INTECO pone en marcha el Congreso Trust in the Information Society 10 y 11 de febrero
Hola a todos,
Os traslado un mensaje que he recibido la semana pasado de la organización de este interesante evento. Creo que bien merece compartirlo con los posibles interesados.
Resta menos de un mes para que comience el evento internacional sobre eConfianza Trust in the Information Society, que se celebrará los días 10 y 11 de febrero en León, con motivo de la presidencia de España en la Unión Europea.
Los conferenciantes de distintas nacionalidades europeas, durante los dos días de duración del evento, intervendrán a través de sesiones de alto nivel estratégico, tratando cuestiones y temas de ámbito político y social.
Programa
Pueden consultar el Programa del Evento a través de los siguientes enlaces:
• 10 de febrero: http://trustworthyict.inteco.es/index.php/es/programa/programa-10-febrero
• 11 de febrero: http://trustworthyict.inteco.es/index.php/es/programa/programa-11-febrero
Si lo desean, pueden descargarse el programa en formato pdf.
Inscripciones
Pueden inscribirse al evento a través de la página web, en el apartado de inscripción, donde encontrarán toda la información relativa a la asistencia al mismo.
Organización del evento
Email: trustworthyict@cert.inteco.es
Teléfono: 34 987 877 189 Extensiones: 5106 y 4007
Web: https://trustworthyict.inteco.es
www.inteco.es
Un saludo,
Verified by Visa y MasterCard Securecode: cuando se diseñan mal los mecanismos de autenticación
Hola,
Me gustaría enlazar un paper en el que se pone, de una manera ordenada y por escrito, lo que muchos piensan desde hace mucho tiempo: no siempre las implementaciones del protocolo 3-D Secure para tarjetas financieras están bien hechas.
Este protocolo, utilizado en los programas Verified by Visa y MasterCard Securecode, tiene como objetivo principal reducir el fraude con medio de pago no presente. La idea es generar, para cada plástico, un código que será requerido para autenticar una transacción de comercio electrónico. Este código ha de introducirse en una ventana generalmente independiente con el objetivo de que el legítimo titular de la tarjeta demuestre que es él y no otra persona el que está ejecutando la transacción. Este protocolo, tal y como hemos comentado, surgió con la idea de proteger a los usuarios de los fraudes con medio de pago no presente, es decir, de aquellas compras realizadas por los atacantes sin estar en posesión de la tarjeta, pero en las que se utilizan datos previamente adquiridos (generalmente por skimming o troyanización de estaciones), como el titular, el PAN o número de tarjeta, la fecha de caducidad y el código de verificación.
El documento se titula Veri fied by Visa and MasterCard SecureCode: or, How Not to Design Authentication y es una crítica a cómo algunas implementaciones de estos formularios de autenticación de transacciones obvian que al usuario se le lleva años educando para, entre otras cosas, tratar de discernir si el dominio donde introduce datos casa con el dominio habitual de un negocio o empresa, o para advertir la presencia de certificados HTTPS, entre otras cosas. Por otro lado, los navegadores han empujado en este sentido bastante, introduciendo mejoras como la coloración de la barra de herramientas, el resalte del nombre de dominio, la gestión de certificados, los controles antiphishing ... todo con una única finalidad: intentar que los usuarios detecten por sí mismos sitios fraudulentos o sospechosos.
Y claro, si implementas 3-D Secure y te cepillas esas medidas, flaco favor le haces a la seguridad de tus clientes y en general, al esfuerzo que durante años muchísimas personas han invertido en tratar de que las cifras de fraude, en vez de aumentar constantemente, se estabilicen o reduzcan.
Un saludo,
