Para poder implantar una nueva tecnologia a nivel mundial, que permita el pago seguro en comercios, seria necesario un acuerdo global con VISA y MASTERCARD a nivel internacional, cosa que puede ser en principio bien complicada; Por ello, mi propuesta se vería en principio destinada a una implementacion nacional, y a una experiencia piloto por parte de los bancos españoles como una pionera idea a nivel europeo: ¿Alguien quiere escucharla?
El phishing consiste en engañar al usuario para hacerle creer que se trata de una comunicacion estatal, de un organismo oficial o de un banco o entidad donde tiene una cuenta bancaria, o bien solicitar un producto indicando que ya ha hecho el pago sin haberlo hecho y solicitando el envio del mismo lo antes posible: Vamos es otra forma de robar a las personas y de forma habitual.
Los "ciberdelincuentes" realizan un delito de "estafa" y a traves de ingenieria social (engañando al usuario), consiguen el usuario y password de nuestro banco, o bien los datos de nuestra tarjeta de credito: Se le conoce como Phisher (al estafador). Dichas acciones requieren a menudo de utilizar tecnicas que requieren de conocimientos informaticos mas amplios a los habituales asi pues:
- EMAIL: Suplantacion por correo electronico. Hoy en dia, el correo electronico no es suficientemente seguro y se puede enviar un correo con cualquier remite de nuestra voluntad, puede que llegue como spam, pero poder se puede ya que el protocolo de EMAIL es bien debil.
- WEB: Se crea una web parecida a la original, la cual es un intermediario entre el estafador y la original. Tiene el mismo diseño pero suele estar alojada en una IP de internet o nombre de dominio similar. Guardan el usuario y clave y llevan a la pagina del banco oficial. Recordar que un dominio no es seguro ni por ser un .es ni un .com ni nada, ya que los datos pueden ser falsos o meter en lios a terceros.
- Llamadas telefonicas: No son ciberdelincuentes directamente, pero la ingenieria social siempre ha existido y permite a los estafadores conseguir datos confidenciales que de otra forma no serian posibles de conseguir.
¿Como saber por tanto si la web donde pagamos es la esperada?
Los certificados SSL, no siempre son seguros. Algunos solo encriptan la comunicacion con el servidor destino, y simplemente se obtienen pagando a una entidad ssl que no comprueba mas que el telefono de la persona a lo sumo (si es un movil seria anonimo... puede ser no español...) con lo que ya no vale con ver el candado oficial sino comprobar que es un certificado SSL de calidad como el de Verisign que ofrece una garantia de seguridad en el cual, para obtener el certificado han tenido que comprobar los datos al 100 % CIF, apoderados, NIF etc (costes entre 1000 y 3000 € por certificado anual, frente a los 100-300 € que se pueden encontrar en otros casos)
A mi modo de ver, un primer paso para implementar mas seguridad en la red en España, consistiria en montar un organismo estatal de validacion de certificados SSL para nuestro pais con costes mas reducidos entre 50 € y 150 € controlado por el gobierno. Cuando una persona solicite un certificado se ve que esta aprobado por el gobierno y que los mismos funcionarios han comprobado que son validos sus certificados, que son del propietario adecuado, copia NIF, CIF, escrituras, etc. ¿Para cuando una iniciativa asi? Se mejorarian los precios, los hariamos mas alcanzables a Pymes, y se les ayudaria a la expansion de la red: Seria un complemento perfecto a las nuevas iniciativas en Red del Gobierno. Con esta propuesta un certificado SSL de calidad no tendría un coste tan elevado y permitiria dar mas seguridad a los compradores de los comercios de nuestro pais.
En segundo lugar, el tema del correo electronico, creo que el momento de buscar una solucion mucho mas segura a la hora de transmitir un correo a un usuario. Seria interesante que los bancos, tiendas, etc cuando envien esos datos lo hagan a traves de una entidad certificadora, la cual envie un enlace a los contenidos a traves de HTTPS por SSL y con certificados del gobierno. Al enviar un email se mantendria una copia en los mismos durante un año, y la persona que reciba el email, al recibirlo podría ver que ha sido enviado por una entidad legalmente definida y autentificada. En mi opinion una medida y puesta en funcionamiento en este sentido de estos organismos ayudarian de igual forma a securizar el correo en nuestro pais.
