Fraude en las apuestas por Internet

28 respuestas

Aunque era de prever que sucediera, la noticia empieza a ser importante por la enorme expectativa que ha levantado el mundial de fútbol y las pasiones que desata.

Las casas de apuestas (empresas como Ladbrokes, William Hill, Coral, Paddy Power o Bet 365) pueden desarrollar actividades que son legales en un país e ilegales en otro. Y en ocasiones incumplen la normativa española de contratación a distancia, en particular en lo referido a sus cláusulas abusivas. La noticia la publica La Voz de Avilés-El Comercio y de ella entresaco la siguiente cita:

Entre otras situaciones de riesgo, la UCE explicó que al darse de alta en estas páginas, los usuarios se ven obligados a aceptar unas clausulas que permiten a su dirección modificar las reglas a su antojo, reglas que están sometidas a las leyes de Antigua y Barbuda, un paraíso fiscal al que es imposible realizar cualquier reclamación en caso de fraude o deficiencia en el servicio.

La UCE relató el caso de un usuario que, tras abrir una cuenta aportando una cantidad inicial, descubrió que su saldo estaba bloqueado y no podía recuperarlo sin que existiera una causa justificada. A pesar de que presentó numerosas reclamaciones a la dirección de correo electrónica facilitada, no obtuvo ningún tipo de respuesta.

Como investiga la Guardia Civil

2 respuestas

Algunos libros se nos quedan grabados de forma extraña. Su mensaje se nos adhiere si los leemos en el momento oportuno.

Me ha pasado con los libros de Lorenzo Silva que nos acerca a la forma en la que se investigan los delitos en España, y, en particular en la Guardia Civil. En el último que he leido, «La reina sin espejo» Lorenzo describe de forma precisa los procedimienos judiciales y policiales españoles, tan distintos de los americanos, que son los que se nos hacen más habituales por la disponibilidad de literatura policíaca. En esta ocasión Vila y Chamorro lidian con un caso de asesinato en el que las nuevas tecnologías tienen un papel relevante, lo que es muy apropiado para un blog como este, centrado en las «Evidencias Electrónicas«.

Además refleja de manera interesante la forma en la que colaboran las distintas policías del estado, a pesar de la influencia política que impregna tantas cosas.

Este es el quinto título de esta pareja de la Guardia Civil. Los otros son: «El lejano país de los estanques», «El alquimista impaciente», «La niebla y la doncella» y «Nadie vale más que otro».

Contratación Electrónica y Arbitraje

3 respuestas

Una de las iniciativas más interesantes que se están poniendo en marcha respecto a la contratación electrónica y la posibilidad de resolver controversias por via arbitral es Tractis. Detrás está la empresa Negonations impulsada con gran impulso emprendedor por David Blanco y con el respaldo de un selecto número de colaboradores dotados de una gran capacidad tecnológica.

Uno se siente orgulloso de que desde España se acometan proyectos de este tipo, que miran sin complejos a lo que es está desarrollando entre lo más avanzado del nuevo paradigma de la Maraña Mundial (World Wide Web).

El proyecto tendrá que lidiar con las diferencias legales y referenciales de paises disímiles, como los continentales o los anglosajones, con la cultura latina y la de la CommonWealth, con el derecho romano y la Common Law. Sin mencionar otras influencias como las del derecho árabe o del confuciano.

Y donde no lleguen las Comisiones Rogatorias y el alcance de los Tratados, puede llegar el consenso y el arbitraje.

La iniciativa es muy seria, con estudios legales y técnicos de cierta profundidad y con un planteamiento de negocio realista.

Una de las iniciativas que han iniciado ha sido la de recopilar en un Wiki la situación actual de la certificación digital y del arbitraje en España. Animo a todos los que se dedican a este negocio a que accedan y completen los datos que faltan.

¿Dazibao o Dacibao?

Deja un comentario

Escuché este «palabro» a D. Mauricio Pastor.

Él dijo qué significaba, pero yo ya no me acordaba, y, por algún motivo extraño, estos días me rondaba por la cabeza.

Al fin he recurrido a Google y he vuelto a saber que este invento es «a newspaper written in large hieroglyphs», o en el diccionario on-line de la RAE, dazibao (¿se escribe así en español?) «En la República Popular China, periódico mural a veces manuscrito, generalmente de contenido político, expuesto en lugares públicos»

El nombre es curioso y permite dar un nombre culto a los «graffitti» y a las «pintadas».

E incluso valdría para dar nombre a un blog

¿Se puede saber de todo?

