Seguridad en los medios de pago

1) Seguridad en el comercio electrónico

Fraude en medios de pago

De acuerdo con el "Estudio sobre comercio electrónico, B2C" de Red.es (http://observatorio.red.es), realizado en enero-marzo 2010, los problemas más típicos de seguridad que experimentan los internautas se deben a virus (56%) y spam (43%).

Los problemas debidos a estafas con tarjetas son el 1.3%o en banca electrónica son el 0.5%.

En el estudio del 2007 se pone de manifiesto que el 7.1% han tenido algún problema con su compra por Internet. Generalmente son problemas de carácter logístico (50.7%) y de problemas con los medios de pago (13%). Por tanto un 3.6% de las veces hay problemas logísticos y 0.98% con medios de pago. Han bajado respecto al año pasado, que era 1.37.

En el estudio del 2009, la desconfianza ante las formas de pago, con un 48,3% y el miedo a dar los datos por Internet, con un 64,5% son dos barreras importantes para que un internauta no acceda a comprar por Internet.

 

Vendo datos de tarjetas de crédito por 300 euros Cinco Dias (http://www.cincodias.com...)


Según un informe la compañía alemana de seguridad G Data Software:
  • Los datos robados de una tarjeta de crédito pueden llegar a tener un precio cercano a los 300 euros.
  • Por el envío masivo de un millón de correos electrónicos de spam el dueño de una red de bots ordenadores controlados por terceras personas cobra hasta 800 euros
  • Un ataque para "saturar e inutilizar los servidores de una víctima DDoS o Distributed Denial of Services en términos anglosajones con una hora de duración puede costar en torno a 150 euros".
  • La compra de una base de datos con información personal tiene un precio de entre 10 y 250 euros
  • Una cuenta del sistema de pago online PayPal puede valer unos 25 euros.

Recomendamos consultar la web Inteco.es (http://cert.inteco.es/Formacion/Fraude_en_Internet/) del Instituto Nacional de tecnologías de la Comunicación con información sobre seguridad informática.

Reconocer una página web fraudulenta

Una forma de verificar la legitimidad de una página es comprobar su certificado digital. Este es un elemento de seguridad por el que un tercero de confianza garantiza que la página es realmente de la entidad que dice ser. Para que este proceso sea más intuitivo las últimas versiones de los navegadores interpretan los certificados mediante códigos de colores de tal forma que el fondo de la barra de direcciones en color verde.

EJERCICIO: Hemos recibido este email con una posible transferencia.

Al hacer click en el enlace nos lleva a una de estas direcciones: A) esta dirección o B) esta otra dirección.  ¿Cual de las dos es fraudulenta?

Spoiler: Highlight to view

La A) vemos que sale en color verde. La entidad de certificación Verisign nos garantiza que esa web pertenece a Bankinter S.A.

La B) vemos que no sale en color verde. Es una burda página web que he creado en mi servidor.

 

2) Seguridad en el mundo real

 

Las denuncias por fraude con tarjetas de crédito suponen aproximadamente el 70% de los delitos económicos


Las denuncias por estos hechos suponen el 70 por ciento de todas las que se tramitan relacionadas con delitos económicos. Las entidades financieras son las grandes perjudicadas, aunque aseguran que este fraude supone una fracción mínima de las transacciones realizadas con este medio de pago, "menos del uno por ciento".
  • Skimming. Cuando un cliente paga en un comercio, la tarjeta es pasada por el datáfono. A continuación un empleado copia la información de la banda magnética con un lector. Por tanto no es preciso robar la tarjeta. Esa información se transfiere a otras tarjetas mediante sencillos programas informáticos. En estos casos sólo sirven para compras en establecimientos y no para reintegros, dado que no se cuenta con el número secreto del estafado.
  • Lectores a la entrada de cajeros. Se colocan lectores a la entrada de un cajero. La información queda grabada. La organización camufla, además de un lector, una minicámara sobre el teclado que envía la información mediante un transmisor, vía radio hasta un punto cercano donde aguardan los estafadores. Además de compras se pueden hacer reintegros de dinero en efectivo.
  • Credi master. Un programa informático genera combinaciones hasta dar con un número real de tarjeta.
  • Siembra. El ladrón se acerca bienintencionado al incauto que está realizando una operación en el cajero. Mientras observa el número que teclea, arroja uno o varios billetes al suelo aduciendo que se le han caído y cuando se dispone a recogerlo y la tarjeta sale por la ranura, se hace con ella y huye.

 

Estafan 24.000 euros al Racing de Santander Terra (http://www.terra.es)

La tarjeta del equipo para cubrir estos gastos pudo ser duplicada en uno de los tres establecimientos donde fue utilizada la tarjeta en el viaje que realizaron este pasado fin de semana a Madrid para jugar ante el Atleti.

Fue el banco que trabaja con el equipo cántabro el que dio el aviso. Esa tarjeta había gastado 24.000 euros en compras en Inglaterra, situación extraña que hizo que la entidada bancaria se pusiera en contacto con la directiva del Racing para avisarles.

 

Desarticulada una banda que estafó seis millones en tarjetas falsificadas El Heraldo Aragón (http://www.heraldo.es)


Los Mossos d"Esquadra han detenido a 9 personas, dos de ellas trabajadores de cabinas de pago de peaje de la autopista A-7, como presuntos integrantes de una red de falsificadores de tarjetas de crédito que había conseguido copiar 60.000 tarjetas de crédito con las que habían estafado más de 6 millones de euros... el "modus operandi" utilizado por la banda, que llevaba actuando desde hacía un año, consistía en que los dos trabajadores de las cabinas de peajes de la A-7 situados entre Mollet del Vallés y Sant Celoni disponían de un lector de bandas magnéticas portátil, de dimensiones muy reducidas, que de forma rápida y muy discreta efectuaba el duplicado de la banda magnética... Estos dos empleados copiaban las tarjetas de crédito con las que los conductores pagaban los peajes en las cabinas de pago manual y recibían por los duplicados una cantidad aproximada de 90 euros por copia...

