Archivo de la categoría: Seguridad

A Segurança nos Meios de Pagamento

3 respuestas

Estos dias estoy recopilando información sobre la Factura Electrónica en Portugal, ante la posibilidad de impartir un seminario sobre el tema en Lisboa.

Brujuleando por internet he llegado a un interesante temario sobre Seguridad en Medios de Pago que coincide con uno que yo imparto en español. Seguro que es muy interesante. Este cuenta con la peculiaridad de estar adaptado al contexto de entidades de medios de pago de Portugal.

MÓDULO I – A segurança dos Meios de Pagamento. Regulamentação e Aspectos Jurídicos

  • Aspectos a ter em conta na contratação do serviço de cartões e comércios
  • Cobertura de um seguro de gestão de contratação
  • Legislação sobre branqueamento de capitais e como afecta os cartões de crédito
  • Legislação Vigente nos Meios de Pagamento
  • Protocolos de actuação
  • Quais são as recomendações da UE na utilização dos cartões
  • Como actuar perante o aumento das incidências e das reclamações

MÓDULO II – Gestão da fraude e evidências electrónicas

  • Medidas de segurança físicas no cartão de crédito
  • Identificação das fraudes nos serviços multibanco
  • Identificação das fraudes nos comércios
  • Identificação de Comércios potencialmente fraudulentos
  • Sistemas de seguimento da operativa dos cartões
  • Roubo de identidade no mundo físico
  • Roubo de Identidade no mundo virtual
  • Outros tipos de ataque na Internet
  • Ferramentas de protecção e de análise informática
  • Colaboração com a policía e com outras entidades
  • Pautas de comunicação aos usuários e aos meios de comunicação

MÓDULO III – O dia-a-dia da Fraude Com:

A Experiência Prática da UNICRE

Conheça as situações reais da fraude com a experiência incomparável da UNICRE, a maior empresa portuguesa especializada na gestão e emissão de cartões de pagamento

  • Grandes linhas da evolução recente da fraude:
    – A situação em Portugal face a referências internacionais
  • Conceitos e medidas chave de combate à fraude
  • O custo da fraude

MÓDULO IV – Tratamento dos riscos associados à implementação do SEPA

  • EPC – European Payments Council
    – Atribuições e objectivos
  • Entidades envolvidas – o papel dos bancos
  • Enquadramento legal – normalização jurídica
  • Implementação – objectivos de 2008 e de 2010
  • Riscos jurídicos do SEPA
  • Rede Transfronteiriça de denúncias extrajudiciais no âmbito de serviços financeiros no espaço económico – FIN – NET

MÓDULO V – Implicações Jurídicas da Contratação Eléctrónica

  • Segurança nas transacções electrónicas e circulação de informação
  • Eliminação das barreiras à contratação electrónica
  • Reforço dos direitos dos consumidores
  • Instrumentos jurídicos de combate às actividades e conteúdos ilegais em rede
  • Combate às comunicações não solicitadas (Spam)
  • Pagamentos através da Internet
  • Tributação na Internet

MÓDULO VI – Meios Especiais de autenticação

  • Autenticação através da assinatura digital
  • Auntenticação em EMV

MÓDULO VII – Desafios do B.I. e a Assinatura Electrónica

  • A criptografia de chave pública e a assinatura electrónica
  • Usos da assinatura electrónica
  • Desafios do B.I. electrónico para as entidades financeiras
  • Assinatura electrónica com o B.I. electrónico, presencial e à distância

SPF: lucha contra el phishing y contra el SPAM

5 respuestas

Desde la Subdirección General de Servicios de la Sociedad de la Información se están impulsando importantes iniciativas para mejorar la situación española en el ámbito de la seguridad de las redes.

Una de ellas es la difusión y generalización de medidas de lucha contra el SPAM, contra el phishing  y contra la captación de ordenadores «zombi» en redes esclavizadas (botnets) .

Como primera medida, la mera adopción de técnicas de configuración de dominios  SPF (Sender Policy Framework) en ISP (proveedores de servicios Internet) y grandes empresas reduciría en buena medida el envío de correos con información de remitente falsificada y con ello muchos de los mensajes de correo no deseados entre los que se incluyen los que simulan proceder de entidades financieras (phishing).

La adopción de esta técnica consiste en incluir algunos registros especiales en la configuración de los DNS (los servidores de nombres de dominio) en los que cada entidad asocia direcciones IP a los servidores vinculados con los diferentes nombres de subdominio.

Así como en los DNS se indican los servidores de correo que reciben los mensajes dirigidos a los diferentes dominios (lo cual es imprescindible para identificar a los destinatarios) el uso de SPF implica identificar los servidores (sus direcciones IP) desde los que pueden proceder los mensajes en los que se identifican remitentes asociados a un dominio.

Si los servidores de correo que reciben mensajes chequean que las direcciones IP desde las que proceden son las adecuadas según el remitente, identifican el correo como legítimo y simplifican las reglas de catalogación de SPAM.

Sorprende que muchas entidades financieras no hagan uso de esta configuración en sus DNS, por lo que no facilitan el bloqueo de mensajes de correo de suplantación y se arriesgan a que sus clientes puedan ser víctimas de «phishing»

Circular 1293 (2005) de la AEB

3 respuestas

La Circular 1293 de la AEB correspondiente a la Comisión de Operaciones y Procedimientos (COP) 29/2005 «Procedimiento para la reclamación de transferencias de fondos efectuadas fraudulentamente por internet» de 12-07-05 es una herramienta esencial a la hora de perseguir delitos como el phishing.

