Grave vulnerabilidad en compras con tarjeta y PIN

Enviado por admin el 9. Febrero 2007 - 14:11.

El sistema de compras EVM (Europay, Visa, Mastercard) del Reino Unido puede verse seriamente comprometido por una grave vulnerabilidad, sobre la que han alertado investigadores de la Universidad de Cambridge.

El nuevo fraude funciona como sigue. Alguien presenta su tarjeta en un comercio para realizar un pago. El empleado avisa a su cómplice (que puede estar a punto de realizar una compra con una tarjeta falsa en la misma calle, en la tienda de enfrente o en el otro extremo del mundo) y procede a pasar la tarjeta auténtica por un lector fraudulento; luego, da curso normal a la transacción...

El cómplice, con una tarjeta falsa, recibe los datos de la tarjeta real (incluido el PIN) y procede a realizar su pago. En consecuencia, el cargo será recibido por la víctima, a quien su compra le pareció absolutamente normal.

Otras variantes pasan por obtener los datos de la tarjeta real directamente mediante un falso terminal en un lugar público, etc.

Aparte de otras consideraciones, la trascendencia del fallo radica en que los bancos consideran que una transacción realizada con un PIN personal es legítima, al ser el usuario único responsable de su uso y custodia.

»

Comentarios

Selecciona arriba tu forma preferida de visualizar
los comentarios y pulsa el botón para guardar tus
preferencias. Éstas sólo se recordarán para tus
próximas visitas si eres usuario registrado.

Esto seria imposible de reproducir en España

Enviado por Photon el 9. Febrero 2007 - 14:32.

Esto seria imposible de reproducir en españa, el reproductor nunca sera capaz de copiar el PIN.

Es muy simple, aqui nunca te lo piden. :P

¿sorprendente?

Enviado por anv el 9. Febrero 2007 - 14:54.
El cómplice, con una tarjeta falsa, recibe los datos de la tarjeta real (incluido el PIN) y procede a realizar su pago. Sorprendentemente, el cargo será recibido por la víctima, a quien su compra le pareció absolutamente normal...

 

Yo no le veo nada de sorprendente a esto: si tienen el contenido de la tarjeta y el pin, no es nada sorprendente que puedan hacer compras a nombre de otro.

Es un problema obvio que normalmente se mitiga pidiendo al cliente que firme un ticket que el comercio guarda. En caso de queja por parte del cliente, un perito puede verificar la firma y dar testimonio ante un juez si fuera necesario.

Realmente cuando la gente manifiesta su preocupación por usar una tarjeta en internet yo siempre les contesto que al menos por internet los datos van cifrados (https) mientras que al usar la tarjeta en un comercio cualquiera tanto la tarjeta como el pin estan a la vista de cualquiera que fisgonee de la manera adecuada.

Cierto

Enviado por admin el 9. Febrero 2007 - 15:02.

Sustituyo "sorprendentemente" por "en consecuencia", término más apropiado.

Las tarjetas de crédito...

Enviado por Fernando Acero el 9. Febrero 2007 - 18:59.

A mi me costó casi 10 años ganar un juicio (segunda instancia y 9.000 euros) a una entidad bancaria por un problema relacionado con una tarjeta de crédito que:

a) Fue emitida 5 años después de que dejase mi relación comercial con el banco.

b) Nunca llegó a mis manos, por lo que consecuentemente, no había ni acuse de recibo de la tarjeta o el pin.

c) Sorprendentemente se había superado el límite de crédito en un 200%.

d) Se había usado en poblaciones en las que podía demostrar que no había estado en las fechas que se indicaban.

e) Había una operación imputada a un cajero automático, en una oficina que nunca lo había tenido.

f) Nunca se me había reclamado ese dinero y la primera noticia que tengo, era la inclusión en una lista de morosos (me enteré al intentar hacer una operación de crédito) con unos intereses de 5 años al 28%.

El único argumento que puso la entidad sobre la mesa y sin aportar prueba documental alguna, era que yo podía haber tenido la tarjeta y el pin y que en algún momento, los había puesto a disposición de un tercero. Ni más ni menos que eso. Como he dicho, desmontar semejante tontería me costó lo que se dice en el primer párrafo.

Ni que decir que en mi cartera no hay ninguna tarjeta de crédito y es algo que recomiendo a todo el mundo, al menos mientras no cambien las reglas del juego.

Sinceramente, se puede vivir sin ella si se tiene un poco de previsión, de hecho, nunca la he echado de menos en 10 años.

