Síguenos en:


Search

Con la tecnología de Blogger.

Popular Posts

Labels

miércoles, 18 de febrero de 2015

La seguridad del pago 'online' es aun el punto débil de la banca



Mientras Europa exige métodos de pago más seguros como la doble autenticación, la banca sigue estancada en otros obsoletos como las tarjetas de coordenadas o las claves de cuatro dígitos.


La Autoridad Bancaria Europea (EBA, por sus siglas en inglés), expuso el pasado mes de diciembre las directrices a seguir en lo que a seguridad de los pagos por internet se refiere, estableciendo unos requisitos mínimos a los proveedores de servicios extraídos del European Forum on the Security of Retail Payments (SecuRe Pay). El objetivo de esta directiva no es otro que el de acabar de una vez por todas con el fraude online y la fecha elegida en primera instancia para ello era el 1 de febrero de 2015. Tras varias desavenencias, los bancos aplazaron la creación de un marco más seguro para el 1 de agosto de este mismo año, pero lo cierto es que a día de hoy son muchas ya las medidas de seguridad obsoletas en este sector que piden a gritos una reforma tecnológica.

El fraude por internet, ya sea a través de servicios de banca o pagos con tarjeta, propicia cada año pérdidas multimillonarias. Entre las diversas medidas destinadas a frenar esta tendencia y fortalecer los pagos online en la UE se encuentra principalmente la de llevar a cabo una autenticación realmente eficaz del cliente, con el fin de verificar su identidad antes de proceder a un pago en línea. Sin embargo, en lugar de disponer de mecanismos de seguridad como la doble autenticación o biometría, más acordes a los tiempos en los que vivimos, actualmente los bancos siguen estancados ofreciendo tarjetas de coordenadas. Casualmente, una de las primeras prácticas que la UE quiere erradicar de un plumazo.

Según ha explicado a Teknautas el director de Innovación en Medios de Pago del Foro de Economía Digital, Jorge Ordovas, "la tarjeta de coordenadas es una tecnología de hace demasiado tiempo. No es segura porque si la pierdes cualquiera puede hacerse pasar por ti. Dejó de tener sentido en el momento en que todos tenemos un smartphone en nuestro bolsillo".

La tendencia en Europa y lo que en definitiva persigue SecuRe Pay es abandonar mecanismos obsoletos como estas tarjetas y aprovechar la penetración de los dispositivos móviles para incentivar métodos más seguros que permitan interactuar en tiempo real (enviar un código por SMS, o mediante una app, utilizar biometría, etc). Distintas redes sociales o servicios de correo como Facebook o Gmail sin ir más lejos ya disponen del factor de doble autenticación. De esta forma, cualquier usuario puede activar que cada vez que entre en su cuenta esta le solicite no sólo introducir su usuario y contraseña, sino además teclear un código que habrá recibido previamente en su terminal.





La primera consecuencia de esto según el socio del despacho de abogados Abanlex, Pablo Fernández Burgueño, es que "ahora mismo es mucho más fácil que un tercero entre en mi cuenta bancaria que en mi perfil de Facebook. En la primera el acceso está escrito en una tarjeta de coordenadas que siempre es la misma. En el segundo cambia constantemente".

La clave que solicita la doble autenticación es de un único uso. Es decir, que cuando se utiliza, expira. Por lo que resulta mucho más fiable que la tradicional tarjeta de coordenadas y más difícil de hackear. Idea compartida por Fernando de la Cuadra, director de Educación de Eset España: "Tener una clave escrita en un trozo de papel que sirva para cualquier operación y en cualquier momento es un riesgo. Antes o después, los bancos deberán cambiar la tarjeta de coordenadas por la doble autenticación".
La banca no invierte en tecnologías más seguras
Lejos de prepararse para el nuevo estándar europeo, la mayoría de bancos sigue apostando actualmente por la tarjeta de coordenadas como principal elemento para probar la autenticidad del usuario. Otros como Bankinter directamente incentivan su uso incluso desde los relojes inteligentes.
"Emparejar nuestra tarjeta de coordenadas al smartwatch es como hacerle una fotografía y guardarla en el teléfono móvil. Ninguna de las dos opciones es segura", ha añadido Fernando de la Cuadra. No le falta razón, la clave del éxito de la doble autenticación es el hecho de recibir un código que expira a los pocos segundos en un dispositivo ajeno al de la transacción que se esté llevando a cabo. "En lugar de conectarse a la tarjeta de coordenadas, los bancos podrían aprovechar el potencial de los relojes inteligentes para recibir esta contraseña".

