Firma electrónica en el teléfono móvil celular con Movistar

11 respuestas

Algo después del verano de 2005 acabamos en Albalia Interactiva el sistema de firma electrónica en teléfonos móviles celulares que estuvimos desarrollando con Movistar.

Hago esta mención porque estos días se ha publicado que Vodafone ha logrado llevar a cabo la firma electrónica desde el móvil y parece que han sido los primeros en lograrlo.

No le quiero quitar mérito al asunto, porque ya he comprobado en mis carnes las dificultades de un proyecto de este tipo.

Pero creo que conviene poner en perspectiva el anuncio, respecto a la capacidad de innovación de cada operador, y a lo qué puede significar la innovación en un proceso que debería acabar con un producto en manos del público.

Hasta donde llegan mis noticias, el primer proyecto de firma electrónica desde el móvil se llevó a cabo en el año 2001, y lo acometió Safelayer en colaboración con Amena, entidad que participaba en su capital. En ese caso se trataba de firmar formularios a través de páginas WAP, en las que se disponía del protocolo WTLS y la posibilidad de tener certificados electrónicos (y sus claves privadas asociadas) en la tarjeta SIM del teléfono móvil. Uno de los retos del proyecto era la adaptación de una pasarela para que las firmas generadas en el lado WAP pudieran ser utilizadas en el lado HTML.

El proyecto de Albalia con Telefónica Móviles España (Movistar) pretendía firmar en un teléfono móvil mediante una tarjeta criptográfica que contuviera las claves y los certificados. La idea era que se pudiera utilizar con el DNI electrónico, aunque en aquel momento tuvimos que contentarnos con trabajar con prototipos del DNI-e.

El primer reto lo tuvimos cuando lo intentamos con teléfonos Java genéricos. En principio, todos los teléfonos celulares de última generación soportan java, sea cual sea el sistema operativo, pero las cosas no son tan fáciles. Para llevar a cabo la firma nos convenía que el teléfono implementara las funciones de MIDP 2 y eso limitaba mucho los teléfonos adecuados. A continuación necesitábamos teléfonos con la opción de incorporar un dispositivo lector de tarjeta chip (la famosa chipetera).

Un dato curioso es que los teléfonos móviles ya llevan un lector de tarjeta chip en su interior, puesto que lo necesitan para acceder a la SIM. Sin embargo, muy pocos incorporan un lector de tarjeta chip accesible desde el exterior. Los pocos modelos existentes, son unidades obsoletas de Motorola y Siemens que incorporaron lectores de tarjetas chip en proyectos desarrollados en torno al año 2000 cuando especificaciones como EMV y SET permitían vaticinar la adopción del teléfono móvil como sistema de pago asociado a una tarjeta bancaria.

La posibilidad de usar lectores externos de tarjeta chip redujo mucho el abanico de teléfonos móviles adecuados, y nos obligó a centrarnos en teléfonos móviles operados con sistemas operativos derivados de Windows CE. De hecho el ordenador de mano HP Jornada 720 (con la variante de sistema operativo Handhel PC2000) ya incluia lector de tarjeta chip, lo que parecía bastante prometedor.

La mala noticia es que, aunque según la información técnica de Microsoft existen lectores de tarjeta chip para Windows CE o Pocket PC, los modelos referenciados operan a través de RS-232 (lo que delata la antiguedad de la valoración), interfaz que la mayor parte de los modelos actuales no incorporan.

Camisa para TSM-500 Necesitábamos un lector de tarjeta chip que se pudiera acoplar a un teléfono TSM-500 (equivalente al XDA II, al iMate Pocket PC o al Qtek 2020), o bien por la conexión del Craddle (la cuna de sincronización, existente en prácticamente todas las PDA y agendas con software Windows Pocket PC), o bien por la conexión SDIO (destinada originalmente para tarjetas de ampliación de memoria). Además el lector debería tener drivers PC/SC para Windows CE (en las versiones de base del sistema operativo 3.0, 4.2 o 5.0) o sus evoluciones como Windows Mobile (2002, 2003 y 2005), Windows Pocket PC o Windows Smartphone. Esto era imprescindible para poder utilizarlo dentro de las posibilidades que nos proporciona la Cripto API en Windows CE (que alcanzarían el máximo si pudiéramos contar con los drivers CSP, también para Windows CE de la tarjeta inteligente).