Se corresponde con la de título homónimo » PROCEDIMIENTO PARA LA RECLAMACIÓN DE TRANSFERENCIAS DE FONDOS EFECTUADAS FRAUDULENTAMENTE POR INTERNET» de UNACC identificada con el número 8 y la fecha 13.07.05 . UNACC identifica la número 7 la circular de 08.07.05 con un título más genérico: PROCEDIMIENTOS PARA LA RECLAMACIÓN DE TRANSFERENCIAS DE FONDOS EFECTUADAS FRAUDULENTAMENTE, que coincide en denominación con la Circular de COAS 24/267 de 13 de julio de 2005.

En virtud de esta norma, la entidad que detecta una actuación fraudulenta que dio lugar a una transferencia desde la cuenta de su cliente a otra cuenta en otra entidad, puede solicitar a esta el bloqueo de la cantidad transferida.

Esta posibilidad es muy importante, porque hasta muy recientemente, una vez que se llevaba a cabo la liquidación entre entidades, el ordenante de una transferencia no podía anularla.

Lo que sí es importante, es actuar con celeridad para evitar que los delincuentes accedan a los fondos que se pretenden bloquear, lo que impediría que la entidad del beneficiario pudiera llevar a cabo la acción solicitada.

Reglamento (CE) 1546/2006 de la Comisión de 4 de octubre de 2006

6 respuestas

Es curioso.

En cada viaje nacional e internacional que hago en avión, no dejo de sorprenderme de la estupidez que rezuma la normativa de supuesta «seguridad aérea» que los guardias jurados, la guardia civil y otras policías tienen que imponer, muchas veces sin un conocimiento detallado y con la mejor voluntad.

En cada viaje me digo que en un próximo post en mi blog he de soltar mi opinión al respecto para quedarme a gusto y he ido posponiendo el tema por despiste.

Pero ya ha llegado la hora de poner «a caldo» el Reglamento (CE) 1546/2006 de la Comisión de 4 de octubre de 2006 que modifica el Reglamento (CE) 622/2003 por el que se establecen las medidas para la aplicación de las normas comunes de seguridad aérea

En primer lugar, veamos el texto:

LA COMISIÓN DE LAS COMUNIDADES EUROPEAS,

Visto el Tratado constitutivo de la Comunidad Europea,

Visto el Reglamento (CE) no 2320/2002 del Parlamento Europeo y del Consejo, de 16 de diciembre de 2002, por el que se establecen normas comunes en el ámbito de la seguridad de la aviación civil, y, en particular, su artículo 4, apartado 2,

Considerando lo siguiente:

(1) De conformidad con el Reglamento (CE) no 2320/2002, la Comisión deberá adoptar medidas, en caso necesario, para la aplicación de normas básicas comunes de seguridad aérea en el conjunto de la Comunidad. El Reglamento (CE) no 622/2003 de la Comisión, de 4 de abril de 2003, por el que se establecen las medidas para la aplicación de las normas comunes de seguridad aérea, fue el primer acto legislativo en el que se establecían tales medidas.

(2) Conviene adoptar medidas que den mayor precisión a las normas comunes, en particular para abordar el riesgo creciente de introducción de explosivos líquidos en la aeronave. Estas medidas deberán revisarse cada seis meses a la luz de los progresos técnicos, sus implicaciones en el
funcionamiento de los aeropuertos y los efectos en los pasajeros.

(3) Con arreglo al Reglamento (CE) no 2320/2002, y para prevenir actos de interferencia ilícita, las medidas establecidas en el anexo del Reglamento (CE) no 622/2003 deben mantenerse secretas y no ser objeto de publicación. Idéntica regla ha de aplicarse necesariamente a cualquier acto que las modifique. No obstante, los pasajeros deben estar claramente informados de las normas relativas a los artículos que está prohibido introducir en las aeronaves.

(4) Por consiguiente, procede modificar el Reglamento (CE) no 622/2003 en consonancia.

(5) Las medidas previstas en el presente Reglamento se ajustan al dictamen del Comité de seguridad de aviación civil.

HA ADOPTADO EL PRESENTE REGLAMENTO:

Artículo 1
El anexo del Reglamento (CE) no 622/2003 queda modificado por el anexo del presente Reglamento.

El artículo 3 de dicho Reglamento es aplicable en lo que respecta a la confidencialidad del presente Reglamento.

Artículo 2
El presente Reglamento entrará en vigor el vigésimo día siguiente al de su publicación en el Diario Oficial de la Unión Europea.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Bruselas, el 4 de octubre de 2006.

Por la Comisión
Jacques BARROT
Vicepresidente

ANEXO
En virtud del artículo 1, el anexo será secreto y no se publicará en el Diario Oficial de la Unión Europea.

Es interesante detectar la contradicción que existe entre que «los pasajeros deben estar claramente informados de las normas relativas a los artículos que está prohibido introducir en las aeronaves» y que «las medidas establecidas en el anexo del Reglamento (CE) no 622/2003 deben mantenerse secretas y no ser objeto de publicación» porque ello implica que cualquier norma abitraria puede ser impuesta sin el recurso de contrastar con la fuente legal.

Como técnica legislativa, también es lamentable, ya que es perfectamente posible disponer de 2 anexos, uno público y otro secreto, de forma que el legislador pueda controlar la consistencia entre ambos, y el anexo público permitiría cumplir el requisito de «informar claramente a los pasajeros».

Lo que trasciende de la norma (publicado, por ejemplo por AENA y en otros sitios de viajes y viajeros) supone un conjunto de medidas tan ridículas que hasta resulta extraño que hayan podido ser aprobadas por pesonas con 2 dedos de frente.

