sábado, 1 de febrero de 2014

Activado mi nueva tarjeta ... ¿ Phising ?

Hace unos días recibí de mi banco mi nueva tarjeta de crédito puesto que la actual iba a caducar. La tarjeta llegó por correo junto con una carta con las instrucciones a seguir, como es habitual.

En esta ocasión me dio por leer la carta de principio a fin, ya sé que no aporta nada, todos sabemos que tenemos que hacer una primera operación con PIN en un cajero para activar la tarjeta y prevenir así su uso fraudulento por terceros. Pues bien, pude ver que además del método tradicional del cajero se ofrecía la opción de activación a través de la banca online. Como yo no tengo banca online con esta entidad no lo consideré pero, y ahora sí, para mi sorpresa, ofrecían un servicio de activación telefónico.

Vaya, eso sí que parece cómodo, pensé, pero no acertaba a entender cual sería el método de autenticación que yo tendría que usar ante la operadora real o virtual que me atendiera. De hecho el texto de la carta, como veis, no aclaraba mucho.


¿Sólo con los datos de la tarjeta que tengo delante me autentico si precisamente lo que quiere comprobar la entidad es que a tarjeta ha llegado al destinatario correcto? A mí me faltaba algo.

Esperaba que en el fondo fuese un servicio derivado de la banca online y me solicitase algún tipo de contraseña por lo que esperaba que, en mi caso, fracasase la activación telefónica. Para resolver todas estas inquietudes, pues llamé (si le das al play abajo puedes escuchar la llamada). Pues bien, lo inaudito viene ahora:  me solicitaban el PIN !!!



Claro, así cualquiera se autentica, pero..., esto..., en fin..., esto es una burrada ¿no? pero al cabo de unos minutos, cuando empecé a recuperarme del shock, otra terrible idea me vino a la cabeza: PHISING!, PHISING! me están haciendo PHISING! Pensé.

No sabía cual de las dos ideas me inquietaba más: si una banda de desalmados intentaba conseguir mi PIN o mi entidad bancaria tenía el cuajo de obligarme a "cantar" mi número secreto.

Para verificar la hipótesis del phising me acerqué rápidamente a un cajero para ver si la tarjeta se podía activar (...seguro que esta banda criminal me ha mandado una tarjeta falsa con el único fin de conseguir mi PIN actual...) pero, la tarjeta se activó. Vaya, hay que complicar un poco más la hipótesis...ya está: han interceptado el envío de mi tarjeta auténtica, han reemplazado la carta con las instrucciones maliciosas del teléfono y todo eso, y me la han vuelto a enviar, eso es !

En cuanto a la hipótesis del banco, decir, que hay normas y especificaciones en el sector financiero acerca de cómo gestionar el PIN de manera segura, desde organismos como ISO (ISO9564) y ANSI(x9.8) hasta las marcas emisoras de tarjetas a través del PCI Security Standards Council en cualquiera de sus ámbitos de aplicación: PCI PTS, PCI DSS... No es posible que una entidad bancaria de esta talla, mejor dicho, no es posible que ninguna entidad bancaria independientemente de su tamaño, obligue a exponer y queden así comprometidos los números secretos de sus usuarios. No, no puede ser.

<<<En este punto de la historia podríamos hacer una porra a ver que opción os parece más probable.>>>

Así que me puse a verificar la opción banco. Esta entidad, tiene un portal donde asesora a los usuarios de los peligros del phising, de cómo detectarlo y de lo que la entidad siempre va a hacer. Y leo..


Ahí está ! Phising, Phising !   o, ¿quizá no?

Hablando ya un poco más en serio, porque el asunto es de verdad serio, la moraleja de esta historia es que no te fíes ni de tu entidad bancaria, protege tu PIN como si dinero fuera porque realmente lo es, y BAJO NINGUN CONCEPTO introduzcas tu número secreto de tu tarjeta en otro sitio que no sea un cajero automático de confianza o un terminal de pago de un comercio de garantía.

Publicado por en No hay comentarios:
Etiquetas: , , ,

sábado, 14 de diciembre de 2013

Cómo gestionar tus contraseñas: diversifica y vencerás !


