Visa y Mastercard investigan un fraude potencial a gran escala con origen en España

Buenas,

Mal día para la industria de los medios de pago española, tradicionalmente ajena a problemas severos relacionados con el fraude más allá que los delitos cometidos a través de skimming y obtención de pines en cajeros automáticos.

La noticia se ha propagado como la pólvora por los medios nacionales e internacionales. Según Expansión, las autoridades españolas están investigando, junto a las marcas Visa y Mastercard, un potencial evento de fraude masivo que según BBC tiene su origen en un presunto acto delictivo en un procesador de medios de pago.

La información publicada no es muy clara y casi todas las fuentes se refieren fundamentalmente a que algunas entidades alemanas han bloqueado preventivamente un número ingente de plásticos ante el temor de un compromiso masivo cuyo origen parece estar en España. Según comenta El Mundo, en torno a 100.000 tarjetas de débito y crédito de clientes alemanes que pasaron sus vacaciones veraniegas en España han sido bloqueadas y serán próximamente reestampadas.

La BBC va un poco más lejos, y se aventura a declarar que cualquier persona que haya usado una tarjeta Visa o Mastercard en España está en riesgo de sufrir un compromiso de su plástico. Creo que este extremo debe ser aún confirmado, y que es pronto para hacer este tipo de aseveraciones estando la investigación en marcha, pero obviamente, si finalmente es cierto que el origen del problema está en una de las procesadoras de medios de pago, a buen seguro habrá víctimas de muchas más entidades que las alemanas, ya que las redes de pago las usamos todos, no sólo los turistas alemanes. El problema podría ser de un calado sin precedentes.

Para aquellos que no sepáis lo que es una procesadora de medios de pago, comentaros que es una empresa que, como su propio nombre indica, permite procesar pagos efectuados con tarjetas, interconectando a las distintas entidades emisoras de plásticos para que las transacciones puedan ser completadas sin importar ni el origen del emisor ni del adquirente. Por poner un ejemplo claro, la interconexión entre redes de procesamiento permite que un titular de tarjeta de Unicaja (cuya red natural es Red 6000) pueda pagar en un TPV de La Caixa (cuya procesadora natural es Servired) sin que exista el más mínimo problema (más allá de que, como es lógico, la interconexión tiene unos costes). Hasta el punto que conozco en España hay tres procesadoras que operan 3 redes principales: Sermepa (Red Servired), Redy (Red 4B) y Ceca (Red 6000). Las dos primeras tenían intención de cerrar un proceso de fusión en junio de 2009, pero desconozco si están ya operando de manera conjunta o no.

Lecciones a aprender de este evento: Muchas. Estos son sólo algunos ejemplos:

  • Desde el punto de vista del usuario, Usted y yo, que usamos nuestras tarjetas. No se alarme ni salga corriendo por la calle llevándose las manos a la cabeza en un acto de histeria. Las procesadoras y entidades emisoras tienen medios para detectar el fraude y la actividad inusual, por tanto, si su tarjeta dispara la más mínima alerta y es finalmente clasificada como comprometida, su entidad se encargará de bloquear la tarjeta y reemitirla de acuerdo a las condiciones del servicio. Es buena práctica, no obstante, que consulte con regularidad sus extractos (en un cajero, en línea o en una oficina) y verifique que no hay cargos no reconocidos en su tarjeta.
  • Desde el punto de vista de los medios, no caigamos en el sensacionalismo y dejemos que la investigación concluya. Será entonces cuando conozcamos el auténtico alcance del evento con todo lujo de detalles. Hasta entonces, tratemos de ser razonables en lo que decimos si avanzamos información: si la prensa española se centra en que unos pobres turistas alemanes pueden haber sido víctimas de fraude, y la BBC dice que cualquiera que haya pasado por la procesadora puede tener su tarjeta comprometida, es que tenemos un problema grave en cuanto a la calidad periodística de alguna de las dos partes. Seamos un poco más críticos cuando recibimos información, ya que de poco o nada ayuda la propagación de noticias sensacionalistas sin sustento.
  • Por último, en general, desde el punto de vista de la industria financiera, ratificar una vez más que la seguridad en medios de pago es un proceso que tiene que cubrir todas las etapas. Desde que se desarrolla el software que genera los datos de la tarjeta hasta que el plástico alcanza el final de su vida útil, pasando por todos los estadios posibles e imaginables, e incluyendo a todos los partícipes del proceso. Si te despistas en un sólo eslabón de la cadena, tarde o temprano llegan los amigos de lo ajeno y te hacen un agujero. Visto y comprobado.