Lo cierto es que la propia elaboración del documento está bajo sospecha. Lo reveló ya hace algún tiempo Ignasi Guardans (que recientemente toca el tema en su blog con el tema «Sumisión Aeroportuaria«) en su artículo «Aeropuertos y legislación secreta» publicado en el Periodico.com y en «Bombas de desodorante» publicado en El Pais que no puedo evitar transcribir.

Aeropuertos y legislación secreta

Un comité que no rinde cuentas ante nadie nos impone unas normas que hemos de acatar sin rechistar

IGNASI Guardans (Diputado al Parlamento Europeo)

Miércoles, 30 de agosto del 2006 (la fecha debe estar mal, porque la norma que se comenta es posterior N.JI.).

Un grupo de expertos en seguridad aérea están reunidos en la planta alta de un edificio de Bruselas. Tienen biografías profesionales distintas, uno ha trabajado en medio mundo, el otro solo vivió fuera de su país durante unos cursos de formación. Pero todos conocen el último modelo de pantalla de rayos X que hay en el mercado, y tienen opiniones firmes sobre cuál es el mejor método para desalojar con urgencia un aeropuerto. Por parte de España asiste un técnico del Ministerio de Fomento. Juntos integran el llamado Comité de Seguridad de la Aviación Civil, creado en el 2002 para facilitar su trabajo a la Comisión en la aplicación de la normativa de seguridad.

LA REUNIÓN se celebra a puerta cerrada. El acta será confidencial. En la agenda, un solo punto: la petición del Reino Unido de extender a toda la UE la prohibición de líquidos en las cabinas de los aviones, tras el descubrimiento de un supuesto complot cuyos detalles son también secretos. La conclusión es doble: no se pueden detectar los explosivos líquidos con los actuales equipos, y difícilmente se puede prohibir cualquier líquido en un avión. Quizá, solo quizá, con otros sistemas sí se pueda, pero es muy caro. Tan solo cabe reducir el riesgo hasta un límite que se estima aceptable. Alguien propone seguir lo que ya han probado los americanos: envases de 100 ml hasta un máximo de 500 ml en bolsitas transparentes.

El 27 de septiembre, el Comité se reúne de nuevo, y por mayoría (con varios votos en contra) aprueba un listado de prohibiciones y unas pocas excepciones. También se permiten definir qué entienden por «líquidos», en una lista abierta. No son juristas, ellos van a lo importante, al grano: ¿para qué complicarse la vida con precisiones y matices? Ese mismo día, un simple intercambio de cartas con el presidente de la Comisión de Transportes del Parlamento Europeo, sin votación alguna, da un barniz democrático al texto. Y el 4 de octubre, la propuesta queda aprobada entre los puntos sin debate por el Colegio de Comisarios, convertida en el anexo secreto del Reglamento 1546/2006.

En apenas cinco días hábiles se ha aprobado una norma directamente aplicable en todos los aeropuertos de Europa. La misma que está detrás de los múltiples interrogantes y contradicciones que han hecho de su aplicación un ejemplo de caos y arbitrariedad en miles de puestos de control. Reglas sin rigor jurídico, de legitimidad dudosa, que no se conocen directamente, solo a través de folletos explicativos. Tampoco las podrá examinar ningún tribunal, al tener carácter confidencial.

¿Alguien imagina una situación similar en otros ámbitos de nuestro sistema jurídico? Es la tecnocracia en su sentido más puro. Pero siempre se puede aprender. A partir de ahora, el Código Penal lo pueden modificar los funcionarios de la Fiscalía General, las leyes de circulación y sus sanciones las pueden aprobar los técnicos de la DGT, y ya nos resumirán su contenido en impresos publicitarios. ¿Para qué necesitamos tanto Parlamento, tanta enmienda, tanta votación, tanto trámite público, tanta segunda o tercera lectura de los proyectos, tanta consulta? ¡Dejemos que nos gobiernen los que saben a golpe de decreto!

Está en juego la legitimidad misma del Derecho que se nos impone a veces desde la UE. Creo no ser sospechoso de falta de convicción europeísta. Y precisamente por ello creo que es necesario denunciar las cosas con claridad. Aunque sea una materia compleja. Porque es esa misma complejidad la que permite ocultar decisiones y métodos que, como la gangrena, están dañando seriamente la democracia del sistema.

En la raíz está la perversión de un mecanismo que la inmensa mayoría de los lectores ignora: la comitología. Les animo a ir a Google: «comitología«. Verán que no lo he inventado, aunque suene mal. Lo que nació como un mecanismo de consulta para mejorar los procesos de ejecución de las normas se está convirtiendo en algunos casos en un sistema rápido para legislar sin rendir cuentas ante nada y ante nadie. Y, cuanto más compleja es la materia, mayor es la impunidad.

HOY, UN GRUPO de personas que nadie conoce, reunidas sin publicidad, y que ante nadie responden políticamente, nos han impuesto unas reglas que estamos obligados a acatar dócilmente para velar por nuestra seguridad. ¿Y mañana? ¿Qué nos espera mañana? Tiene gracia (o deprime, según el día) que cuando se le pregunta al comisario de Transportes, Jacques Barrot, consciente de que él no tenía la autoridad para aprobar lo que ha aprobado, responda con cinismo que «las medidas que contempla este reglamento fueron aprobadas por los estados miembros y por el Parlamento con arreglo a los procedimientos en vigor«. Ya les he contado cómo.