7:00 Suena el despertador, le doy un viaje y consigo apagarlo.
7:05 Vuelve a sonar el despertador, lo apago de nuevo pero... ah, sí, "1234" para desactivar la alarma.
7:07 Agarro la BlackBerry y... olvidé cargarla anoche. La pongo a cargar: "Introduzca el código PIN (quedan 3)" tecleo "2325", vaya "Error  de PIN" ,"Introduzca el código PIN (quedan 2)" Ahora me pongo las gafas "de ver" respiro hondo y tecleo "2325" y ahora sí "Código Aceptado" (...juraría que tecleé lo mismo antes...).
7:20 Ya voy tarde !
7:21 Vitrocerámica y microondas analógicos, botones gordos "de girar", nada que teclear, gracias Señor !
7:23 Mientras sube el café enciendo la televisión, joder "keyboard locked", es verdad, hace dos días que digo que tengo que ver esto, pero ya he probado todos los códigos que podían ser y nada, a ver si le dedico un rato.
7:30 Mientras tomo el café enciendo el ordenador, tengo que copiar al USB el excel que estuve preparando anoche, se me olvidó copiarlo.
7:35 "Bienvenidos a Windows 8 introduzca su palabra de paso", vuelvo a probar el lector de huella y... no va bien, vuelve a fallar, a ver si lo miro, bueno, ¿cómo era ...? Ah, sí: "Miclave1" recuerdo que se pusieron muy pesados los amigos de Microsoft con eso de las mayúsculas y los números en la palabra de paso. Ya estoy dentro. Ya está.
8:00 Tras mi ducha y otros cuidados analógicos llego finalmente al metro y, vaya, tengo que comprar un billete de 10 viajes, me dirijo a la máquina expendedora y leo "Pago sólo con tarjeta", no hay problema, faltaría más,..."Introduzca el número secreto", este..., este es el de siempre: "****" (perdonad, es deformación profesional). Perfecto !
8:10 Consigo sentarme en el vagón, bien! podré leer algo en el iPad, "Introduzca el código", este era haciendo una diagonal y cero: "1590" "Código incorrecto, reintentar" ¿cómo? ah!, sí, la otra diagonal, "3570".
9:00 Tras pasar dos controles de seguridad consigo sentarme finalmente en mi mesa de trabajo. Uf! ya está todo. Pues no, realmente empieza ahora...
9:01"Bienvenidos a Windows 7 introduzca su palabra de paso" ...

En sólo dos horas he contabilizado 7 contraseñas! Me gustaría decir que he exagerado pero creo que para muchos de vosotros se trata de una escena cotidiana o, cuando menos, familiar. Incluso hasta aquí me atrevería a decir que hablamos de un volumen razonable, pero si añadimos la cantidad de registros y contraseñas que usamos en Internet la situación se complica.


'richarddows.co.uk login page' photo (c) 2009, the_english_guy - license: http://creativecommons.org/licenses/by/2.0/

Las contraseñas juegan un papel fundamental en la seguridad actual y no sería fácil buscarles una alternativa. Así pues, los expertos en seguridad han decidido que tenemos que vivir rodeados de estos códigos que, no podemos compartir con nadie, no podemos escribir a menos que tengamos un lugar seguro donde guardarlos... si por ellos fuera nos harían comer el papel donde los hemos escrito y memorizarlos de por vida. Y, por supuesto, deben cumplir una serie de reglas que a los expertos en seguridad les parecen obvias:

  • Una contraseña distinta para cada uso.
  • No debe corresponderse con ninguna palabra conocida y evitar así ataques llamados de diccionario.
  • De longitud suficiente
  • Deben contener mayúsculas y minúsculas.
  • Deben contener números
  • Y si ya incluyes algún signo del tipo: $,&,(,?... podrás dormir a pierna suelta.
Tras aplicar las reglas anteriores podríamos obtener una contraseña del tipo:

2!mY8q#P

Podríamos hacer una encuesta para determinar si alguien que lea este artículo (asumiendo que haya alguien que lo lea) tiene una contraseña mínimamente parecida. Yo desde luego no.