Un saludo,

Hotmail: 10.000 cuentas comprometidas mediante phishing tradicional

Hola,

Tranquilos los amantes de Hotmail, o mejor dicho, lo que últimamente se viene llamando Windows Live Mail, que este no es un post para aburrir a nadie con comparativas absurdas sobre si es mejor Hotmail que Yahoo!, AOL o Gmail.

La noticia que nos ocupa tiene que ver con el robo de credenciales. En este ocasión los afectados no son usuarios de instituciones financieras, sino que las víctimas del ataque original, que después ha ido ampliando su ámbito a otros proveedores de correo, han sido usuarios de Hotmail.

La compañía ha reconocido en uno de sus múltiples blogs el incidente. No vamos a ahondar en la frase Phishing scheme affecting some Hotmail customers, y cómo ese some puede sonar raro cuando esos «algunos» son aproximadamente 10.000 usuarios. El caso es que mediante phishing tradicional unos atacantes han comprometido unas 10.000 cuentas Hotmail. Otros medios contabilizan 20.000 cuentas comprometidas en la segunda oleada de un ataque similar al que originalmente estaba orientado a los usuarios de Hotmail, y en el que también han caído cuentas de Gmail, Yahoo! y AOL. Google reconoce que en el paquete hay 500 cuentas suyas, y que han actuado sobre ellas. De lo que dice Yahoo! o AOL poco hay escrito.

Cuando pasan estas cosas siempre hay aspectos a reseñar de los que quizás podamos aprender. Es nuestra obligación, aunque no seamos los responsables de Hotmail ni de los otros proveedores de correo, realizar un ejercicio de crítica constructiva si vamos a opinar sobre el incidente. Estos asuntos son siempre preocupantes por muchos motivos, sobre todo porque la calidad de las contraseñas capturadas deja mucho que desear, especialmente si la contraseña más frecuente entre las sustraídas es 123456. También es preocupante comprobar como el phishing tradicional, que lleva detrás años de concienciación y esfuerzos de educación, sigue haciedo mella y produciendo resultados.

Resulta obvio que tenemos delante de las narices un problema de educación en materia de seguridad del usuario, que debería poner de su parte para mejorar en este aspecto, ya que cuando uno navega por Internet y se suscribe a servicios, hay que leerse todas las letras, entre las cuales están las recomendaciones de seguridad de los proveedores, la aceptación de unas condiciones de privacidad y confidencialidad y la aceptación de unas normas generales de uso. Cuando uno se va a hacer una cuenta Hotmail hay un apartado de preguntas frecuentes (todo sea dicho, no es que resalte tampoco), y os puedo dar fé que la respuesta a la pregunta «Cómo crear una contraseña segura» está claramente escrita y explicada, aunque se ve que parte de la gente sólo quiere recurrir al siguiente, siguiente, siguiente para irse corriendo al MSN a chatear con su flamante cuenta recién creada, dejando a un lado su obligación de entender y aceptar lo que está suscribiendo antes de usar el servicio, y qué puede aportar o qué se espera que aporte para que la experiencia sea positiva y segura.

Seamos realistas: no son pocos los casos en los que la primera necesidad que tiene el usuario al usar el MSN es pensar en qué nick chorra se pondrá para demostrar lo mafioso que es, qué frase de comentario emplear para saludar a la ristra completa de los 40 amiguetes que tiene en línea y cuál será la pose de cuarto de baño que usará a modo de fotografía. No podemos esperar que todo el mundo tenga como primera necesidad leer la documentación del producto y mostrar interés por salvaguardar su información.

Es por esto que la seguridad de los usuarios no deja de ser también responsabilidad del proveedor, ya que permite crear y utilizar contraseñas triviales como 123456 a los sujetos descritos en el párrafo anterior. Un total de las 2000 contraseñas capturadas tenía una longitud igual o inferior a 6 caracteres (las estadísticas completas las tenéis en este post de Acunetix). No sólo podemos echarle el muerto a la falta de educación y al ceporrismo de buena parte de los usuarios, que es manifiesto, sino que también hay que impedir todo lo posible que un usuario que no lee absolutamente nada salga a Internet con una clave 123456 para salvaguardar sus contactos, datos personales, correo, fotos y vida social.

¿Quieres poner de tu parte? ¿Quieres saber cómo crear una contraseña segura? Pincha en este enlace. Verás que no es tan complicado :)

Un saludo, y por favor, tratad de evitar estos engaños que recibimos por el correo. Nos va en ello nuestra privacidad, entre otras muchas cosas.