Después de mucho buscar, sólo encontramos un modelo que era fantásico desde el punto de vista de prestaciones y de factor de forma, porque encajaba perfectamente en la conexión de Craddle de la TSM-500, pero que en ese momento no tenía driver PC/SC. Contactamos con el Proveedor australiano, y mantenemos la puerta abierta para utilizarlo en futuros proyectos.

Sin embargo, esa linea de trabajo quedó en suspenso mientras aparecían los dichos drivers.

A través de C3PO encontramos un lector de tarjeta inteligente PCMCIA (el modelo 4040) con drivers PC/SC para Windows CE. La colaboración de C3PO con Albalia (o particularmente, la de Jorge Gómez, su Director General, conmigo) siempre ha sido muy buena y en este proyecto fue muy importante.

La buena noticia es que pudimos avanzar bastante en el desarrollo, aunque (la mala noticia) tuvimos que utilizar un entorno diferente al definitivo: la tarjeta PCMCIA 4040 se insertaba en un adaptador PCMCIA a CompactFlash (allí comprobamos que ambas conexiones son eléctricamente equivalentes aunque el factor de forma es distinto) y este en una PDA con conexión Compact Flash. Todavía no teníamos un lector SDIO pero ya podíamos empezar a entablar diálogo con la tarjeta chip del prototipo de DNI electrónico.

En esta fase del proyecto tuvimos que firmar un Acuerdo de Confidencialidad muy riguroso con la FNMT para acceder a la información de la tarjeta, y en particular sus comandos de bajo nivel APDU.

De esta forma podíamos pedirle a tarjeta que firmara un Hash con la clave privada y leer del directorio apropiado de la tarjeta el certificado asociado. Fue una proceso complejo buceando en una maraña de información y con el objetivo de generar un PKCS#7 en el entorno de la PDA.

Normalmente, generar un PKCS#7 no es un problema, porque es relativamente sencillo generarlo programando mediante la Cripto API. El problema es que no teníamos el CSP de la tarjeta criptográfica para Windows CE, y, por tanto las funciones de programación de Windows ignoraban la existencia de la tarjeta. Además las funciones de la Cripto API no permiten un uso «a trozos» de las operaciones atómicas de la firma. Así que, además, teníamos que acometer por nuestra cuenta el reto de generar un PKCS#7 bien formado. Otra vez vuelta a estudiar las especificaciones ASN.1 de la norma y a interpretar las Basic Encoding Rules (BER) para poder generar nuestro propio PKCS#7. Y esto tras intentar primero extraer la función correspondiente de librerías como OPENSSL y otras. Lo cierto es que en todas las librerías en las que están disponibles los fuentes, las generación del PKCS#7 está absolutamente enmarañada con otras cosas, y no era práctico ni extraer lo básico, ni moverlo todo a Windows CE. Demasiadas dependencias.

Smartcard SDIO Reader Al final lo logramos. Generamos nuestra propia interficie con la tarjeta chip, con nuestra propias funciones y librerías, lo que nos permite implementar tanto un driver CSP como PKCS#11 para el DNI electrónico en Windows CE.

Ya solo nos faltaba el dispositivo lector.

Tras mucho investigar, encontramos un lector de tarjetas inteligentes con interfaz SDIO, desarrollado originalmente para el Departamento de Defensa norteamericano.

Disponía de drivers PC/SC, por lo que pudimos adaptar todos los desarrollos que habíamos hecho para la PCMCIA con cierta facilidad.

Cuando hicimos la entrega del proyecto, nos atrevimos con algo a lo que nos debería haber disuadido nuestro profundo conocimiento de las Leyes de Murphy. Instalamos nuestri entorno en un teléfono nuevo que Movistar lanzaba por esas fechas: el Qtek S100. No lo habíamos probado. Simplemente los especialistas en firma electrónica en móvil de Telefónica Móviles tenían un equipo por allí y nos animamos a intentarlo el mismo día de la entrega. ¡Funcionó!