2 respuestas

Hoy me han recordado una frase mía de 1979:

«El dominio de una disciplina consiste en un 80% en el dominio de su terminología»

Creo que hoy seguiría estando de acuerdo con esta frase lapidaria.

Si alguien la cita, que mencione al autor: Julián Inza

(no soy Mark Twain, pero también puedo poner frases ocurrentes)

Firma electrónica en el teléfono móvil celular con Movistar

11 respuestas

Algo después del verano de 2005 acabamos en Albalia Interactiva el sistema de firma electrónica en teléfonos móviles celulares que estuvimos desarrollando con Movistar.

Hago esta mención porque estos días se ha publicado que Vodafone ha logrado llevar a cabo la firma electrónica desde el móvil y parece que han sido los primeros en lograrlo.

No le quiero quitar mérito al asunto, porque ya he comprobado en mis carnes las dificultades de un proyecto de este tipo.

Pero creo que conviene poner en perspectiva el anuncio, respecto a la capacidad de innovación de cada operador, y a lo qué puede significar la innovación en un proceso que debería acabar con un producto en manos del público.

Hasta donde llegan mis noticias, el primer proyecto de firma electrónica desde el móvil se llevó a cabo en el año 2001, y lo acometió Safelayer en colaboración con Amena, entidad que participaba en su capital. En ese caso se trataba de firmar formularios a través de páginas WAP, en las que se disponía del protocolo WTLS y la posibilidad de tener certificados electrónicos (y sus claves privadas asociadas) en la tarjeta SIM del teléfono móvil. Uno de los retos del proyecto era la adaptación de una pasarela para que las firmas generadas en el lado WAP pudieran ser utilizadas en el lado HTML.

El proyecto de Albalia con Telefónica Móviles España (Movistar) pretendía firmar en un teléfono móvil mediante una tarjeta criptográfica que contuviera las claves y los certificados. La idea era que se pudiera utilizar con el DNI electrónico, aunque en aquel momento tuvimos que contentarnos con trabajar con prototipos del DNI-e.

El primer reto lo tuvimos cuando lo intentamos con teléfonos Java genéricos. En principio, todos los teléfonos celulares de última generación soportan java, sea cual sea el sistema operativo, pero las cosas no son tan fáciles. Para llevar a cabo la firma nos convenía que el teléfono implementara las funciones de MIDP 2 y eso limitaba mucho los teléfonos adecuados. A continuación necesitábamos teléfonos con la opción de incorporar un dispositivo lector de tarjeta chip (la famosa chipetera).

Un dato curioso es que los teléfonos móviles ya llevan un lector de tarjeta chip en su interior, puesto que lo necesitan para acceder a la SIM. Sin embargo, muy pocos incorporan un lector de tarjeta chip accesible desde el exterior. Los pocos modelos existentes, son unidades obsoletas de Motorola y Siemens que incorporaron lectores de tarjetas chip en proyectos desarrollados en torno al año 2000 cuando especificaciones como EMV y SET permitían vaticinar la adopción del teléfono móvil como sistema de pago asociado a una tarjeta bancaria.

La posibilidad de usar lectores externos de tarjeta chip redujo mucho el abanico de teléfonos móviles adecuados, y nos obligó a centrarnos en teléfonos móviles operados con sistemas operativos derivados de Windows CE. De hecho el ordenador de mano HP Jornada 720 (con la variante de sistema operativo Handhel PC2000) ya incluia lector de tarjeta chip, lo que parecía bastante prometedor.

La mala noticia es que, aunque según la información técnica de Microsoft existen lectores de tarjeta chip para Windows CE o Pocket PC, los modelos referenciados operan a través de RS-232 (lo que delata la antiguedad de la valoración), interfaz que la mayor parte de los modelos actuales no incorporan.

Camisa para TSM-500Necesitábamos un lector de tarjeta chip que se pudiera acoplar a un teléfono TSM-500 (equivalente al XDA II, al iMate Pocket PC o al Qtek 2020), o bien por la conexión del Craddle (la cuna de sincronización, existente en prácticamente todas las PDA y agendas con software Windows Pocket PC), o bien por la conexión SDIO (destinada originalmente para tarjetas de ampliación de memoria). Además el lector debería tener drivers PC/SC para Windows CE (en las versiones de base del sistema operativo 3.0, 4.2 o 5.0) o sus evoluciones como Windows Mobile (2002, 2003 y 2005), Windows Pocket PC o Windows Smartphone. Esto era imprescindible para poder utilizarlo dentro de las posibilidades que nos proporciona la Cripto API en Windows CE (que alcanzarían el máximo si pudiéramos contar con los drivers CSP, también para Windows CE de la tarjeta inteligente).

