June 12th, 2008 Jandro_S
Revisando mi correo, me he encontrado con este flagrante intento de phishing:
Como se puede ver es un supuesto correo de Cajamadrid en el que se me informa de que tengo un mensaje en mi buzón y me invita a entrar en mi cuenta para leerlo. Para empezar no soy cliente de Cajamadrid. Además el formato del correo es bastante cutre y es especialmente flagrante la dirección del remitente del correo: Caja Madrid [zcjndc@clara.co.uk] Por todas estas razones (no hace falta ser muy avispado para verlo), he pensado que era un intento de Phishing.
No obstante, me he preguntado si el site “simulado” para obligarte a dejar las claves tendría alguna verosimilitud, por lo cual he seguido el link en “Ir a la Oficina Internet”, cuya url era también manifiestamente falsa. A pesar de ello, he pinchado. Mi sorpresa viene ahora ya que al intentar entrar en el site me he encontrado con la página de la izquierda en Firefox 3.0. El navegador ha identificado en intento de phishing avisándome de manera muy clara del riesgo que corría al intentar seguir con la operación. Esto es la primera vez que me pasa con un mensaje de este tipo. Olé por la evolución de los navegadores, y en especial del Firefox.
Como contrapartida, en algunos sites oficiales me he encontrado un mensaje parecido al no coincidir exactamente el nombre del servidor con el nombre del receptor de un certificado. Por ejemplo el servidor era empresas.xxxx.es y el certificado era para xxxx.es. Este problema es, no obstante, más atribuible a los gestores del site que al navegador.
Posted in seguridad | No Comments »
June 1st, 2008 Jandro_S
- Reflexiones sobre las inversiones en Startup. El ejemplo de Migoa (en Loogic) Javier Martín analiza el proceso de inversión de Migoa haciendo un respaso de algunos puntos que no se suelen tratar en muchos post de emprendedores o inversores. Además ofrece un punto de vista práctico.
- Angel María y Martín Varsavsky coinciden en el tema esta semana: el análisis comparado de la publicidad ofrecida por medios offline y online. Ambos coinciden en que los online tienen un impacto más directo, inmediato y medible en el tráfico, mientras que los offline dan un mayor reconocimiento fuera del especializado ámbito de los internautas.
- Campus de emprendedores (Blog de Emprendedores) Jesús Monleón nos anticipa el lanzamiento de un nuevo evento que tratará de tomar lo mejor de los distintos eventos para emprendedores existentes en la actualidad: First Tuesday, Iniciador, Open Coffee… Tenemos que estar atentos al martes que supuestamente es la fecha de lanzamiento. Sorpréndenos Jesús.
- Las paradojas de la seguridad (en El Blog de Enrique Dans) Enrique comenta con buen criterio la incongruencia que existe en la actualidad de otorgar validez jurídica a documentos enviados por fax, cuando la facilidad de manipulación es muy sencilla. Estamos obsesionados con la seguiridad y en cambio aceptamos un fax con una firma que puede haber sido recortada y pegada sin dejar rastro como documento fehaciente.
- Mi modelo de negocio me aburre (en Infoman) Rodolfo Carpintier habla de las situaciones en las que los emprendedores llegan a hacer una empresa rentable pero sólo se queda en eso. Esta situación supone que la empresa se estanca en un punto donde es difícil su venta, aunque trabajar en ella aporta cash flow pero sin mucho incentivo. Da algunos consejos para reaccionar ante estas situaciones, que por cierto, son uno de los principales miedos de los VC.
- Nuestro proceso de selección (en Jordi Bufí) Jordi hace una detallada exposicio? de cómo hacen su proceso de selección a raíz de estar revisando su plan de empresa. Siempre es interesante ver cómo hacen el proceso de selección otras compañías ya que puede aportar ideas novedosas. Muchas gracias Jordi por ser tan transparente.
Posted in Sugerencias | No Comments »
May 29th, 2008 Jandro_S
Hace unos meses escribí una entrada sobre la seguridad en el pago con tarjeta de crédito en el que comentaba que para que se produjera fraude tenía que haber dos problemas de seguridad:
- Que permitiera robar la información de la tarjeta
- Que permitiera utilizar la información robada
El punto 1 ha existido desde siempre offline. Se han robado números de tarjeta en restaurantes, cajeros, carteristas… La suerte es que hasta la aparición de Internet el punto 2 era muy difícil de que se produjera por la presencia física (y la posibilidad de solicitar información). Con la aparición de Internet, el punto 2 se ha facilitado de manera radical, lo que hace mucho más atractivo explotar las vulnerabilidades que permiten el robo de información.