Instalamos los drivers en el S100, insertamos el conector del lector de tarjeta chip en la ranura SDIO del móvil, instalamos nuestra aplicación en el móvil, insertamos la tarjeta con un certificado autogenerado y otra con un certificado generado por un PSC (todavía no teníamos DNIs electrónicos auténticos) elegimos un fichero existente en el móvil y Voilá. Nos pedía el PIN y generaba el PKCS#7 que podíamos leer después en un ordenador con Windows.

Fue un proyecto largo y duro, pero del que nos sentimos muy orgullosos.

Por cierto, hasta donde yo sé, somos los únicos que tenemos este know-how, por lo que aquellos interesados en desarrollar aplicaciones para el DNI electrónico en dispositivos móviles, teléfonos y PDAs basados en Windows CE, deberían contactar con nosotros.

Por lo menos para adquirir la chipetera SDIO ya que nos hemos hecho distribuidores de estos dispositivos.

Por concluir, hay que reconocer que Amena fue el primer operador móvil en disponer de firma en teléfonos móviles WAP, Movistar el siguiente, pero esta vez con capacidad de firmar con tarjetas externas, como es el caso del DNI electrónico, y Vodafone el último operador en disponer de esta tecnología (y además en la opción «fácil» de instalar el certificado en la SIM).

Victor Canivell al frente de WISeKey ELA

Deja un comentario

Víctor Canivell, ex-Presidente de Safelayer.com, estará al frente de WISeKey ELA, una joint venture de WISeKey y el Grupo Velasco radicada en Bilbao .

Victor Canivell Me alegro que Víctor siga en nuestro sector. Lo conozco desde la época de Silicon Graphics (con una máquina SGI puse en marcha en 1995 los primeros servicios bancarios de España en Banesto, con el primer servidor seguro y el primer entorno de autor de páginas web). Y tuve muy buena relación con él en su etapa de Safelayer. Creo que es un acierto que lo haya fichado esta multinacional de la certificación electrónica.

WISeKey ELA ha nombrado Presidente a Víctor Canivell. Víctor Canivell llega a WISeKey ELA con un bagaje de más de 25 años de experiencia en el área de gestión de los sectores de informática y redes. Ha desempeñado diversos puestos de vicepresidente para la zona EMEA, tanto en el área de ventas como de servicios, en empresas como Hewlett Packard, 3Com, Silicon Graphics, Cray Research y en start-ups como Aspective. Recientemente ha desempeñado el puesto de Presidente de Safelayer, la start-up española pionera en el campo de la firma digital. Llega ahora de SSA Global, donde ha contribuido al éxito de la OPV en NASDAQ de la empresa.

«Ahora que entramos en la siguiente fase de crecimiento, que incluye el establecimiento de un ecosistema ID para los mercados de habla española y portuguesa, Víctor Canivell aporta a WISeKey ELA la competencia, los conocimientos y la experiencia necesaria para liderar a la empresa en un mercado que se expande tan rápidamente como es el de la gestión de ID», declara Carlos Moreira, Cofundador y Presidente de WISeKey .

WISeKey ELA, la recientemente fundada empresa de tecnología de seguridad informática con sede central en Bilbao, distribuirá en España y América Latina productos manufacturados en Ginebra por WISeKey SA, estableciendo la presencia de WISEkey en estos mercados por medio de una red de filiales. WISeKey ELA ha crecido sobre los sólidos y reputados fundamentos tecnológicos de WISEkey, respondiendo a un significativo nicho de mercado en materia de ID y PKI.

«La dilatada experiencia de Víctor Canivell y su fidedigno historial al frente de otras empresas lo convierten en la elección natural para ocupar el puesto de Presidente de WISeKey ELA», afirma Pedro Luis Velasco Ibáñez, Presidente del Grupo Velasco. «Su diversificada competencia en desarrollo de software, PKI, gestión de ID y mercados IT coincide exactamente con la línea de negocio de WISeKey . Estoy convencido de que conducirá a la empresa hacia éxitos todavía mayores».