Pero nos vamos a ahorrar el trabajo de la encuesta porque en el reciente ataque que sufrió la empresa Adobe con la consiguiente liberación de material confidencial se han podido ver algunas cosas, por ejemplo el ranking con las contraseñas más usadas. Y para disgusto de nuestros expertos en seguridad el  resultado ha sido:

#      Count      Ciphertext                      Plaintext
--------------------------------------------------------------
1.   1911938      EQ7fIpT7i/Q=                    123456
2.    446162      j9p+HwtWWT86aMjgZFLzYg==        123456789
3.    345834      L8qbAD3jl3jioxG6CatHBw==        password
4.    211659      BB4e6X+b2xLioxG6CatHBw==        adobe123
5.    201580      j9p+HwtWWT/ioxG6CatHBw==        12345678


Es decir, casi 2 millones de usuarios registrados de Adobe utilizan como contraseña "123456". Pero es que además, entre las 100 primeras contraseñas no se ve ni una sola mayúscula y, menos aún, algún signo que no sean letras o números. Ninguna de las 100 primeras contraseñas puede calificarse de "fuerte" en términos criptográficos y sería fácil de atacar.

What you shouldn't put on a credit card swiper

La conclusión no es otra que, muy a pesar de los expertos en seguridad, no es humanamente posible gestionar correctamente el número de contraseñas que necesitamos hoy en día y los usuarios se ven obligados a buscar soluciones prácticas. Por otro lado, muy a pesar nuestro, ellos tienen razón y necesitamos contraseñas suficientemente "fuertes" para garantizar nuestra la seguridad. Pues algo tenemos que pensar ¿no?.

Para los registros en Internet, lo que os propongo a continuación es utilizar la DIVERSIFICACION. Esta es una técnica que se utiliza desde hace algún tiempo en sistemas de seguridad profesionales y consiste en utilizando una valor secreto "maestro" y, con alguna información propia de cada aplicación, generar un valor secreto específico. Es verdad que esto se suele hacer con algoritmos criptográficos que garantizan que la revelación del secreto específico no pone en peligro el secreto maestro. De acuerdo, pondré un ejemplo:

Imaginemos que determinamos que nuestro secreto maestro es (aquí puedes verificar la fortaleza de tu contraseña):
R$55tg

E imaginemos que hacemos un esfuerzo y lo memorizamos: R$55tgR$55tg, R$55tg, R$55tg...
Tendríamos, por ejemplo, las siguientes claves específicas:
  • google -> gR$55tg
  • facebook -> fR$55tg
  • twitter -> tR$55tg
En este ejemplo, he precedido el valor secreto maestro por la inicial del dominio donde me quiero registrar. El criterio puede ser cualquiera, así podemos elegir en vez de la inicial de google "g" su segunda letra "o" o la última "e", o también en lugar de colocar esa letra al principio, hacerlo al final u otra posición. Lo importante es mantener siempre el mismo criterio para poder así recordarlo. Como el criterio puede ser cualquiera no hay una manera clara de, a través de una contraseña, de determinar otra. Puede parecer un poco lioso pero una vez memorizado el valor maestro, en este caso R$55tg, el resto se consigue con muy poco esfuerzo.
Es cierto que la situación no suele ser tan mala como puede parecer y quien más y quien menos siempre ha tenido las contraseñas del banco, el PIN de la tarjeta y alguna otra cosa que nos resulta critica, de manera independiente del resto. Pero Internet evoluciona muy deprisa y a veces no es fácil determinar qué servicios son críticos, así que será mejor ir considerándolos a todos como de alto riesgo.

Publicado por en No hay comentarios:

domingo, 8 de diciembre de 2013

Los pagos del futuro serán... ¡ en Servilleta !


Lo que voy a contar a continuación ha sido la experiencia de pago con tarjeta más increíble que he presenciado estos años y que ha terminado de animarme a comenzar este blog.