Busquen actas o diarios de sesiones donde la ministra de Fomento haya debatido con sus colegas o en el Congreso lo que un funcionario de su departamento aceptó en nombre de nuestro país. No lo encontrarán. En Madrid les dirán que esto lo impone Europa. Y en Bruselas les dirán que sin el consentimiento de Madrid, París o Berlín o Praga no lo habrían podido aprobar. Y, entre tanto, todos a obedecer sin preguntar, y nuestra democracia y nuestros ideales europeos cada día un poco más pobres, cada día un poco más débiles.

Bombas de desodorante (via Tribuna Libre)

Desde hace unos días, millones de pasajeros en los aeropuertos de toda Europa creen que alguien se ha vuelto loco.

Por Ignasi Guardans i Cambó, diputado al Parlamento Europeo. Alianza de los Demócratas y Liberales por Europa (EL PAÍS, 23/11/06):

Hasta el momento, en el mejor de los casos, los pasajeros hacen en cada caso un acto de resignación, que a pesar de su carácter laico se asemeja mucho a la más genuina resignación cristiana: Dios, en su infinita sabiduría, sabe más que nosotros, y si nos hace pasar por este trance seguro que tiene sus motivos. No somos nosotros, pobres criaturas, quienes debamos poner en cuestión su Providencia. Pero aquí el papel de Dios, como muy acertadamente escribía en estas páginas uno de sus mejores columnistas, lo asume la Unión Europea, aunque nadie sepa muy bien a qué o a quiénes nos referimos al invocar a esta nueva divinidad que ordena nuestras vidas.

Sin embargo, para quienes hace tiempo que rezamos más bien poco y cuando tratamos con la autoridad competente preferimos sustituir la aceptación religiosa por la exigencia democrática y ciudadana, es importante denunciar en voz alta esta situación que a mi juicio refleja las graves perversiones de un sistema normativo que afecta a nuestras vidas y a veces es más propio de la China de hace 25 años que de nuestras democracias.

El 27 de septiembre de 2006 se reunió el Comité de Seguridad de la Aviación Civil, un organismo técnico formado por expertos de los 25 Estados miembros creado en el año 2002 para auxiliar a la Comisión Europea cuando deba formular propuestas en la materia. En esa reunión se debatió una propuesta de revisión de las medidas de seguridad, que contenía las nuevas normas sobre líquidos, entre otras. Las mismas que en Europa llevaban unos meses aplicándose sólo en vuelos desde y hacia el Reino Unido. Normas improvisadas tras la supuesta desarticulación de un supuesto comando que pretendía un supuesto atentado de grandes dimensiones (no es quien firma, sino el New York Times quien puso en cuarentena gran parte de la información que sobre ese oscuro episodio se divulgó desde Londres).

La reunión de ese órgano técnico fue a puerta cerrada, y el acta de la sesión es secreta. En Europa lo “secreto” está creciendo en la misma medida en que crece la etiqueta “seguridad”. En todo caso, según fuentes de confianza, los técnicos de tres Estados rechazaron la propuesta por desproporcionada. Aun así, se aprobó con una mayoría muy cualificada.

La semana siguiente, sin previa consulta al Parlamento ni a nadie, la Comisión Europea aprobó el Reglamento 1546/2006, que convertía en ley para toda Europa la propuesta técnica cerrada unos días antes. Pero la norma nunca ha sido publicada: el texto -que se impone directamente a todas las autoridades de Europa- fue también declarado secreto. Es decir: el Reglamento tiene un solo artículo, que se limita a aprobar un Anexo con las especificaciones sobre qué se puede llevar, cuándo y cómo. Y estas reglas “serán secretas y no se publicarán”, aunque “se pondrán a disposición de las personas debidamente autorizadas por los Estados miembros o por la Comisión”.

En consecuencia, los ciudadanos no tenemos ninguna posibilidad de verificar, o en su caso impugnar, la aplicación de esta norma, porque no tenemos derecho a conocer su contenido. Claro que tampoco la conocen los uniformados que deben aplicarla en los controles de nuestros aeropuertos, profesionales que encuentran en su intransigencia y su rigidez la mejor garantía de continuidad para su puesto de trabajo. Ellos y ellas han recibido simplemente un folleto con instrucciones. Y sólo ellos tienen la autoridad para decidir si autorizan o no un bote con leche materna, si hay que descalzarse o no y por qué, o si deben exigir receta médica por un jarabe contra la tos que puede ser esencial para el viajero pero que no la necesita.

La Comisión se limitó a publicar una extensa nota de prensa en forma de preguntas y respuestas, que por lo demás ilustra bien la frivolidad con la que se ha actuado, por ejemplo al reconocer que todo se basa en lo que “han experimentado los americanos” (sic). En el texto informa también de una serie de confusas excepciones a las reglas, algo bien inútil pues hasta ahora las notas de prensa no pueden utilizarse como argumento ante las fuerzas de seguridad.

No consta debate alguno sobre la proporcionalidad de las medidas y sus alternativas (que el propio Frattini criticaba dos semanas antes de su aprobación). No sabemos qué base científica tienen las supuestas bombas líquidas, ni qué cantidades resultarían peligrosas. No se ha evaluado el impacto económico y comercial del incremento en la facturación de equipajes y su distorsión grave de todo el sistema aeroportuario europeo, en especial en materia de vuelos de conexión. Se ha impuesto de un plumazo un nuevo estándar de envasado a toda la industria cosmética y farmacéutica. Y a todo ello se añaden interrogantes graves en la protección de la dignidad y la intimidad de los viajeros, o sobre discriminación de los enfermos.