Después de mucho buscar, sólo encontramos un modelo que era fantásico desde el punto de vista de prestaciones y de factor de forma, porque encajaba perfectamente en la conexión de Craddle de la TSM-500, pero que en ese momento no tenía driver PC/SC. Contactamos con el Proveedor australiano, y mantenemos la puerta abierta para utilizarlo en futuros proyectos.

Sin embargo, esa linea de trabajo quedó en suspenso mientras aparecían los dichos drivers.

A través de C3PO encontramos un lector de tarjeta inteligente PCMCIA (el modelo 4040) con drivers PC/SC para Windows CE. La colaboración de C3PO con Albalia (o particularmente, la de Jorge Gómez, su Director General, conmigo) siempre ha sido muy buena y en este proyecto fue muy importante.

La buena noticia es que pudimos avanzar bastante en el desarrollo, aunque (la mala noticia) tuvimos que utilizar un entorno diferente al definitivo: la tarjeta PCMCIA 4040 se insertaba en un adaptador PCMCIA a CompactFlash (allí comprobamos que ambas conexiones son eléctricamente equivalentes aunque el factor de forma es distinto) y este en una PDA con conexión Compact Flash. Todavía no teníamos un lector SDIO pero ya podíamos empezar a entablar diálogo con la tarjeta chip del prototipo de DNI electrónico.

En esta fase del proyecto tuvimos que firmar un Acuerdo de Confidencialidad muy riguroso con la FNMT para acceder a la información de la tarjeta, y en particular sus comandos de bajo nivel APDU.

De esta forma podíamos pedirle a tarjeta que firmara un Hash con la clave privada y leer del directorio apropiado de la tarjeta el certificado asociado. Fue una proceso complejo buceando en una maraña de información y con el objetivo de generar un PKCS#7 en el entorno de la PDA.

Normalmente, generar un PKCS#7 no es un problema, porque es relativamente sencillo generarlo programando mediante la Cripto API. El problema es que no teníamos el CSP de la tarjeta criptográfica para Windows CE, y, por tanto las funciones de programación de Windows ignoraban la existencia de la tarjeta. Además las funciones de la Cripto API no permiten un uso «a trozos» de las operaciones atómicas de la firma. Así que, además, teníamos que acometer por nuestra cuenta el reto de generar un PKCS#7 bien formado. Otra vez vuelta a estudiar las especificaciones ASN.1 de la norma y a interpretar las Basic Encoding Rules (BER) para poder generar nuestro propio PKCS#7. Y esto tras intentar primero extraer la función correspondiente de librerías como OPENSSL y otras. Lo cierto es que en todas las librerías en las que están disponibles los fuentes, las generación del PKCS#7 está absolutamente enmarañada con otras cosas, y no era práctico ni extraer lo básico, ni moverlo todo a Windows CE. Demasiadas dependencias.

Smartcard SDIO ReaderAl final lo logramos. Generamos nuestra propia interficie con la tarjeta chip, con nuestra propias funciones y librerías, lo que nos permite implementar tanto un driver CSP como PKCS#11 para el DNI electrónico en Windows CE.

Ya solo nos faltaba el dispositivo lector.

Tras mucho investigar, encontramos un lector de tarjetas inteligentes con interfaz SDIO, desarrollado originalmente para el Departamento de Defensa norteamericano.

Disponía de drivers PC/SC, por lo que pudimos adaptar todos los desarrollos que habíamos hecho para la PCMCIA con cierta facilidad.

Cuando hicimos la entrega del proyecto, nos atrevimos con algo a lo que nos debería haber disuadido nuestro profundo conocimiento de las Leyes de Murphy. Instalamos nuestri entorno en un teléfono nuevo que Movistar lanzaba por esas fechas: el Qtek S100. No lo habíamos probado. Simplemente los especialistas en firma electrónica en móvil de Telefónica Móviles tenían un equipo por allí y nos animamos a intentarlo el mismo día de la entrega. ¡Funcionó!

Instalamos los drivers en el S100, insertamos el conector del lector de tarjeta chip en la ranura SDIO del móvil, instalamos nuestra aplicación en el móvil, insertamos la tarjeta con un certificado autogenerado y otra con un certificado generado por un PSC (todavía no teníamos DNIs electrónicos auténticos) elegimos un fichero existente en el móvil y Voilá. Nos pedía el PIN y generaba el PKCS#7 que podíamos leer después en un ordenador con Windows.

Fue un proyecto largo y duro, pero del que nos sentimos muy orgullosos.