«Encaro con entusiasmo mi incorporación al equipo de WISeKey ELA y la posibilidad de trabajar sobre el impulso hacia adelante que ha cobrado la empresa gracias a su probada capacidad a la hora de posibilitar la implementación distribuida de aplicaciones de gestión ID y PKI por Internet, aspectos cruciales donde los haya», afirma Víctor Canivell. «Sabiendo como sé que WISeKey ELA duplicará el éxito de WISeKey en el mercado español y latinoamericano, estoy impaciente por ayudar a la empresa a llegar a un espectro todavía más amplio de clientes».

Ejecutivo veterano con muchos años de experiencia en la gestión de empresas de tecnologías de la información, Víctor ha vivido y desarrollado su carrera profesional en diferentes puntos geográficos, con estancias de varios años en Londres, Cupertino (EE.UU.), Ginebra, Stuttgart, Madrid y Barcelona. Habla varios idiomas con fluidez, recuerdo de su paso por el barcelonés Colegio Suizo. Víctor posee un MBA del ESADE (Barcelona) y es doctor en Física por la Universidad de Barcelona. Ha cursado estudios de gestión empresarial en el INSEAD y el IESE.

¿Cómo conocer el pagerank (posición relativa) de una página web en Google?

3 respuestas

A lo mejor todo el mundo sabe esto, pero para mí ha sido un pequeño descubrimiento (gracias a Paco Sadurní).

http://www.mygooglepagerank.com/pagerank.php

En esta dirección puedes conocer el nivel relativo se un sitio web. Los valores bajos implican un posicionamiento bajo en Google

Consulta pública de la Comisión Europea sobre el sector financiero

Deja un comentario

La Comisión Europea ha publicado el Informe Provisional sobre las Tarjetas de Pago en el Area Unica de Pagos en Euros (SEPA, Single Euro Payment Area), para el que se ha abierto un período de Consultas que acaba el 21 de junio de 2006.

La Comisión cree que el sector financiero puede ser más eficiente y utilizar sistemas que no penalicen sus costes en la forma en que lo hacen ahora, de forma que pueda lograrse que los costes de todas las operaciones financieras de la Zona Euro sean iguales a los costes domésticos.

En el fondo es un problema político. La existencia de múltiples sistemas de compensación y liquidación, aunque funciona (y es uno de los más importantes logros del Sistema Financiero a lo largo de los años) implica complejidad y reparto de comisiones para todos los intervinientes.

Por otro lado, la existencia de múltiples entidades intermediarias, tambien garantiza cierto nivel de competencia.

Además, las infraestructuras desarrolladas en los diferentes paises atienden a idiosincrasias que sería complejo respetar en sistemas unificados sin una evolución conjunta de todos los paises hacia un eventual "modelo óptimo".

En este marco, en el que las entidades españolas están bien posicionadas por su competencia operacional y tecnológica, a veces se ven penalizadas por el uso del idioma inglés en las discusiones y las presiones de los representantes de todos los países por arrimar el ascua a su sardina.

En definitiva, las discusiones en el marco de SEPA, pretenden que el esfuerzo de adaptación de cada país al modelo común sea el menor posible. Y quizá ese objetivo, respetable, no sea el óptimo. Quizá el objetivo sería elegir un país como modelo más avanzado, exigirle mejoras al modelo y forzar a que el resto de países se ajusten al modelo.

En ese caso sí podría ganar el modelo de compensación y liquidación español, cuya principal crítica reside en que la compensación diaria en transferencias y adeudos no es transaccional y on-line sino por lotes y diferida.

Captación de mulas para phishing

1 respuesta

Los delincuentes del phishing están especializados y trabajan con una organización sistematizada.

