Hace unos meses escribí una entrada sobre la seguridad en el pago con tarjeta de crédito en el que comentaba que para que se produjera fraude tenía que haber dos problemas de seguridad:

1. Que permitiera robar la información de la tarjeta
2. Que permitiera utilizar la información robada

El punto 1 ha existido desde siempre offline. Se han robado números de tarjeta en restaurantes, cajeros, carteristas… La suerte es que hasta la aparición de Internet el punto 2 era muy difícil de que se produjera por la presencia física (y la posibilidad de solicitar información). Con la aparición de Internet, el punto 2 se ha facilitado de manera radical, lo que hace mucho más atractivo explotar las vulnerabilidades que permiten el robo de información.

Recientemente he leído un artículo de Wired que confirma esta hipótesis. Han detenido a unos hackers internacionales que vendían numeros de tarjeta de crédito robados de transacciones realizadas offline en establecimientos de distintas cadenas de restaurantes y grandes almacenes.

Instalaban rastreadores de red que leían la información de las tarjetas de crédito que pagaban en los establecimientos mientras se enviaban a los servicios centrales. Con esta táctica han llegado a interceptar varios miles de números de tarjeta junto con la fecha de caducidad y el código de validación que luego vendían para su uso en Internet. El resultado, personas que sin haber usado la tarjeta en Internet nunca ven cómo hacen un uso fraudulento de su tarjeta en Internet.

Conclusión: siguiendo unos estándares mínimos de seguridad (que la página web tenga certificado válido y que la transmisión esté encriptada https) el uso de la tarjeta por Internet en ningún modo es más inseguro ni incrementa la probabilidad de que vayamos a experimentar fraude.

This entry was posted on Thursday, May 29th, 2008 at 0:38 and is filed under Sistemas de Pago. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.