargo, quizá el reto más importante y para el que pocas entidades están preparadas, es para el despliegue de servicios que se tiene que asociar al DNI electrónico. A partir del 15 de marzo de 2006, y a un ritmo de seis millones de documentos al año, los ciudadanos españoles dispondrán de un mecanismo que no sólo permitirá acreditar su identidad a distancia, sino firmar electrónicamente con el DNI y con su PIN, también en entornos presenciales.

Y las casi 40.000 oficinas bancarias españolas no están preparadas para esto.

En lo que sí empiezan a estar preparadas es en el despliegue de estructuras de gestión de facturas electrónicas, con lo que pueden ser el verdadero motor del éxito de la facturación electrónica en España.

Aunque la normativa europea que generalizará la validez de la factura electrónica es de 2001, las autoridades tributarias españolas adoptaron tempranamente medidas que aceleraran su adopción en España ya en el año 2002.

La Agencia Tributaria ha publicado un nuevo Reglamento de facturación en 2003 y ha simplificado en 2005 los requisitos de la factura rectificativa (que sustituye a la nota de abono, con grandes quebraderos de cabeza para las pymes).

Varias entidades financieras han comenzado a dar pasos en el uso propio de la factura electrónica y en el despliegue de plataformas para sus clientes que se enmarcarán en sus sistemas de banca electrónica para empresas.

Gracias a las facilidades que la nueva norma otorga a los mecanismos de facturación a través de terceros, la posible complejidad del uso de la firma electrónica queda escondida en un simplificado interfaz de usuario que se centra en lo esencial: emitir y recibir facturas, y gestionar su cobro o su pago o el anticipo de crédito a través de la entidad financiera.

Unicaja, Caja Madrid o Eurobits son interesantes exponentes de las mejores prácticas en el despliegue de plataformas de factura electrónica que, en manos de las empresas, mejorarán la eficiencia y la competitividad y conllevarán ahorros de hasta 4 euros por factura gestionada.

HalCash

1 respuesta

Hal Cash, el nuevo sistema de envío de dinero al móvil diseñado por Caixa Galicia y Bankinter, está ganando adeptos, al mismo tiempo que más entidades financieras se adhieren al sistema.  Además de las entidades mencionadas, ya están operativas en el sistema las siguientes entidades españolas: Bancaja, Banesto, Caja Laboral Popular, Cajamar y El Monte, y en Ecuador, Banco Guayaquil.

A través del sistema de banca electrónica de la entidad, o por diferentes canales, incluida las propias oficinas (depende de la entidad, y la forma que ésta haya elegido para desplegar el servicio) el ordenante indica el número de teléfono móvil al que quiere enviar el dinero. La entidad le devuelve un código de autenticación y envía al destinatario un SMS con un código de activación.

El ordenante comunica mediante una llamada telefónica el código de autenticación al beneficiario (en la que se cerciora de su identidad).

El beneficiario, con ambos códigos, acude a cualquier cajero automático de cualquiera de las entidades participantes, y obtiene el dinero. Dispone de 10 días, a partir de la fecha de envío, para retirar el dinero: si el dinero no es retirado por cualquier motivo, se devolverá el importe enviado a la cuenta corriente del ordenante.

Con este sistema se puede enviar el dinero incluso a quienes no tienen cuenta bancaria (de forma semejante a como funciona Western Union, o el clásico sistema bancario, hoy en desuso, de envío de dinero a una sucursal con indicación de «a disposición» que permitía entregar la cuantía tras identificar a la persona que se presentaba solicitándolo).

Dado que el sistema está diseñado para poder obtener dinero en los cajeros automáticos, es conveniente elegir una cuantía que sea múltiplo de las denominaciones habituales disponibles en los cajeros en el país de destino.

Otro de los aspectos destacables es el coste económico del envío, que ronda los 2 euros y que se reparte, según indican las entidades financieras participantes, del siguiente modo: 1 euro para el banco o caja que aporta el cajero, 0,5 euros para el banco o caja que inicia el envío y 0, 5 euros para HalCash por el servicio de intermediación.

El sistema incluye interesantes mecanismos de control para evitar su uso como mecanismo de blanqueo de dinero.