Otra cosa que recomiendo es conocer las políticas de las empresas con las que se opera en lo que se refiere a las listas de morosos. Esto lo digo ya que hay muchas que son de "gatillo fácil" y una vez que te han apuntado, son reticentes a borrarte, aunque no tengan razón... es un argumento de peso para cobrar sin discutir en el 99% de los casos, aunque la reclamación no se ajuste a la realidad, como fue mi caso.

Otro consejo, en caso de que te apunten a una lista y parezca que es el administra la lista el que tiene la culpa, hay que arremeter siempre contra el que te ha apuntado. Si en el juicio el responsable de la lista, argumenta que él no tiene la obligación de verificar la veracidad de lo que le ha dicho el banco, saldrá de rositas y tendrás que pagar sus costas, que aseguro, serán las más elevadas que puedan aplicar.

"Copyleft 2007 Fernando Acero Martí­n. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".

DIOOOS

Enviado por dadaninielel el 9. Febrero 2007 - 23:55.

Me estás poniendo los pelos de punta

 

De verdad

 

Eso que cuentas es un caso terrible.

 

daños

Enviado por anv el 11. Febrero 2007 - 23:34.

Incluirte injustamente en una lista de morosos podría costarle caro al banco. Con un buen abogado que tenga ganas de trabajar sobre el asunto, te podría conseguir una compensación por daños de decenas de miles de euros. Basta con enumerar cuánto dinero perdiste al no poder acceder a un crédito y con imaginarse todo lo que podrías haber ganado invirtiendo ese dinero, etc. etc.

Alejandro Nestor Vargas

Los datos por internet

Enviado por uleonardo el 10. Febrero 2007 - 3:06.

Los datos por internet pueden ir cifrados con metodos muy avanzados, igualmente pueden hacer fraudes por internet.

Los estafadores no buscan fisgonear entre los datos cifrados que pasan por la red. Un simple keylogger o troyano acaba con el mejor metodo de criptografia, incluso un vulgar phising.

Este metodo que describen no es nada nuevo y fue descubierto aproximadamente en el año 1999, es una clonación o skimming como la quieran llamar.

Algo que no dice el comunicado es como recibe el estafador los datos de la tarjeta clonada, se lo dicta por telefono, se lo manda por email o lo manda por correspondencia normal, via inalambrica, bloutoo, wife.

Es mucho más que skimming

Enviado por spy el 10. Febrero 2007 - 11:06.

El skimming se queda en la copia y almacenamiento de los datos de la tarjeta para posteriormente realizar compras fraudulentas virtuales suministrando esos datos guardados.

Aquí los datos se transmiten y utilizan en ese mismo momento para abonar otra compra física en la que además se suplanta al titular mediante el uso del PIN, lo que cierra la puerta a un posterior repudio.

Lee el documento.

keyloggers

Enviado por anv el 11. Febrero 2007 - 23:36.

Claro, todo eso es muy factible, por lo tanto la gente debería saber que es una locura comprar algo por internet usando windows... y sin embargo lo hacen.

De todas formas, no es más inseguro que usar la tarjeta en un comercio cualquiera y que alguien fisgonee por sobre tu hombro.

Una cámara bien ubicada puede conseguir decenas de números de tarjeta por día... claro que es más complicado que un keylogger...

 

Alejandro Nestor Vargas

No se puede decir que todos los bancos...

Enviado por Fernando Acero el 11. Febrero 2007 - 19:56.

Hola:

Aquí hay otro ejemplo de la inseguridad de algunos bancos y su operativa de tarjetas, está claro que no pasan más cosas malas por simple casualidad.

Si un fallo de seguridad como este, se produce con tu tarjeta y con la mediación de un tercero con malas intenciones, tu cuenta está en peligro y no te salva nadie.

 

"Copyleft 2007 Fernando Acero Martí­n. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".

12siguientefinal

Opinar

Los comentarios publicados en este sitio expresan sólo la opinión de su autor, quien será el único responsable de los mismos. La publicación de cualquier comentario no supone en absoluto la conformidad del responsable de este sitio con su contenido.

Como norma general, en este sitio no se publican comentarios que incluyan datos personales, ni direcciones de correo, ni ninguna otra forma de establecer contactos privados o comerciales, así como comentarios que no aportan nada, fuera de tema o que no se ajustan a la netiqueta, la ortografía o la educación.

Para poder enviar tus comentarios has de permitir las cookies del sitio.

Por favor, escribe arriba el resultado de la operación planteada. Gracias.
  • Etiquetas HTML permitidas: <a> <em> <strong> <ul> <ol> <li> <p> <u> <br><strike> <blockquote> <div>

Más información sobre las opciones de formato...