Unos trabajan hackeando sitios web y poniéndolos a disposición de la organización.
Los siguientes utilizan sitios web hackeados para poner las páginas web que simulan ser las de una entidad financiera, y en la que se instalan los programas que recogen las passwords y los códigos de tarjetas de barcos.
Mientras, otros van obteniendo direcciones e-mail con técnicas de spammer, en ocasiones a través de virus especializados que husmean en los ordenadores de sus víctimas.
Los expertos en e-mail usan sus conocimientos para hacer llegar diferentes tipos de mensajes a diferentes tipos de víctimas-incautos, sin que los bloqueen los filtros antispam ni los filtros antiphishing.
Uno de los mensajes tipo es el destinado a engañar a los clientes de una entidad financiera en cuyo nombre se emiten los mensajes. El tono de la redacción de los mensajes no suele ser el que utilizaría una entidad financiera, y muchas veces las frases no están correctamente redactadas en la lengua en la que opera la entidad financiera y eso hace que frecuentemente sea relativamente fácil detectar el phishing a quien sabe de qué va eso. Sin embargo cada vez las técnicas de suplantación son más perfectas y los diseños de los email más profesionales.
Los responsables de los webs-zombie (los que van captando las passwords en webs hackeados) hacen llegar los datos de acceso a las cuentas bancarias a otros miembros de la organización.
Estos acceden a las cuentas con los datos obtenidos y envían transferencias a cuentas bancarias de las "mulas".
Las mulas envían el dinero (menos la comisión que se quedan por su "trabajo") a otro destinatario a través de entidades remesadoras de envío de dinero en efectivo en las que se deja relativamente poco rastro.
La captación de mulas se hace por otra modalidad de mensajes tipo. En estos mensajes, el remitente dice trabajar para una multinacional "prestigiosa" y señala que has sido "seleccionado" para desempeñar un trabajo honrado y sencillo, recoger la recaudación de las facturas de los productos que exportan a tu país y enviársela a su organización. Algo, desde mi punto de vista, tan sospechoso, que sorprende que gente formada se lo haya creido y se haya prestado a ello. Y, por supuesto, haya sido detenida por la policía, al ser el primer elemento de la cadena de movimiento de dinero de la organización, con la identificación de la cuenta proporcianada por el defraudado.

Para que veais el ingenio de estos tipos, os adjunto un mensaje que envían en modo gráfico, de forma que puedan soslayar la técnica de análisis de palabras de los filtros antispam.

Captacion de mulas

IBSN: Internet Blog Serial Number

Deja un comentario

Ya tengo mi ptopio IBSN, Internet Blog Serial Number.

Es el 1424-61-08-31. Lo del 1424 es INZA pasando las letras a números.

He aquí el mensaje obtenido con los enlaces para ello:

El IBSN solicitado se ha registrado con éxito. Por favor, incluye una reseña en tu blog al respecto, con un enlace a este sitio para que otras personas conozcan la iniciativa.
Se ha guardado la información siguiente:

Nombre del blog: Todo es electrónico
URL: https://inza.wordpress.com
IBSN: 1424-61-08-31

Gracias a Jarfil's Blog puedes poner el siguiente código de barras en tu blog.
Recuerda que debes guardar la imagen (presiona con el botón derecho del ratón) y subirla a tu blog. Puedes incluir un enlace junto con la imagen con el siguiente código:

<a href="http://www.hewop.com/~ibsn"><img src="Lugar donde guardes la imagen" alt="IBSN: Internet Blog Serial Number 1424-61-08-31" /></a>

Si deseas el código de barras en otro formato, puedes conseguirlo en http://jarfil.info/ibsn.php?ibsn=1424-61-08-31

Los proveedores de organismos públicos deberán facturar telemáticamente

Deja un comentario

Aunque era un rumor que circulaba estos meses, especialmente tras plantearse la transposición al ordenamiento jurídico español de las Directivas sobre contratación pública del año 2004, hoy hemos tenido la confirmación por boca de D. Francisco Ros, Secretario de Estado de Telecomunicaciones y para la Sociedad de la Información .

Noticia 5 dias

La noticia adjunta ha sido obtenida del periódico económico Cinco Días de 14 de junio de 2006, aunque ha tenido eco en casi toda la prensa.