Recientemente he leído un artículo de Wired que confirma esta hipótesis. Han detenido a unos hackers internacionales que vendían numeros de tarjeta de crédito robados de transacciones realizadas offline en establecimientos de distintas cadenas de restaurantes y grandes almacenes.
Instalaban rastreadores de red que leían la información de las tarjetas de crédito que pagaban en los establecimientos mientras se enviaban a los servicios centrales. Con esta táctica han llegado a interceptar varios miles de números de tarjeta junto con la fecha de caducidad y el código de validación que luego vendían para su uso en Internet. El resultado, personas que sin haber usado la tarjeta en Internet nunca ven cómo hacen un uso fraudulento de su tarjeta en Internet.
Conclusión: siguiendo unos estándares mínimos de seguridad (que la página web tenga certificado válido y que la transmisión esté encriptada https) el uso de la tarjeta por Internet en ningún modo es más inseguro ni incrementa la probabilidad de que vayamos a experimentar fraude.
Posted in Sistemas de Pago | No Comments »
March 28th, 2008 Jandro_S
Ya hay un ganador del concurso realizado por la convención de seguridad CanSecWest. Charlie Miller, un analista principal de Independent Security Evaluators. Según la información de un artículo de ComputerWorld, dedicaron una semana a preparar el exploit que se ha realizado sobre la versión 3.1 de Safari.
A pesar de que el Mac haya sido el “perdedor” , el equipo que ha conseguido hackearlo comenta que eligieron el Mac porque era el que les iba a llevar menos tiempo, pareciendo indicar que podrían haberlo hecho también para cualquiera de los otros dos equipos. Por otro lado, en otro momento también comenta que habrían encontrado una vulnerabilidad también en Windows si lo hubieran tenido que hacer. No dijeron nada específico de la máquina con Ubuntu.
Conclusión: como comentó Iván de la Jara en la entrada previa, este concurso no dice demasiado sobre la seguridad de los sistemas operativos, ya que el ganador del concurso admite que no han intentado hackear ninguno de los otros dos, pero que podrían haberlo hecho. Al final se convierte más que nada en una llamada publicitaria.
Posted in seguridad | 1 Comment »
March 20th, 2008 Jandro_S
Interesante pregunta que se hace continuamente la gente y sobre la cual vamos a tener una respuesta un poco menos subjetiva que las que se suelen escuchar hasta el momento.
¿Por qué? Porque según leo en The Register, la convención de seguridad CanSecWest ha creado un concurso para hackear uno de los ordenadores cargados con estos sistemas operativos. Ha ofrecido un premio de $25.000 y el resultado se sabrá a final de mes.
Quedamos expectantes a ver qué pasa. Intentaré mantenerme informado y comentar el resultado en el blog.
Posted in Uncategorized | 1 Comment »
January 16th, 2008 Jandro_S
Esta semana hemos conseguido finalmente resolver un problema que nos ha estado fastidiando durante varios días: el pago de un servicio por internet mediante el uso de una tarjeta de crédito corporativa protegida por el sistema Verified by Visa. No es la primera vez que tengo este tipo de problemas, ya me ha pasado antes con tarjetas personales.
El comercio electrónico está menos desarrollado en España que en otros países de su entorno. Si nos comparamos con EEUU, la diferencia es todavía mucho más elevada. Hay varias posibles razones frente a esto, algunas de ellas culturales, pero una de las más importantes según el estudio B2C de Red.es es las dudas sobre la seguridad en el pago. Es curioso, porque mejorar la seguridad en el pago es la primera iniciativa para incrementar las compras de los ya compradores, mientras que para los no compradores en 2006, la seguridad en el pago es la tercera razón por la que no compran. En todo caso, como se puede ver en el gráfico, hay una sustancial mejora en 2006 respecto a 2005.