Millones de personas y miles de empresas sufren ahora los efectos de una norma secreta, impuesta por quienes poco menos que responden sólo ante Dios y ante la Historia, cuya entera tramitación legal ha durado una semana. O los europeístas combatimos y rechazamos estas prácticas, o ya llegarán quienes cuestionen el actual modelo de construcción europea con argumentos cada vez más difíciles de rebatir.

Lo cierto es que la barbaridad, con los abusos y arbitrariedades que conlleva está siendo acatada sin rechistar por los buenos ciudadanos por «su seguridad» (algunos con el cachondeo en la mirada y en la sonrisa, pero intentando no irritar a los funcionarios y contratados) tal y como señala Ignasi Guardans el post mencionado («Sumisión Aeroportuaria«) .

Pero cada vez hay más voces que avisan de que «el emperador está desnudo» y no es que lleve un traje que solo lo ven los listos:

Por cierto, respecto al secreto, tema que da para partirse de risa, no os preocupéis, porque en el propio web de La Moncloa se explican con detalle (usando los propios términos del anexo secreto) los aspectos principales del Reglamento de Seguridad Aerea (pdf).

OATH, iniciativa de autenticación abierta.

1 respuesta

Oath significa juramento en inglés, lo que nos da pie a hacer un chiste fácil: «por mis niños, que yo soy quien digo ser».

Proviene de los términos Open AuTHentication (autenticación abierta) y es una iniciativa que pretende lograr la interoperabilidad de los sistemas de autenticación del tipo OTP (One Time Password-  Claves de un solo uso).

Estos sistemas se denominan de doble factor («algo que tienes» y «algo que sabes») y suelen funcionar mediante un hash que se genera sobre una función en la que intervienen el tiempo (representado por un reloj interno en el dispositivo) y el identificador del dispositivo (su modelo y número de serie). 

En el pasado, empresas como Security Dynamics (que hoy opera con la marca RSA) lideraron este tipo de sistemas de autenticación (algo que ya comenté tras la adquisición de RSA por EMC2) que en la actualidad se ofrecen a través de diferentes proveedores:

  • Aladdin Knowledge Systems Ltd
  • Authenex, Inc
  • Axalto Inc.
  • Diversinet Corp.
  • Gemplus Corp.
  • Iteon
  • RedCannon Security
  • Vasco Data Security
  • VeriSign Inc.

Por otro lado, RSA con su SecurID recibe el apoyo de SanDisk que también participa en OATH.

El sitio web oficial de OATH es Open Authentication.

Está disponible el código fuente en java del algoritmo HMAC  en en el sitio web del IETF.

Y en España, yo llevo un tiempo intentando que se adopte en Banca.

Free Lotto es un engaño. Freelotto es un fraude.


Ya he avisado en anteriores ocasiones contra FreeLotto. No hay duda: es un fraude.

Es un fraude la forma ilegal de actuar de la citada entidad (por su marketing agresivo y poco claro), y lo son las múltiples variantes de fraude que citando a Free Lotto, o la lotería del Zodiaco, o la lotería de Camelot, o «El Gordo», o la de Microsoft, o la de Yahoo o la de Google intentan captar datos personales y entre ellos, datos financieros y de tarjetas de crédito. Son loterías inventadas por los delincuentes que citan marcas o nombres célebres para ganar credibilidad.

La mayor parte de ellas proceden de múltiples paises (muchas de Nigeria, o de nigerianos especializados en este tipo de fraudes y ubicados por su organización criminal en distintas partes del mundo), por lo que no se entiende el sentimiento «anti yanki» de muchos de los comentarios que se incluyen en este y otros webs, por personas que presuponen algún tipo de interés criminal o de desprecio contra los latinoamericanos por parte de los nortemericanos de «a pie».

Nada más lejos de la realidad. La policía norteamericana es la que de manera más constante y efectiva persigue este tipo de delitos y colabora en su persecución con las policías de todo el mundo.

A pesar de que debería parecer obvio para cualquiera que no es posible ganar un premio en una lotería sin haber jugado, y que, incluso en ese caso, la probabilidad de obtener un premio es estadísticamente despreciable, muchas personas llegan a este blog, ilusionadas, creyendo que encontrarán las instrucciones para cobrar «su premio» de 1 millón de dólares. Animadas porque las explicaciones están en español en contraposición con el lenguaje en el que le comunican el supuesto premio que han recibido en inglés.

A estas personas les tengo que insistir en que no hay una forma de reclamar «su premio» de un millón de dólares porque no existe tal premio.

Cualquier otra información que crean no es sino otro fraude más para obtener datos personales y financieros y posiblemente diversificar la forma de bombardear con correo no deseado (SPAM) o cobrarle dinero (SCAM) a base de engaños automatizados, muchas veces en el marco de redes mafiosas organizadas.

Si alguien ya ha dado los primeros pasos solicitados por los delincuentes, debe reconocer que ha sido engañado. Entre estos pasos están los de proporcionar datos personales y el número de la tarjeta de crédito. Si éste es su caso, cancele su cuenta de correo y su tarjeta de crédito y obtenga otras. Quizá lo de cancelar la cuenta de correo no sea tan importante, si la entidad que se la gestiona tiene un buen filtro anti-SPAM y usted puede configurarlo para eliminar como «correo no deseado» cualquiera que contenga los términos lottery o lotto.

Por favor no deje mensajes en este blog indicando su cuenta de correo electrónico y esperando respuestas de los lectores porque lo que seguramente sucederá es que los programas araña que van captando por todo tipo de páginas web direcciones de e-mail para usarlas en otros fraudes por email, volverán a incluirles en mensajes de correo electronico «basura».