Como esta claro, con estas medidas, se lucharia por hacer mas seguro internet en nuestro pais, pero no es suficiente, pues salvo que se hicieran buenas campañas de promocion en TV etc, no seria facil que llegara la informacion a todos los publicos. Por ello propongo un nuevo sistema de seguridad para las tarjetas de credito que pudiera combinar estas entidades.
Conozcamos un poco mas el funcionamiento en España de las tarjetas de credito. (ver otro articulo con datos interesantes)
Hoy en dia, en el metodo CES, permite comprar de forma segura teoricamente, solicitandonos un monton de datos a la hora de comprar y validar la tarjeta. El procedimiento requiere de poner los datos de la tarjeta y posteriormente la entidad donde compras te lleva a tu propio banco y te solicita que compruebes tu identidad:
- Usuario y password del banco
- Pin del cajero o de Internet
- Combinacion de barcos
- En algunos casos envia un SMS con la clave para validar que eres el cliente pero no todos los bancos lo hacen, y algunos unicamente mandan un SMS al finalizar la compra.
En otros paises, como Estados Unidos, las pasarelas de pago si no ponemos bien la direccion de nuestra casa donde hemos comprado rechazan el cargo. ¿Como lo hacen? ¿Y porque en nuestro pais no funciona esto? En Estados Unidos las politicas de proteccion de datos no son las mismas que en España, y existe una base de datos global de todos los usuarios que insertan los bancos y que pueden validarse de forma sencilla por un banco sin pasar por otra entidad. Compartir los datos o ponerlos en una base de datos global violaría en nuestro pais las leyes de Proteccion de datos, por eso no existe en nuestro pais, y por eso no se pueden validar por los bancos los datos reales. A decir verdad, si alguien nos roba una tarjeta, muy probablemente tambien pueda robarnos el DNI con nuestra dirección asi pues tampoco asegura una identificacion plena los datos personales de ese tipo.
En España, hace poco se obligo a las operadoras a montar la asociacion de la portabilidad,para que los operadores puedan a traves de una base de datos global, saber de que operador es un numero de movil, y permitiendo asi que un cliente sea el dueño del numero una vez adquirido de por vida (mientras no abandone el numero) y pueda elegir el operador donde quiere estar.
Asi pues, mi propuesta es la creación de una base de datos que unicamente tuviera los siguientes datos y avalada por los bancos y cajas de nuestro pais :
- NUMERACION TARJETA (sin fecha caducidad)
- TEL MOVILES DE CONTACTO y FIJOS de contacto con sus ALIAS
En caso de moviles, se implementaria un sistema por SMS, al pagar en un TPV se llamaria a esa entidad la cual mostraria los posibles ALIAS por ejemplo: "Telefono de casa", "Movil del trabajo", etc De esta forma recibiria un SMS que deberia confirmar y podria reintentar con otro numero si falla. 2-3 intentos y luego da la operacion por fallida, pero al mismo tiempo informa a las autoridades de la IP que ha intentado dicha operacion fraudulenta para su investigacion.
En caso de telefonos fijos, se implementaria un sistema mediate Asterisk (tecnologia VOZIP), de tal forma, que el cliente recibiria una grabacion "Esta recibiendo un intento de compra en su tarjeta de credito por valor, si es usted la persona autorizada pulse 1 sino puede pulsar 0 o colgar".
De esta forma en los TPV con esta modalidad segura de venta no se autorizaria ninguna compra que no fuera validada por esta entidad intermedia que operaria como una puerta de seguridad bancaria. Si bien pueden robarnos el movil de igual forma, es mucho mas logico que se de de baja un movil si nos lo roban, que una tarjeta de credito si la continuamos teniendo bajo nuestra posesion y alguien tiene nuestros datos.
Espero que alguien lo ponga en marcha el proyecto, yo tan solo he querido dar mi opinion y experiencia procesando tarjetas de credito que en el pasado a traves de un gateway propio llegue a facturar mas de un millon de euros y pude comprobar el porcentaje de fraude que se cometia a traves de el.
Os dejo mi email por si quereis hablar: [email protected]
Raul Mate Galan