Entre los medios internet, pueden mencionarse:

http://derecho.vlex.com/actualidad/doc_313191,c_01,00.html

http://www.netydea.com/nweb/web-v2/spinformacion/index_informacion.asp?idinformacion=14689

http://www.abc.es/20060614/tecnologia-tecnologia/factura-electronica-sera-obligatoria_200606140328.html

http://www.laflecha.net/canales/e-administracion/noticias/200606141/

http://www.elmundo.es/navegante/2006/06/14/empresas/1150273622.html

http://www.consumer.es/web/es/tecnologia/2006/06/14/152972.php

http://www.finanzas.com/id.9082295/noticias/noticia.htm

http://www.plus.es/codigo/noticias/ficha_noticia.asp?id=550773

http://www.20minutos.es/noticia/130866/0/factura/electronica/telecomunicaciones/

Moción del PSOE en el Senado para que el Gobierno impulse la digitalización y la factura electrónica

Deja un comentario

El Pleno del Senado debatió el martes 23 de mayo de 2006 una moción del Grupo Socialista por la que instó al Gobierno a tomar «las medidas necesarias para el impulso y aplicación de las Tecnologías de la Información y las Comunicaciones (TIC) en las Pymes», más en concreto, la digitalización y promoción de la factura electrónica.

El portavoz socialista en la Comisión de la Sociedad de la Información y del Conocimiento y autor de la moción, Félix Lavilla, destacó que los objetivos principales de la línea de pymes del Plan Avanza son la mejora de la productividad y el aumento de la competitividad del tejido formado por las pequeñas y medianas empresas españolas, aproximándolo a niveles europeos mediante la incorporación de las TIC.

Con la redacción de esta propuesta, el PSOE «subraya la necesidad de impulsar el desarrollo del negocio electrónico y mejora de la competitividad, apoyando a la innovación y la incorporación de tecnologías de la información y las comunicaciones específicamente diseñadas para cada sector».

El parlamentario socialista subrayó la importancia de llevar a cabo la implantación efectiva de la facturación electrónica, «especialmente en la pequeña y mediana empresa». En este sentido, añadió Lavilla, uno de los grandes objetivos del Plan Avanza es alcanzar la cifra de 800.000 empresas que incorporen la facturación electrónica entre sus procesos habituales en 2009.

A su juicio, la implantación de la facturación electrónica tendrá un triple efecto beneficioso. «Por una parte, contribuirá a la correspondiente mejora, simplificación y racionalización de los procesos empresariales; representará un ahorro en costes para la empresa y para la sociedad, y actuará como gran proyecto tractor impulsor del concepto de «apagón analógico» en los procesos empresariales», resumió.

«España se sitúa entre los países con un menor grado de adopción de las TIC por parte de las Pymes», recordó Lavilla, para quien esta situación de retraso tecnológico del tejido de las pequeñas empresas «viene motivada principalmente por la falta de formación e información acerca de las nuevas tecnologías, generándose una escasa percepción de su utilidad en la aplicación a los diferentes procesos productivos».

El algoritmo de hash del DNI electrónico

7 respuestas

Estos días he leido muchas tonterías (a mí me lo parecen) sobre si el SHA-1 es malo y lo único bueno es el SHA-256 y sobre lo que esto implica en el nuevo DNI electrónico.

Lo cierto es que desde hace unos pocos años, algunas personas afirman de oidas que se ha roto el MD-5 o el SHA-1.

Lo que ha sucedido es que se ha demostrado que la probabilidad de encontrar dos documentos distintos con el mismo hash, siendo muy pequeña, es menos pequeña de lo que se sospechaba cuando se diseñó el algoritmo.

Con esto en mente, podemos afirmar que no es cierto que unos algoritmos de hash sean buenos y otros malos, así sin más.

En todo caso, no hay algoritmos buenos, sino más o menos vulnerables a determinados tipos de ataque.

Y, desde luego, la mejor opción es utilizar 2 algoritmos de hash simultáneamente.

Lo que esto quiere decir es que si, sumando casualidades, somos capaces de generar un documento que tiene una información que nos interesa y con el que queremos sustituir a otro para el que se ha calculado el Hash, habremos conseguido que el hash firmado para el documento sustituido ampare al documento con el que lo sustituimos.

En general, en documentos estructurados esto es imposible incluso con mecanismos de hash "·malos" porque es importante preservar la legibilidad y consistencia del documento. No es lo mismo con ficheros gráficos o con ficheros que tengan áras de "pad" (de manipulación) porque es posible manipular esas áreas o los bits menos significativos del gráfico hasta que el fichero entre por el aro (lo que tampoco es nada fácil).