Sin embargo son bienvenidos los mensajes que expliquen el funcionamiento de estos tipos de fraudes. Si deja comentarios, por favor, cuide la ortografía y no utilice palabras malsonantes.

Algunos de los lectores dejan mensajes que tengo que borrar. Borro los que son muy repetitivos, los que tienen muchas faltas de ortografía, los que utilizan palabras malsonantes o los que revelan datos personales.

Autoridades de Certificación aceptadas por Microsoft

3 respuestas

En la última actualización de Microsoft (en este caso la de junio de 2007) que recoge los Prestadores de Servicios de Certificación cuyos certificados raíz se incluyen en Internet Explorer (y en el resto de aplicaciones que acceden a los servicios criptográficos de sus sistemas operativos) se incluye una buena colección de prestadores españoles.

Son 11 Autoridades de Certificación, la mayor parte de los que se han acreditado ante el censo del Ministerio de Industria, Turismo y Comercio. Sólo Estados Unidos con 18 entidades supera en numero a las aportadas por España.

Member Location URL
e-turga Turkey http://www.e-turga.com
Finnish Population Register Centre Finland http://www.vrk.fi/
Latvian Post Latvia http://www.pasts.lv
Abogacia Spain http://www.redabogacia.com
Administracion National de Correos Uruguay http://www.correo.com.uy/correocert
Agencia Catalana de Certificacio (CATCert) Spain http://www.catcert.net
Agencia Notarial de Certificación (ANCERT) Spain http://www.ancert.com
AOL USA http://www.aol.com
AS Sertifitseerimiskeskuse Estonia http://www.sk.ee
Asociacion Nacional del Notariado Mexicano Mexico http://www.notariadomexicano.org.mx
A-Trust Austria http://www.a-trust.at
Australian Government Information Management Office (AGIMO) Australia http://www.agimo.gov.au/infrastructure/gatekeeper
Austria Telekom-Control Commission Austria http://www.signatur.rtr.at
Austrian Society for Data Protection (Arge Daten) Austria http://www.signatur.rtr.at/de/providers/providers/argedaten.html
Autoridad Certificadora Raiz de la Secretaria de Economia Mexico http://www.economia.gob.mx
Autoridad de Certificacion Firmaprofesional Spain http://www.firmaprofesional.com
Autoridade Certificadora Raiz Brasileira Brazil http://www.icpbrasil.gov.br
Autoritat de Certificacio de la Comunitat Valenciana (ACCV) Spain http://www.accv.es
Belgacom E-Trust Belgium http://www.e-trust.be
CAMERFIRMA Spain http://www.camerfirma.com
CC Signet (Centrum Certyfikacji Signet) Poland http://www.signet.pl
Certicámara S.A. Colombia http://www.certicamara.com/
Certipost s.a./n.v. Belgium http://www.certipost.be/
Certisign Brazil http://www.certisign.com.br/
CertPlus France http://www.certplus.com
Colegio de Registradores Mercantile (Spanish Property & Commerce Registry) Spain https://www.registradores.org
Comodo Group USA http://www.comodogroup.com
ComSign Israel http://www.ComSign.co.il
Cybertrust USA http://www.cybertrust.com/
Deutsche Telekom Germany http://www.telekom.de
DigiCert USA http://www.DigiCert.com
DigiNotar B.V. The Netherlands http://www.diginotar.nl
Dirección General de la Policía – Ministerio del Interior – España. Spain http://www.policia.es/
DST USA http://www.digsigtrust.com/
Echoworx USA http://www.echoworx.com/
Entrust Canada http://www.entrust.com/certificate_services/index.htm
eSign Australia http://www.esign.com.au/
e-turga Turkey http://www.e-turga.com
EUnet International Finland http://www.eunet.fi/
Finnish Population Register Centre Finland http://www.vrk.fi/
First Data Digital Certificates USA http://www.firstdata.com/index.jsp
FNMT (Royal Spanish Mint) Spain http://www.ceres.fnmt.es/
GeoTrust USA http://www.geotrust.com
GlobalSign UK http://www.globalsign.com/
GoDaddy USA http://www.godaddy.com
Government of France France http://www.ssi.gouv.fr/fr/index.html
Government of Japan Ministry of Internal Affairs and Communications Japan http://www.soumu.go.jp/menu_06/shinsei/ninshoukyoku.html
Government of Korea Information Security Agency (KISA) South Korea http://www.kisa.or.kr
Government of Taiwan Root Certification Authority (Chung Hwa Telecom) Taiwan ROC http://www.rdec.gov.tw, http://www.pki.gov.tw/
Government of The Netherlands (PKI overheid) The Netherlands http://www.pkioverheid.nl
Government of Tunisia National Digital Certification Agency Tunisia http://www.certification.tn/
Hongkong Post Hong Kong http://www.hongkongpost.gov.hk/product/cps/ecert/index.html
Internet Publishing Serivces (IPS Servidores) Spain http://www.ips.es/
IZENPE Spain http://www.izenpe.com
KMD Denmark http://www.kmd-ca.dk
Latvian Post Latvia http://www.pasts.lv
Microsec Ltd.e-Szigno Hungary http://www.e-szigno.hu
NetLock Hungary http://www.netlock.hu/
Network Solutions USA http://www.networksolutions.com
Post.Trust Ireland http://www.post.trust.ie/
PTT Post The Netherlands http://www.ptt-post.nl
Quovadis Bermuda http://www.quovadis.bm/
RSA USA http://www.rsasecurity.com/
Saunalahden Serveri Finland http://www.saunalahti.fi/
SECOM Trust Systems Co Ltd. Japan http://www.secomtrust.net
SecureNet Australia http://www.certificates-australia.com.au/general/snx.shtml
SecureSign Japan http://www2.jcsinc.co.jp
SecureTrust Corporation USA http://www.SecureTrust.com/
Serasa Brazil http://www.serasa.com/
SIA Italy https://ca.sia.it/
Sonera Finland http://www.sonera.com/
S-TRUST Germany http://www.s-trust.de
Swisscom Solutions AG Switzerland http://www.swisscom.com/solutions/
SwissSign AG Switzerland http://swisssign.com
TC TrustCenter Germany http://www.trustcenter.de/
TDC Denmark http://www.tdc.dk
Thawte South Africa http://www.thawte.com/
Trustis Limited United Kingdom http://www.trustis.com
TurkTrust Turkey http://www.turktrust.com.tr/
U.S. Government Federal PKI USA http://www.cio.gov\fpkipa
Unizeto Certum Poland http://www.certum.pl
UserTRUST USA http://www.usertrust.com/
ValiCert USA http://www.valicert.com/
VeriSign USA http://www.verisign.com/
Visa USA http://www.visa.com
Wells Fargo USA http://www.wellsfargo.com/certpolicy
WISeKey Switzerland http://www.wisekey.com/
XRamp USA http://www.xramp.com