Con esta entrada arranco un viejo proyecto personal para crear un blog sobre seguridad informática en el mundo de los medios de pago. Trabajo desde hace años en este sector y aunque, como ocurre en casi cualquier tema, la oferta de información y opinión es inmensa todavía hoy echo en falta un enfoque más orientado a los usuarios de a pie. 

Acabo de volver de la feria de Cartes en Paris, para los que no la conocen, esta feria es el evento mundial más importante de los medios de pago: fabricantes de tarjetas, soluciones de pago, nuevos terminales y dispositivos... Es una feria bastante monótona, tirando a casposilla diría yo, donde las soluciones tradicionales siguen dominando el mercado y las novedades son básicamente las mismas todos los años, con cierto lavado de cara. 

Estamos situados ¿verdad? pues ahora, en medio de todo este evento, ubicaros en la cantina del centro de exposiciones. Pues bien, tras recorrer el self-service seleccionando los platos del menú llega el momento de pagar... con tarjeta, claro, ¿claro? pues no, la cajera nos advierte de problemas con las tarjetas y nos obliga a pagar en efectivo. 

No puede ser, llevo tres días escuchando en la feria las innovadoras formas de pago que nos esperan a la vuelta de la esquina, las tecnologías más novedosas aplicadas a este sector y como las soluciones Cloud me van a hacer la vida más sencilla, y aquí, en Paris, en una de las ciudades más avanzadas del mundo, en Cartes, la Meca de los medios de pago, ¿no puedo pagar con mi tarjeta un triste menú de cantina? 

Tras las risas iniciales empezamos a revisar las carteras, todo esto está muy bien pero el papel de indignado no quita el hambre y, al final, tienes que comer. Los dos primeros de mi grupo pagamos en efectivo, el tercero, un poco más rezagado y ajeno a nuestra experiencia insiste en intentar pagar con tarjeta pues no hay alternativa de pagar en efectivo -estamos ya sin blanca- y como bien presagiaba la señora, la transacción, por algún motivo, fracasa. Se llega pues a un punto de bloqueo donde no parece haber salida, todos nos hemos visto en alguna situación similar que termina normalmente yendo a un cajero próximo, pero esto es Francia, Centro de exposiciones....no hay cajeros. Lo increíble sucede a continuación.

La cajera en su afán de encontrar una solución y tras chequear con el supervisor , propone lo siguiente: apúnteme en esta servilleta el número de la tarjeta con la fecha de caducidad y CVV para realizar el pago posteriormente. 

Así procedió mi compañero pero aún falta algo en esta historia, este pago corresponde a un viaje de empresa y por tanto es un gasto a justificar ¿cómo solucionarlo? muy fácil, obteniendo una copia de la servilleta y este fue el resultado. 



Esta historia es un caso límite de algo que es más cotidiano de lo que pensamos, como simular pagos presenciales cuando en verdad no lo son. Otro día hablaremos de como operaciones presenciales se convierten en no presenciales (compras por internet) sin que el usuario sea consciente, increíble ¿verdad?

Siguiendo con nuestra servilleta, se abren aquí dos cuestiones interesantes: ¿qué debería pasar con este pago? y la segunda, más importante si cabe ¿qué va a pasar?

Para la primera pregunta, el sentido común creo que nos dice a todos que un cargo así nunca debería ser aceptado por la entidad procesadora y, por tanto, el cargo no debería llegar a la cuenta bancaria de nuestro amigo (lo sentimos por la cajera y el encargado que sólo trataban de ayudar). Estamos hablando de una tarjeta chip, con PIN... el producto de más alta seguridad que un usuario de tarjeta de pago puede tener hoy en día en su bolsillo. Y, por cierto, con una leyenda sobre la tarjeta que reza aquello de "ELECTRONIC USE ONLY". En fin, me gustaría pensar que esto no va a pasar.

La segunda pregunta, ¿qué va a pasar? es la importante y honestamente no sé si alguien lo tiene claro porque yo no tengo ni idea de cómo acabará esta historia.

¡Se aceptan apuestas!

Publicado por en No hay comentarios:
Etiquetas: , , , , ,
Suscribirse a: Entradas (Atom)