De cualquier forma, la tarjeta de coordenadas no es, ni de lejos, la única carencia de la que adolece la banca online en cuanto a seguridad se refiere. Las preguntas de seguridad del tipo "Cuál es el nombre de tu mascota?" o "¿Cuál es tu personaje de ficción favorito?" son otro de los puntos débiles de este sector. Por no hablar de los cajeros automáticos, que merecen una mención aparte.
"Utilizar un pin de cuatro cifras en un cajero automático también dice muy poco de la seguridad de un banco. Es insuficiente para los tiempos en los que vivimos. En los años 80 sería una novedad, pero hoy no. Por si esto fuera poco, la mayoría de ellos llevan sistemas embebidos que en el mejor de los casos son Windows XP. Otros son todavía más antiguos y llevan instalados desde hace más de diez años", ha argumentado Josep Albors, director de Laboratorio de Eset España.

Hace ya varios años desde BlackHat se demostró cómo acceder al sistema operativo de un cajero automático. Desde entonces han sido múltiples los virus como por ejemplo Tyupkin, que en algún momento u otro han logrado hackearlos. Pero no sólo estas máquinas son objeto de ataques. Esta misma semana la firma de seguridad Kaspersky desveló que una banda de ciberdelincuentes ha conseguido robar hasta 1.000 millones de dólares de al menos 100 instituciones financieras de todo el mundo. No se crean que fue de golpe. Llevaron a cabo la operación en dos años. Trabajando en la sombra. Infiltrándose en las distintas redes pausada pero incesantemente. Y hay infinidad de casos más.
Ante esta situación la pregunta es inevitable. ¿Hace la banca lo suficiente para evitar el fraude? La mayoría de expertos lo tiene claro: no.

"Estudiando el historial de tus usuarios puedes saber sus hábitos y de esta forma impedir que, por ejemplo, utilicen la tarjeta de un cliente en España si se encuentra en ese momento en China", ha explicado Josep Albors. Algunas tecnológicas como Apple te avisan de que están utilizando tu ID si se hace desde un dispositivo que no es el habitual. Y estamos hablando de una plataforma que se utiliza generalmente para comprar música y películas. Lo mismo ocurre con las redes sociales y correo electrónico. La mayoría de bancos sin embargo no avisan mediante un SMS o correo electrónico si se está accediendo a nuestra cuenta bancaria desde un aparato distinto al habitual, que suele ser nuestro smartphone o PC de casa y el trabajo. Y estamos hablando del lugar donde guardamos nuestro dinero.

Según Albors hace falta un estándar europeo y sobre todo más inversión: "Por falta de tecnología no es, porque existen soluciones desde hace mucho tiempo". Ese es precisamente el reto de SecuRe Pay. Crear un marco común para que todos los bancos cumplan con unos mínimos y no dejen la responsabilidad exclusivamente al usuario. Eso sí, manteniendo el equilibrio entre la seguridad y la facilidad de uso. "Si lo haces muy complicado, al final la gente no paga".
Fuente: http://www.elconfidencial.com

Xiaomi ha vendido más smartphones en China en 2014 que Samsung y Apple





La startup china Xiaomi cerró el año 2014 como el fabricante que más smartphonesvendió en China, superando a Samsung, Lenovo, Huawei y Apple. La empresa también fue considerada la startup más valorada en ese año, imponiéndose a Uber, que había logrado un buen monto de financiación. Xiaomi acumula cifras de lo que parece ser una compañía con un buen futuro y, según The Information, esto está logrando «asustar» al personal en Google.
 
Quizás algunos no entiendan este temor, pero los datos manejados por The Information apuntan que el éxito de Xiaomi, que de momento se limita a China pero que va expandiendo sus brazos cada vez más, representa «desafíos».
 