Estos servicios de certificación se actualizarán para estos sistemas operativos:

  • Windows Vista Enterprise 64-bit Edition
  • Windows Vista Home Basic 64-bit Edition
  • Windows Vista Home Premium 64-bit Edition
  • Windows Vista Ultimate 64-bit Edition
  • Windows Vista Business
  • Windows Vista Business 64-bit Edition
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Microsoft Windows XP Professional for Itanium-based systems
  • Microsoft Windows XP Professional for Itanium-based systems
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Media Center Edition 2002
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Starter Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Web Edition

Comisión de Seguridad de ASIMELEC en Inteco

2 respuestas

Ayer nos desplazamos en bloque los miembros de la Comisión de Seguridad de ASIMELEC a León para celebrar una de nuestras reuniones periódicas en la sede de Inteco, donde tuvimos una amistosa acogida por sus gestores.

El viaje en autobús permitió, tanto a la ida como a la vuelta, repasar todos los chascarrillos del sector, por lo que la reunión propiamente dicha pudo circunscribirse de forma metódica a la agenda distribuida por Nacho Carrasco.

En la sede de Inteco fuimos partícipes de sus objetivos, especialmente en lo referido al impulso de la seguridad de los sistemas de información, y pudimos comprobar el gran alineamiento que existe en objetivos e incluso acciones, entre Inteco y la Comisión de Seguridad y Confianza de ASIMELEC.

Tras un recorrido por sus instalaciones, y, en particular en su Centro Demostrador de Seguridad para la PYME, fuimos agasajados con un «vino español» salpicado de productos de León y alrededores que permitió apreciar la riqueza de su gastronomía y de sus vinos. Quiero agradecer a Enrique Martínez y Marcos Gómez su amable acogida.

Tengo la impresión de que se abre un amplio marco de colaboración entre las dos instituciones, en el que aportaremos nuestro granito de arena desde Albalia Interactiva.

Incluyo un pequeño video que nos entregaron y que permite conocer algunas características del Centro Demostrador de Seguridad para la PYME de Inteco.

Francisco Ros clausura el 4º Foro de las Evidencias Electrónicas

3 respuestas

Logo Foro EvidenciasMás de 400 personas asistieron al IV Foro de las Evidencias Electrónicas que se celebró el pasado 15 de junio de 2007 en el Hotel Ritz.

El acto, organizado por Albalia Interactiva y el despacho de abogados Garrigues, contó, en la conferencia de clausura, con la intervención del secretario de Estado de Telecomunicaciones y para la Sociedad de la Información, Francisco Ros, quien incidió en el «protagonismo creciente» de la sociedad en internet, donde cada día se crean 100.000 nuevos «blogs» y el número de internautas -actualmente 2.000 millones de personas- se duplica cada cuatro años.

Según sus palabras, casi cinco millones de españoles harán su declaración de la renta a través de internet este año. El secretario de Estado subrayó el impacto de la red en los modelos de negocio y aseguró que España, «con más de 20 millones de internautas», es una comunidad «muy potente» que evoluciona «al ritmo europeo» en materia electrónica, aunque «aún quedan muchos retos en materia de seguridad», agregó.

Sobre esta cuestión, el magistrado de la Sala Segunda del Tribunal Supremo Manuel Marchena criticó la «pereza institucional para asumir los compromisos normativos» que requiere la sociedad de la información, porque «los jueces necesitan un marco jurídico claro que aplicar, por ejemplo la intervención del correo electrónico».

El portavoz del Consejo General del Poder Judicial, Enrique López, abogó por un concepto de prueba electrónica de carácter trasnacional y por la formación de un grupo de peritos oficiales especialistas en materia informática que asesoren a los jueces.

Antonio Garrigues en el IV Foro de las Evidencias ElectrónicasPor su parte, el presidente del Foro, Antonio Garrigues Walker, afirmó que para avanzar en «democracia electrónica» y saber realmente «cómo está España» en materia de nuevas tecnologías con respecto a otros países, hay que mejorar «nuestros conocimientos y técnicas estadísticas».