Las entidades emisoras de tarjetas, incluyendo a las plataformas Visa, Matercard, etc. Han intentado responder a esta inquietud incrementando paulatinamente la información necesaria para conseguir realizar una transacción por Internet. Inicialmente introdujeron la necesidad de incluir el código de verificación de tres dígitos del reverso de la tarjeta (en la zona de firma). Al parecer esto no pareció suficiente y actualmente están introduciendo niveles de autentificación adicionales como las contraseñas para usar las tarjetas en la web. Estas medidas, aunque incrementan la seguridad en el pago, están perjudicando de manera importante la experiencia del proceso de compra poniendo trabas al momento crítico del mismo que es el pago.
¿Son necesarias tantas medidas de seguridad cuando realmente es muy complicado que se intercepten los datos de los pagos en la red? Creo que sí. Uno de los problemas que se están produciendo en la actualidad es que se está hablando de seguridad en el pago con tarjeta por internet de manera genérica y se dan informaciones contradictorias. Por un lado se dice que es el medio más seguro para pagar puesto que es muy difícil que intercepten la información y por el contrario, constantemente se habla de fraude online.
El problema proviene de que para que se produzca fraude hay que romper los sistemas en 2 puntos
- Robo de información. En este punto, Internet, sólo con el uso de protocolos seguros, es mucho más fiable y seguro que cualquier otro pago que se haga con tarjeta en un establecimiento tradicional. En los últimos, es práctica habitual, especialmente en los restaurantes, que se lleven la tarjeta para procesar el pago. En ese momento es muy fácil que alguien apunte o copie los datos de la misma. En los pagos por Internet conseguir esto es muy complejo.
- Uso de información robada. En este punto, la situación es la contraria. En los comercios tradicionales es muy fácil verificar la identidad de la persona que lleva la tarjeta pidiéndole el DNI (otra cosa es que no se haga, yo siempre me alegro de que me lo pidan). En cambio, en Internet es muy difícil comprobar la identidad del pagador.
¿Por qué ha incrementado el fraude por internet y no el fraude en el comercio tradicional? Porque antes, aunque era sencillo “conseguir” la información de las tarjetas en el comercio tradicional, su aprovechamiento era más complejo. Con la llegada de internet y los primeros sistemas de pago basados exclusivamente en los dígitos y la fecha de caducidad era muy fácil aprovecharse de la debilidad en el punto 2 y utilizar por internet la información robada fuera. Por ello se hace necesario reforzar la seguridad en el nivel de autenticación del pagador.
En conclusión, si las tarjetas fueran exclusivas para Internet o para el comercio tradicional y en ningún caso pudieran usarse en el otro ámbito, se reduciría drásticamente el fraude, ya que cada entorno sería fuerte en proteger uno de los dos puntos impidiendo el fraude. Como esto no es así, el problema de seguridad del pago en el comercio tradicional se ve reflejado en Internet, que es donde se materializa el fraude. Dado que la flaqueza de seguridad tipo 1 del comercio tradicional no le afecta directamente, parece difícil pensar que se vaya a corregir a medio plazo. Por ello, la única solución proviene de reforzar la seguridad tipo 2 en el comercio online que es lo que se está ahora produciendo. El problema es que habría que buscar un método menos pesado que tener que recordar y pasar por un nuevo proceso de contraseña.
Como segunda conclusión, la gente no debe tener miedo a usar la tarjeta en Internet (siempre que los comercios tengan un mínimo de seguridad como que usen una pasarela de pago encriptada). Aunque no tengo datos para corroborarlo, creo que para la mayoría de los clientes que han experimentado fraude en el pago online, el origen del mismo probablemente haya sido en los comercios tradicionales. Por tanto, el no usar la tarjeta en internet apenas previene el riesgo de sufrir fraude en Internet. Es mejor controlar el uso que se hace de la tarjeta en los comercios tradicionales.
Posted in Internet, Sistemas de Pago | 1 Comment »
Revisando mi correo, me he encontrado con este flagrante intento de phishing:
No obstante, me he preguntado si el site “simulado” para obligarte a dejar las claves tendría alguna verosimilitud, por lo cual he seguido el link en “Ir a la Oficina Internet”, cuya url era también manifiestamente falsa. A pesar de ello, he pinchado. Mi sorpresa viene ahora ya que al intentar entrar en el site me he encontrado con la página de la izquierda en Firefox 3.0. El navegador ha identificado en intento de phishing avisándome de manera muy clara del riesgo que corría al intentar seguir con la operación. Esto es la primera vez que me pasa con un mensaje de este tipo. Olé por la evolución de los navegadores, y en especial del Firefox.
