De entre los temas tratados en este blog, el de la LOPD (Ley Orgánica de Protección de Datos) es uno de los que más afectan al conjunto de empresas y ciudadanos.
Aquí tenéis un sencillo video que explica los aspectos más relevantes de la LOPD
Desde hace unos cuantos años vengo defendiendo que el mensaje que dan las entidades financieras en los casos de phishing no son correctos. No se trata de que «le hayan engañado al cliente por no ser cuidadoso con las claves» sino que «han engañado al cliente porque el sistema de autenticación que ofrece el banco favorece el engaño«.
Efectivamente, la «ingeniería social» diseña engaños que en ocasiones tienen bien poco de tecnologicos, pero que son muy creibles por la escasa interiorización de los usuarios sobre las materias de seguridad en entornos internet. Pero es que los usuarios no tienen por qué ser especialistas, y las entidades financieras deberían definir «experiencias de usuario» comunes con herramientas básicas de seguridad que permitieran a los usuarios detectar cuando están siendo engañados.
El actual enfoque de la banca frente a las redes de phishing se parece al de las gacelas que se plantean escapar del león. No se trata de correr más que el león, se trata de correr más que la gacela más lenta, que es la que sucumbirá en la carrera. Es decir, cada entidad no se plantea resolver el problema, sino dificultar el fraude solo un poco más que la entidad vecina, contando con que los delincuentes se cebarán primero sobre las entidades más expuestas.
Al final perdemos todos. Los clientes por las molestias causadas, y las entidades financieras por la pérdida de credibilidad, que es lo mismo que la pérdida de confianza. El principal activo de las entidades financieras.
Yo llevo muchos años clamando en el desierto por lo que me parece un enfoque reprobable del tratamiento de la seguridad por las entidades financieras (salvo honrosas excepciones como la de Caixa Galicia), y mi principal crítica es que las entidades no hayan sido capaces de consensuar el modelo común de gestión de la seguridad de sus usarios de banca electrónica, pese a las advertencias de los especialistas y los informes emitidos en el marco del CCI (Centro de Cooperación Interbancaria).
Por otro lado, en cierto modo no me extraña. Si cada vez que las entidades se reunen para cualquer tema la Comisión Nacional de la Competencia ve fantasmas de concertación anticompetitiva, se te quitan las ganas de buscar el bien común.
(Otro dia hablaré de mi percepción sobre la «incompetencia» de la Comisión Nacional de la Competencia).
Así que el artículo aparecido hace unos días en El País, tiene, en mi opinión, un carácter agitador imprescindible. En el Banco de España «ya no cuela» el tema de la responsabilidad del usuario, y es preciso ponerse serios con el problema de la seguridad.
(También estoy tentado de escribir un artículo con mis «recetas»)
El artículo, de Piedad Oregui, apareció en la sección salmón de El País el domingo 13 de abril de 2008.
El Banco de España critica a las entidades financieras por lavarse las manos ante los casos de fraudes electrónicos
El Banco de España lo tiene claro: las entidades financieras no pueden lavarse las manos en lo relativo al fraude electrónico. Su servicio de reclamaciones -las primeras quejas por este motivo comenzaron a recibirse a finales de 2005 y, desde entonces, se han ido acelerando- es contundente. «No parece equitativo ni proporcionado que las entidades eludan sin más su responsabilidad, dirigiendo a sus clientes a los tribunales de justicia y haciendo recaer en los mismos la totalidad de los importes defraudados. No se estima ajustado a las buenas prácticas bancarias que las entidades, al amparo de las cláusulas contractuales que les exoneran de toda responsabilidad, se desentiendan de los problemas de sus clientes sin realizar actividad probatoria alguna que permita determinar lo realmente sucedido; debiendo, en definitiva, demostrar un cierto grado de diligencia en la gestión de estas reclamaciones de sus clientes. Éstos -no debe olvidarse- han depositado en aquéllas no sólo sus fondos, sino también su confianza».