Entre las medidas que se están implantando en España contra la «ciberdelincuencia», la mayor parte de los participantes en el acto coincidieron en alabar la implantación del DNI electrónico, que permitirá, entre otras cosas, identificar a los remitentes de los emails y evitar los correos-basura que expanden los virus.

El evento tuvo lugar gracias a la Colaboración de Red.es y al patrocinio de AnCert, Consejo General del Poder Judicial, Cybex, El Derecho, Informática El Corte Inglés, Postal Trust, Secuware, SGAE, Symantec y T-Systems.

La Presentación del 4º Foro de las Evidencias Electrónicas corrió a cargo de D. Antonio Garrigues Walker. Presidente del Foro y la Ceremonia de Apertura la protagonizó D. José Marqueño, Presidente del Consejo General del Notariado.

En la primera sesión sobre la Prueba Electrónica intervinieron Dña. Mª Ángeles Manzano, Socia de Garrigues, D. Enrique López, Vocal del Consejo General del Poder Judicial y D. Manuel Marchena, Magistrado de la Sala Segunda del Tribunal Supremo, con la moderación de D. César Belda, Notario y Director General de Feste.

En la segunda sesión sobre Ciberdelincuencia intervinieron D. Juan Salom, Comandante del Grupo de Delitos Telemáticos, en la Unidad Central Operativa de la Guardia Civil, D. Jorge Martín, Jefe del Grupo de Seguridad Lógica de la Brigada de Investigación Tecnológica en la Comisaría General de Policía Judicial y D. Juan Carlos Ruiloba, Jefe del Grupo de Delincuencia Tecnológica y Delitos contra la Propiedad Intelectual e Industrial de Barcelona, con la moderación de D. Jorge Alcalde, periodista y Director de la Revista Quo.

Tras el café tuvo lugar la tercera Sesión, centrada en la Desmaterialización de la Propiedad Intelectual: el ejemplar electrónico, con las intervenciones de D. Pablo Hernández, Director de los Servicios Jurídicos de la SGAE, Dña. Bárbara Navarro, Directora Antipiratería de NBC Universal y D. Salvador Esteban, Director de Asesoría Jurídica de la Federación Antipiratería, y la moderación de D. José María Anguiano, Socio de Garrigues.

En la cuarta sesión centrada en los Aspectos Técnicos de la Prueba Electrónica y que moderé yo (D. Julián Inza, Presidente de Albalia Interactiva, como certeramente anunciaba el programa) dió apenas tiempo para hacer 2 rondas de preguntas a D. Vicente Calzado, Director de la División de Tecnología de Informática El Corte Inglés, D. Luis Jara. Director de Seguridad e-Security & Professional Services de T-Systems, D. Carlos Jiménez, Presidente de Secuware, D. Matías Bevilacqua, Director Tecnológico de Cybex y D. Juan Ramón Fontán, Advisory Services Manager de Symantec.

El bloque técnico se cerró con la intervención de D. Sebastián Muriel, Director General de Red.es centrada en las Actuaciones de Red.es en el Ámbito de la Seguridad Informática, que sirvió de referencia posteriormente a la intervención del secretario de estado.

Tras una breve intervención a modo de Resumen y Conclusiones por D. Antonio Garrigues Walker, el Foro acabó con la Ceremonia de Clausura en la D. Francisco Ros, Secretario de Estado de Telecomunicaciones y para la Sociedad de la Información del Ministerio de Industria, Turismo y Comercio destacó los avances que se han producido recientemente en el desarrollo de la Sociedad de la Información en España.

Tras el acto formal, la fiesta continuó en los jardines del Hotel Ritz. Un cóctel en el que retomar contactos de colegas y que permite la relación entre técnicos y juristas.

Presentación del Estudio sobre la Seguridad de la Información y e-Confianza de los Hogares Españoles

Deja un comentario

Con motivo de la presentación de la 1ª oleada del Estudio sobre la Seguridad de la Información y e-Confianza de los Hogares Españoles, realizado por realizado por el Observatorio de la Seguridad de la Información de INTECO (Instituto Nacional de Tecnologías de la Comunicación), el próximo día 19 de junio de 2007 se ofrecerá una rueda de prensa, a las 11,30 horas, en el Hotel Petit Palace Art Gallery, Salón Malevick, calle Jorge Juan, 17.

Las incidencias relacionadas con la seguridad y la confianza de los usuarios en la Red son un factor crítico que condiciona el desarrollo de la Sociedad de la Información en España, retrasando la adopción y extensión de servicios a través de Internet, como el comercio electrónico, la administración electrónica o la banca online. Para la elaboración del estudio se han realizado, entre diciembre de 2006 y enero de 2007, más de 6.000 encuestas a hogares y se han escaneado más 3.000 ordenadores domésticos.

El estudio muestra, por primera vez, los hábitos que afectan a la seguridad en Internet: equipamiento de seguridad en los hogares, las medidas que los usuarios toman antes y después de las incidencias y la percepción relativa a la seguridad en Internet existente en los hogares españoles Refleja también la creciente exigencia por parte de los usuarios a las administraciones públicas de que “hagan de Internet un lugar seguro”.

En el acto, al que asistirá Enrique Martínez, director general de INTECO, y Pablo Pérez, gerente del Observatorio y coordinador del equipo responsable del estudio, se facilitará un resumen con sus principales conclusiones, que por primera vez permiten conocer, a partir de una labor de campo, las “distintas realidades” de la sociedad de la información en los hogares españoles.

Pueden ver los Estudios e Informes de INTECO en su sección de Observatorio

Hace un par de años llevamos a cabo en ASIMELEC un estudio respecto a la Seguridad de la Información y e-Confianza en las empresas.