El cerebro de la banda era un vecino de Mollet del Vallés de 36 años y que fue detenido hace una semana, que comercializaba los datos informáticos de las tarjetas y creaba empresas "fantasma" a través de las cuales y gracias a datáfonos de diversas entidades bancarias utilizaba para generar facturas y efectuar pagos fraudulentos.

 

3) Pasarelas de pago

 

Las pasarelas de pago

Fuente: Arsys (http://www.arsys.es/ayuda/directorio/productos/hosting/comercio-electronico.htm#7r)

Una pasarela de pago o TPV (Terminal Punto de Venta) virtual, cumple en Internet la misma función que los sistemas tradicionales de cobro mediante tarjeta de crédito (TPV físico): permite que los clientes puedan pagar una compra utilizando una tarjeta de crédito. La operación de pago consta de las siguientes fases:

  • El cliente utiliza una aplicación de comercio electrónico para escoger una lista de artículos a comprar. La aplicación calcula el importe total a cobrar.
  • Cuando el cliente decide pagar, la aplicación de comercio electrónico le redirige al sitio web del banco indicándole al TPV del banco la cantidad total a cobrar.
  • El cliente introduce el número de su tarjeta de crédito en un formulario del sitio web del banco. Este dato viaja encriptado hacia los servidores del banco.
  • El banco realiza en cuestión de segundos una comprobación de la validez de la tarjeta de crédito y la existencia de fondos. En caso afirmativo, se realiza el cobro ingresando el dinero en la cuenta bancaria del vendedor (la cual debe estar en el banco correspondiente al TPV que se esté empleando).
  • El sitio web del banco redirige al cliente de vuelta a la aplicación de comercio electrónico (nuestros servidores) indicando si la operación ha ido bien o mal, es decir, si se ha cobrado o no.
    En función del resultado de la operación es posible mostrar una u otra página al cliente. También se guarda en archivo el resultado de la operación.
  • Dependiendo de este resultado, la aplicación de comercio electrónico deberá realizar diferentes acciones: informar al usuario, actualizar las bases de datos de la aplicación con el resultado de la transacción, etcétera.
  • Queremos resaltar que el sistema de pago implementado por los diferentes bancos, no proporcionan una aplicación de comercio en sí, sino que simplemente implementan un sistema de pago.

Ventajas del sistema para el comprador:

  • El pago se realiza directamente en los servidores del banco. El TPV virtual que recibe el número de tarjeta y realiza el cobro está en los servidores del Banco. Nuestra aplicación simplemente redirige hacia él indicando la cantidad a cobrar. Una vez en la página del banco, el cliente siempre ve la cantidad que se le va a cobrar antes de escribir su número de tarjeta.
  • El número de la tarjeta viaja encriptado y sólo hacia el servidor del Banco. El TPV utiliza el sistema de encriptado SSL. El vendedor nunca llega a saber cuál es el número de la tarjeta de crédito del cliente ni tiene ninguna posibilidad de almacenarla para realizar cobros posteriores.
  • Para utilizar este sistema de cobro, el vendedor debe tener una cuenta en banco cuyo TPV desee emplear con sus datos auténticos. Esto elimina en la práctica las posibilidades de ventas fraudulentas.
  • El cliente puede elegir entre varias tarjetas de crédito, dependiendo de la pasarela del banco que esté empleando.

Ventajas del sistema para el vendedor:

  • Disponer de la pasarela de Banesto significa seguridad total para sus clientes. Hágales saber los puntos anteriores para que comprendan que corren menos riesgos que si entregan la tarjeta de crédito en un restaurante.
  • El banco verifica que la tarjeta de crédito es real y tiene fondos suficientes.
  • El cobro se ingresa al instante, lo que le permite incluso vender información on line. Por ejemplo, podría vender consejos de inversión bursátil a los que sólo se acceda tras regresar del TPV habiendo realizado el pago del servicio con éxito.
  • El sistema permite cobrar a clientes de cualquier lugar del mundo.

Desventajas

  • Las comisiones por este sistema de cobro son muy altas, del orden de un 4% del importe total. Si lo comparamos con el 2% de los pagos por tarjeta en tiendas físicas, apreciamos un agravio comparativo que supone un tremendo obstáculo al desarrollo del comercio electrónico. Al parecer, este cargo tan desmesurado tiene su origen en criterios adoptados por Visa y otras entidades emisoras de tarjetas que penalizan el comercio electrónico aplicándole la comisión más alta del mercado, debido al supuestamente elevado número de reclamaciones existentes. Ignoramos si este porcentaje es o no negociable con el banco en función del volumen de ventas u otros factores.
  • Otro inconveniente que pueden encontrar los comerciantes que utilicen este sistema es la posibilidad de reclamaciones a Visa u otra entidad emisora por parte de compradores insatisfechos o desvergonzados. A este respecto conviene guardar toda la información posible que pruebe el envío real de la mercancía vendida, por ejemplo resguardos de las agencias de transporte.

En la figura siguiente se aprecia como al hacer la compra en una pasarela de pago, nos dirigimos a la web del banco (el BBVA en el ejemplo). Como el vendedor ni siquiera llega a saber cuál es el número de la tarjeta de crédito del cliente por eso decirmos que comprar por Internet en determinadas tiendas virtuales es más seguro que en las tiendas físicas.