Por cierto, hasta donde yo sé, somos los únicos que tenemos este know-how, por lo que aquellos interesados en desarrollar aplicaciones para el DNI electrónico en dispositivos móviles, teléfonos y PDAs basados en Windows CE, deberían contactar con nosotros.

Por lo menos para adquirir la chipetera SDIO ya que nos hemos hecho distribuidores de estos dispositivos.

Por concluir, hay que reconocer que Amena fue el primer operador móvil en disponer de firma en teléfonos móviles WAP, Movistar el siguiente, pero esta vez con capacidad de firmar con tarjetas externas, como es el caso del DNI electrónico, y Vodafone el último operador en disponer de esta tecnología (y además en la opción «fácil» de instalar el certificado en la SIM).

Victor Canivell al frente de WISeKey ELA

Deja un comentario

Víctor Canivell, ex-Presidente de Safelayer.com, estará al frente de WISeKey ELA, una joint venture de WISeKey y el Grupo Velasco radicada en Bilbao .

Victor CanivellMe alegro que Víctor siga en nuestro sector. Lo conozco desde la época de Silicon Graphics (con una máquina SGI puse en marcha en 1995 los primeros servicios bancarios de España en Banesto, con el primer servidor seguro y el primer entorno de autor de páginas web). Y tuve muy buena relación con él en su etapa de Safelayer. Creo que es un acierto que lo haya fichado esta multinacional de la certificación electrónica.

WISeKey ELA ha nombrado Presidente a Víctor Canivell. Víctor Canivell llega a WISeKey ELA con un bagaje de más de 25 años de experiencia en el área de gestión de los sectores de informática y redes. Ha desempeñado diversos puestos de vicepresidente para la zona EMEA, tanto en el área de ventas como de servicios, en empresas como Hewlett Packard, 3Com, Silicon Graphics, Cray Research y en start-ups como Aspective. Recientemente ha desempeñado el puesto de Presidente de Safelayer, la start-up española pionera en el campo de la firma digital. Llega ahora de SSA Global, donde ha contribuido al éxito de la OPV en NASDAQ de la empresa.

«Ahora que entramos en la siguiente fase de crecimiento, que incluye el establecimiento de un ecosistema ID para los mercados de habla española y portuguesa, Víctor Canivell aporta a WISeKey ELA la competencia, los conocimientos y la experiencia necesaria para liderar a la empresa en un mercado que se expande tan rápidamente como es el de la gestión de ID», declara Carlos Moreira, Cofundador y Presidente de WISeKey .

WISeKey ELA, la recientemente fundada empresa de tecnología de seguridad informática con sede central en Bilbao, distribuirá en España y América Latina productos manufacturados en Ginebra por WISeKey SA, estableciendo la presencia de WISEkey en estos mercados por medio de una red de filiales. WISeKey ELA ha crecido sobre los sólidos y reputados fundamentos tecnológicos de WISEkey, respondiendo a un significativo nicho de mercado en materia de ID y PKI.

«La dilatada experiencia de Víctor Canivell y su fidedigno historial al frente de otras empresas lo convierten en la elección natural para ocupar el puesto de Presidente de WISeKey ELA», afirma Pedro Luis Velasco Ibáñez, Presidente del Grupo Velasco. «Su diversificada competencia en desarrollo de software, PKI, gestión de ID y mercados IT coincide exactamente con la línea de negocio de WISeKey . Estoy convencido de que conducirá a la empresa hacia éxitos todavía mayores».

«Encaro con entusiasmo mi incorporación al equipo de WISeKey ELA y la posibilidad de trabajar sobre el impulso hacia adelante que ha cobrado la empresa gracias a su probada capacidad a la hora de posibilitar la implementación distribuida de aplicaciones de gestión ID y PKI por Internet, aspectos cruciales donde los haya», afirma Víctor Canivell. «Sabiendo como sé que WISeKey ELA duplicará el éxito de WISeKey en el mercado español y latinoamericano, estoy impaciente por ayudar a la empresa a llegar a un espectro todavía más amplio de clientes».

Ejecutivo veterano con muchos años de experiencia en la gestión de empresas de tecnologías de la información, Víctor ha vivido y desarrollado su carrera profesional en diferentes puntos geográficos, con estancias de varios años en Londres, Cupertino (EE.UU.), Ginebra, Stuttgart, Madrid y Barcelona. Habla varios idiomas con fluidez, recuerdo de su paso por el barcelonés Colegio Suizo. Víctor posee un MBA del ESADE (Barcelona) y es doctor en Física por la Universidad de Barcelona. Ha cursado estudios de gestión empresarial en el INSEAD y el IESE.