Xiaomi usa un sistema operativo basado en Android, que es propiedad de Google. Sin embargo, Google no gana dinero por ello. Android es un sistema de uso libre, gratuito, que da total libertad al fabricante a trabajar sobre él. En la mayoría de los casos, Google obtiene beneficio gracias al uso que millones de usuarios hacen de su suite de aplicaciones: Google Maps, Gmail, Google Search y más. 

Xiaomi tiene un sistema operativo construido sobre Android pero que no da visibilidad o importancia a las aplicaciones de Google. De hecho, la interacción de un usuario con un móvil Xiaomi es diferente a la mayoría de teléfonos Android.

Por ejemplo, al encender el móvil por primera vez, el sistema no le pide al usuario registrarse con su cuenta de Google. En su lugar, anima al usuario a inscribirse con una sesión de Mi account, que permite la interconexión de diferentes servicios de Xiaomi, como almacenamiento en la nube, descarga de tema o mensajería.

Esto se puede entender como una adaptación al mercado y no un «ataque» a Google. Xiaomi opera principalmente en China, donde muchos de los servicios de Google están vetados y no se pueden usar debido a órdenes del Estado. Esto «obliga» a las empresas a desarrollar su suite propia de aplicaciones alternativas.

Xiaomi no es el único fabricante que hace esto. Amazon diseñó su sistema Mojito dejando de lado las aplicaciones de Google y creó su propia tienda de aplicaciones. Es decir, que el usuario de una tableta Kindle Fire no necesita registrarse en Google Play para tener aplicaciones Android. Nokia también usó Android para sus móviles Nokia X, y también ignoraba las apps de Google. Esto no quiere decir que el sistema sea incompatible con ellas, pero el usuario debe hacer un «esfuerzo» para obtenerlas.
 
En el caso de Xiaomi, si un usuario compra el móvil en la versión china, tendrá que ir a la tienda de apps de Xiaomi y descargar una aplicación específica que permite la instalación de Google Play. Una vez que el usuario se registra en ella, podrá obtener los programas como Youtube o Google Maps. 

Google ya ha dicho en el pasado que estas prácticas no le molestan en lo absoluto. Durante un encuentro con periodistas en la MWC 2014, Sundar Pichai, jefe de Android, señalaba (tras la presentación de los Nokia X) que los móviles de su sistema sin aplicaciones Google son un punto a su favor. «Nokia no incorpora aplicaciones Google en sus nuevos teléfonos. Ha quedado demostrado que Android sí se puede usar sin Google. Otro ejemplo de esto lo hace Amazon. El fenómenos de la compatibilidad de aplicaciones es muy interesante», apuntó Sundar cuando se le preguntó si Google obligaba a sus «socios» a instalar apps de Google.

La supuesta amenaza, según relata The Information llegaría si Xiaomi se expande a más mercados con su misma fórmula y con la misma fuerza que ha manifestado en China. Algunos empleados de Android han señalado a The Information que, con el tiempo, se espera que Xiaomi represente «desafíos» al «empujar» a sus clientes a usar los servicios propios, que fuera de China sí competirían directamente con los de Google. 

Por otra parte, Lei Jun, cofundador y CEO de Xiaomi, ha señalado en entrevistas que su empresa no es sólo un fabricante de móviles, que más más allá. «Nosotros en realidad somos una compañía de internet. Estamos en el negocio de los móviles y queremos añadir eso a una plataforma de internet. Podemos ganar más dinero de ello, una vez se establezca», dijo Lei en 2013. 

«Hoy en día solo la tercera compañía más grande de comercio electrónico, y hemos construído una plataforma de internet móvil masiva, masiva. Tenemos muchas aplicaciones. Hemos desarrollado MIUI basado en Android y es un sistema muy sólido. La gente a veces no nos entiende. El móvil solo es un portador. Microsoft solía vender Windows en una caja de cartón y un CD. ¿Eso convertía a Microsoft en una empresa de cajas? La caja y el CD eran sólo el portador. Si las personas no entienden esta idea, no podrán entender el tipo de empresa que es Xiaomi», apuntó Lei a Reuters en 2013, cuando aún no había logrado las cifras que cosecha hoy. 

Fuente: http://www.abc.es