Clientes indefensos
«Las entidades», prosigue el banco emisor, «al hacer recaer en sus clientes toda la responsabilidad, así como la carga de la prueba de haber actuado correctamente, les colocan en una situación de inferioridad e indefensión, cuando son las propias entidades las que les han ofrecido el sistema y han elegido el mecanismo de seguridad que han estimado más conveniente, resultando, por tanto, que cualquier fraude operado pondría en evidencia la debilidad del sistema de autenticación utilizado».
Son varias las razones que el Banco de España aduce para justificar este tirón de orejas a la banca, y ello pese a que, desde su punto de vista, «con carácter general, las entidades de crédito cuentan con medidas de seguridad internas muy eficaces y acertadas a efectos de prevenir y minimizar el fraude electrónico». Para la máxima autoridad monetaria, en primer lugar, «estas medidas, muy importantes en su fin, no son suficientes para eludir los riesgos, pues las actuales sofisticaciones de los fraudes electrónicos superan las posibilidades del cliente medio que, en general, no es un experto en seguridad informática».
En segundo lugar, por razones técnicas: «Es de sobra conocido que los sistemas de autenticación ofrecidos a los clientes de banca electrónica por la mayoría de las entidades de crédito son sistemas débiles o de un solo factor (una clave fija o aleatoria), a pesar de que la mayoría de los expertos en seguridad informática coinciden al señalar que las medidas de autenticación son más eficaces si incorporan dos factores: algo que el cliente conoce (una clave) y algo que el cliente tiene (un token, un teléfono móvil, etcétera). Estos sistemas de doble factor podrían evitar la captura indebida de la firma electrónica y, por consiguiente, el fraude».
En tercer lugar, por una cuestión de información: «Si bien en los contratos se informa al cliente de las condiciones para operar y de las consecuencias que le depararía un uso indebido de sus claves, no se le suele advertir del riesgo de que éstas puedan ser capturadas por los ciberdelincuentes para su posterior uso con fines delictivos ni de que, en este caso, deberá soportar los quebrantos ocasionados». Por último, la reprimenda tiene también un componente de «falta de responsabilidad». «Tampoco podemos olvidar que el usuario de banca electrónica puede acceder a este servicio no sólo desde su equipo en su domicilio sino también desde lugares públicos como bibliotecas, hoteles o cibercafés y, en muchos casos, sin necesidad de un puesto fijo gracias a las redes inalámbricas».
«Algunas entidades dan publicidad a esta facilidad en su página web», prosigue el razonamiento del Banco de España, «destacando que la banca electrónica permite realizar todo tipo de operaciones bancarias a través de Internet desde cualquier lugar en el que se encuentre y a cualquier hora. Dicho esto, puede resultar un tanto incongruente que si la entidad no ha limitado expresamente las vías de acceso a este canal, pretenda que su cliente sea el único responsable de la falta de seguridad del equipo a través del cual se efectuó la operación fraudulenta».
Responsabilidad de la banca
Por último, desde el Banco de España se recuerda que la recientemente publicada Directiva 2007/64/CE del Parlamento Europeo y del Consejo de 13 de noviembre de 2007 sobre servicios de pago en el mercado interior establece: «Cuando un usuario de servicios de pago niegue haber realizado una operación ya ejecutada (o alegue que ésta se realizó de manera incorrecta), corresponderá a su proveedor demostrar que la operación fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico o cualquier otra deficiencia, teniendo en cuenta que la utilización del instrumento de pago registrada por el proveedor no bastará necesariamente para demostrar que la operación fue autorizada por el ordenante, ni que éste actuó de manera fraudulenta o incumplió deliberadamente o por negligencia grave una o varias de sus obligaciones».
Cuadro: Los fraudes más habituales
Los fraudes derivados del uso de claves de acceso y operación en la mayoría de los casos se originan por la captura de dichas claves a través de alguno de los siguientes sistemas:
Fuente: Servicio de Reclamaciones del Banco de España.