Consulta pública de la Comisión Europea sobre el sector financiero

Deja un comentario

La Comisión Europea ha publicado el Informe Provisional sobre las Tarjetas de Pago en el Area Unica de Pagos en Euros (SEPA, Single Euro Payment Area), para el que se ha abierto un período de Consultas que acaba el 21 de junio de 2006.

La Comisión cree que el sector financiero puede ser más eficiente y utilizar sistemas que no penalicen sus costes en la forma en que lo hacen ahora, de forma que pueda lograrse que los costes de todas las operaciones financieras de la Zona Euro sean iguales a los costes domésticos.

En el fondo es un problema político. La existencia de múltiples sistemas de compensación y liquidación, aunque funciona (y es uno de los más importantes logros del Sistema Financiero a lo largo de los años) implica complejidad y reparto de comisiones para todos los intervinientes.

Por otro lado, la existencia de múltiples entidades intermediarias, tambien garantiza cierto nivel de competencia.

Además, las infraestructuras desarrolladas en los diferentes paises atienden a idiosincrasias que sería complejo respetar en sistemas unificados sin una evolución conjunta de todos los paises hacia un eventual "modelo óptimo".

En este marco, en el que las entidades españolas están bien posicionadas por su competencia operacional y tecnológica, a veces se ven penalizadas por el uso del idioma inglés en las discusiones y las presiones de los representantes de todos los países por arrimar el ascua a su sardina.

En definitiva, las discusiones en el marco de SEPA, pretenden que el esfuerzo de adaptación de cada país al modelo común sea el menor posible. Y quizá ese objetivo, respetable, no sea el óptimo. Quizá el objetivo sería elegir un país como modelo más avanzado, exigirle mejoras al modelo y forzar a que el resto de países se ajusten al modelo.

En ese caso sí podría ganar el modelo de compensación y liquidación español, cuya principal crítica reside en que la compensación diaria en transferencias y adeudos no es transaccional y on-line sino por lotes y diferida.

Captación de mulas para phishing

1 respuesta

Los delincuentes del phishing están especializados y trabajan con una organización sistematizada.

  • Unos trabajan hackeando sitios web y poniéndolos a disposición de la organización.
  • Los siguientes utilizan sitios web hackeados para poner las páginas web que simulan ser las de una entidad financiera, y en la que se instalan los programas que recogen las passwords y los códigos de tarjetas de barcos.
  • Mientras, otros van obteniendo direcciones e-mail con técnicas de spammer, en ocasiones a través de virus especializados que husmean en los ordenadores de sus víctimas.
  • Los expertos en e-mail usan sus conocimientos para hacer llegar diferentes tipos de mensajes a diferentes tipos de víctimas-incautos, sin que los bloqueen los filtros antispam ni los filtros antiphishing.
  • Uno de los mensajes tipo es el destinado a engañar a los clientes de una entidad financiera en cuyo nombre se emiten los mensajes. El tono de la redacción de los mensajes no suele ser el que utilizaría una entidad financiera, y muchas veces las frases no están correctamente redactadas en la lengua en la que opera la entidad financiera y eso hace que frecuentemente sea relativamente fácil detectar el phishing a quien sabe de qué va eso. Sin embargo cada vez las técnicas de suplantación son más perfectas y los diseños de los email más profesionales.
  • Los responsables de los webs-zombie (los que van captando las passwords en webs hackeados) hacen llegar los datos de acceso a las cuentas bancarias a otros miembros de la organización.
  • Estos acceden a las cuentas con los datos obtenidos y envían transferencias a cuentas bancarias de las "mulas".
    Las mulas envían el dinero (menos la comisión que se quedan por su "trabajo") a otro destinatario a través de entidades remesadoras de envío de dinero en efectivo en las que se deja relativamente poco rastro.
  • La captación de mulas se hace por otra modalidad de mensajes tipo. En estos mensajes, el remitente dice trabajar para una multinacional "prestigiosa" y señala que has sido "seleccionado" para desempeñar un trabajo honrado y sencillo, recoger la recaudación de las facturas de los productos que exportan a tu país y enviársela a su organización. Algo, desde mi punto de vista, tan sospechoso, que sorprende que gente formada se lo haya creido y se haya prestado a ello. Y, por supuesto, haya sido detenida por la policía, al ser el primer elemento de la cadena de movimiento de dinero de la organización, con la identificación de la cuenta proporcianada por el defraudado.

Para que veais el ingenio de estos tipos, os adjunto un mensaje que envían en modo gráfico, de forma que puedan soslayar la técnica de análisis de palabras de los filtros antispam.

Captacion de mulas