De todas formas, cuando existen dos algoritmos de hash simultáneos, lo que podamos hacer para "arreglar" el fichero de cara a un Hash, nos lo "descojona" de cara al otro.

En definitiva, el certificado incluido en el DNI electrónico es lo suficientemente seguro ya que el hash generado con SHA-1 implica que no es posible generar otro certificado con el mismo aspecto y cambiando algunos datos según nos interese. Pero ya es la releche al volver a firmar por la CA el SHA-256 del mismo contenido. Aunque no podamos utilizarlo ni con Internet Explorer, ni con Opera, ni con Firefox. Es, desde luego, INFALSIFICABLE.

Otro aspecto distinto es la manera en la que firmemos nosotros nuestros documentos con el DNI electrónico. Ahí sí que podemos hacer lo que queramos. Por ejemplo, desarrollar por nuestra cuenta un programa de software que utilice formatos no estándar al cifrar y al descifrar (firmar y comprobar la firma), y que emplee MD-4, MD-5, SHA-1 y SHA-256 simultánemaente.

A ver si vamos a ser muy paranóicos con las gilipoyeces y luego no comprobamos si el certificado está revocado o no.

Más sobre el nuevo tipo de fraude en comercio electrónico

2 respuestas

Como e introducido en el post anterior, asistimos a una nueva modalidad de ataque a tiendas virtuales,que usa las mismas técnicas que el crimen organizado ha creado para el phishing: la contratación de "mulas".

Hasta hace poco tiempo los mails que ofrecían trabajo desde casa se concentraban en ofrecer compensaciones "laborales" por llevar a cabo unas cuantas transacciones económicas: transferencias a determinadas cuentas por empresas remesadoras, y recepción de pagos "de clientes" en cuentas bancarias propias.

Aunque parece increible que haya gente que se crea la historia (sobre todo en aquellos primeros e-mails tan cutres, últimamente el aspecto ha mejorado mucho), lo cierto es que personas de cierto nivel cultural (y usuarios frecuentes de internet) han sido detenidas por su participación "involuntaria " en las redes de fraude "phishing" y en el posterior "blanqueo" de dinero.

Esta técnica se extiende ahora, y las ofertas para "trabajar desde casa" incluyen la gestión de "paquetes enviados por los clientes" de la "empresa" que ofrece el trabajo (no olvidemos que lo normal es enviar paquetes a los clientes, no al revés).

Estos "paquetes" son los que contienen los productos que las empresas de comercio electrónico envían engañadas a destinatarios aparentemente fiables. A las tiendas debería hacerles sospechar la adquisición de pedidos tan grandes y el hecho de que en ellos pidan incluir teléfonos móviles y otros objetos de alto valor y fácil reventa.

En definitiva, el crimen organizado en guerra contra el comercio electrónico, que tiene menos medios para reaccionar que las entidades financieras.

Como muestra, mirad el tipo de e-mail que envían para captar "mulas":

You might have noticed how the recent changes of all kinds influence your life. Constant growth of prices, low wages, employment problems. If you aren't satisfied with your present income or it doesn't comply with your capabilities; If you constantly lack money; If you want to better your financial status or you are just looking for a part-time job, then this job is what you need. Consider the advantages of the work we offer: Extra incomeYou might have noticed how the recent changes of all kinds influence your life. Constant growth of prices, low wages, employment problems. If you aren't satisfied with your present income or it doesn't comply with your capabilities; If you constantly lack money; If you want to better your financial status or you are just looking for a part-time job, then this job is what you need. Consider the advantages of the work we offer: Extra income
Minimal expenses and no expenditures at all (only I-net and e-mail)
The easiness of work. – Possibility to combine this work with your occupations (you just need to check your e-mail several times a day) For this work you don't need a special education possessing some special skills or knowledge possessing storehouse, office, special equipment.
The job we offer is related to mail. It is an easy job which doesn't require leaving your main occupation. You will have to receive to your home address parcels from our clients and ship them out further following our manager's instructions ($30 for each shipped out box). Contact us by e-mail and you will be sent a list of vacancies available at the present time. You work will be paid for without any delays.
You may work with several orders at a time as well as work with each one separately