Caja Navarra lanza un nuevo servicio que permite a las empresas reemplazar la factura física en papel por una factura en formato electrónico, mejorando además en rapidez, seguridad y facilidad en la gestión.
La factura electrónica permite un importante ahorro en costes (hasta 0,75 euros por factura), no necesita instalar programas informáticos adicionales y responde a las necesidades de servicios innovadores que las empresas demandan.
La e_factura.can permite enviar y recibir facturas al instante, sin necesidad de soportar los plazos del envío postal de las facturas tradicionales, elimina los gastos de almacenamiento de las mismas y permite gestionar el pago y cobro de las facturas con agilidad, reduciendo asimismo el consumo de papel y consumibles con el correspondiente impacto positivo al medio ambiente.
Cuando el cliente recibe la factura, puede revisarla, aceptarla total o parcial, o rechazarla. La aplicación incorpora una gestión de pagos y cobros integrada en el sistema, de modo que facilita a la empresa decidir la forma de pago o pedir financiación sobre la propia factura.
E_factura.can genera las facturas electrónicas con todos los requisitos legales y fiscales, facilita su envío entre proveedor y cliente, e incorpora la firma electrónica, que garantiza la autenticidad e impide modificaciones posteriores en la factura.
Con este nuevo servicio, Caja Navarra ofrece a las empresas la tecnología para transformar las finanzas y aportar soluciones con el objetivo de ayudar a que los negocios sean más eficientes y competitivos.
Por su actividad política, ya contaba con la despedida. Lo que quizá no sabía, es su destino como Ministra de Igualdad, un reto desde cualquier punto de vista.
Concepto, este de Igualdad, bastante difuso, pero que políticamente puede tener mucho juego:
Y la aplicación no va a ser nada fácil:
Afortunadamente, creo que podrá contar con la complicidad de la Vicepresidenta para que este sea un ministerio serio, aunque su mayor reto es que no sea «transitorio».
De momento, nuestra colega (en tanto que bloguera) tendrá que actualizar el Curriculum Vitae.
Actualización
Según declaraciones de Bibiana a El Pais, su actividad se centrará no tanto en la igualdad en genérico como en la lucha contra un tipo de desigualdad concretada en la «violencia de género», para lo que supongo que tendrá que invadir competencias de otros ministerios, como interior, justicia, trabajo y educación.
A partir del Blog de Héctor Sánchez Montenegro he encontrado otros muy interesantes:
Algunos temas que se tratan en ellos:
Santi Casas me pasa este intento de phishing, que tiene algunas características interesantes:
La dirección utilizada como remitente es del dominio del Banco Popular, «avisos@bancopopular.es», con lo que todas las direcciones que respondan con error al no poder entregarse, serán rebotadas a esta dirección del Banco Popular y, por lo tanto, es posible que se enteren directamente del intento de phishing.
La url a la que se accede mediante el enlace también es del banco popular:
Se aprovechan de la existencia de un código ASP estándar para mandar correos y donde se pasa como parámetro la URL de retorno, que es la del phishing. Esto es un agujero de seguridad de la web del banco, aunque seguramente los «logs» también les permitirá detectar cosas «anómalas».
Finalmente el dominio que utilizan los atacantes «www.oficinamulticanal.com» (marca que utiliza el Banco Popular), está registrado en un registrador americano (www.domainsite.com), con lo que a la policía no le será excesivamente complicado seguirles la pista .
|
Asunto:
Aviso de Seguridad |
|
De:
Grupo Banco Popular <avisos@bancopopular.es> |
|
Fecha:
Mon, 07 Apr 2008 21:56:12 +0200 |
|
Para:
santi@casas.name |
Estimado Cliente:
Según nuestros registros informáticos, hemos detectado que los accesos a su cuenta a través de banca electrónica han sido realizados desde diferentes direcciones IP.
Esto seguramente se debe a que la dirección IP de su ordenador es dinámica y varía constantemente, o debido a que usted ha utilizado más de un ordenador para acceder a su cuenta.
Debido a este suceso y en cumplimiento con la legislación vigente, y para brindar una mayor seguridad a nuestros clientes, le invitamos a acceder al servicio de Banca Multicanal y reactivar su Firma Electrónica.
Para ingresar a su cuenta a través de Banca Multicanal y verificar la actividad de la misma, debe utilizar el siguiente enlace:
https://www2.bancopopular.es/AppBPE/servlet/servinp_pf=c&p_id=esp&p_pm=bo&p_et=pa
Gracias por su ayuda y compresión.
En linea con la reseña de ayer sobre ICEDIS, quisiera mencionar la iniciativa ONIX for Serials.
Onix for serials es una familia de formatos XML para comunicar información sobre publicaciones periódicas (serial products) e información de suscripción, utilizando los principios de diseño y muchos de los elementos definidos en ONIX for Books .
El desarrollo de ONIX for Serials se ha acometido en colaboración entre EDItEUR y NISO, la US National Information Standards Organization. Inicialmente a través de Joint Working Party (Grupo de Trabajo Conjunto) y gracias a la tutela del ONIX Serials Steering Group (Grupo Directivo de ONIX Serials) el esfuerzo original se ha reforzado hasta el punto en el que se han definido tres conjuntos de mensajes de aplicación y se ha comprobado su validez en entornos piloto, con toda la documentación asociada: el resumen de la especificación, el esquema XML y diversos docu,entos en HTML:
Hoy estaré en «Descubra NCR SelfServ™», evento organizado por NCR, que tiene este plan para la jornada:
| 09:30 | Registro de asistentes | |
| 10:00 | Bienvenida | F. Reyes. Director General NCR España |
| Nuevas Funcionalidades en SS | F. Martínez Jorcano. Director del Área Técnica, Kutxa | |
| El DNIe hoy | J. Crespo, Cuerpo Nacional de Policía | |
| 11:15 | Café | |
| 11:45 | El DNIe en la Industria | J. Inza, Presidente Albalia Interactiva |
| Biometría: El estado del arte | R. Sánchez Reillo, Director del Grupo Universitario de Tarjeta Inteligente, Universidad Carlos III de Madrid |
|
| La Caja Automática de Pago | Mónica Prieto, Responsable Informática de Tiendas, FNAC | |
| Coloquio y Clausura | ||
| 14:00 | Almuerzo |
ICEDIS significa International Commitee on EDI for serials.
Es un organismo de normalización destinado a mejorar la eficiencia en la gestión de suscripciones.
Participan en este esfuerzo de normalización algunas de las mayores editoriales de revistas y publicaciones técnicas y las empresas especializadas en gestión de suscripciones.
Su entorno de normalización es el EDI y entre los mensajes normalizados se encuentran las facturas.
Existe otros estándares EDI con este objeto, y en particular los de EDItEUR.
En el marco del Comité Europeo de normalización se está llevando a cabo una encuesta sobre el grado de adopción de la facturación electrónica por las PYMES. Para el informe se considerarán los datos recogidos hasta el 15 de abril de 2008.
La encuesta se rellena de forma on-line en esta dirección:
http://ec.europa.eu/yourvoice/ipm/forms/dispatch?form=eProcurementSurvey
Solo son 8 preguntas, por lo que no llevará mucho tiempo.
Para tener la certeza de que los datos se atribuyen de forma correcta, se recomienda comprobar que en la información sobre Company/Organization el «Company/Organization Type» es «Commercial/ for profit» y el «Type of commercial company» es «SME» (PYME)
La encuesta permite a los participantes aportar información sobre soluciones de eProcurement y sobre la adopción de procesos de eOrdering y eInvoicing, por lo que hay que asegurarse de que se selecciona el término «eIInvoicing» en la lista:
Todo es electrónico 