jueves, abril 12, 2007

VaEspaña!

La seguridad es una percepción, no una realidad. Esta es una de las frases más polémicas y quizá con más verdad en el tema de la seguridad. El equivalente a esto en el lenguaje popular de esta tierra sería algo así como que no hay más feliz que un ignorante.

Podríamos resumirlo, como apuntó hace mucho tiempo el incorrupto ojo del Santo Padre Parada, en el eslogan de las compresas: “Me siento Segura”. Así, según un informe de Visa Europa, tras realizar una encuesta, los españoles, machotes y machotas que somos nosotros, confiamos más en la seguridad en Internet, así “El 43 por ciento de los españoles está menos preocupado por la seguridad cuando compra en Internet que hace dos años”.

¿Y esto a que se debe? Pues a que ya se han creado los placebos necesarios para que un usuario se auto convenza de que no va a haber ningún problema. Entre los elementos que DAN SEGURIDAD a los españoles están:

- Que el comercio sea conocido, que tenga buena reputación o que sea también un comercio tradicional (70 %)
- Qué tenga una política clara de envíos y devoluciones (52 %)
- Qué proporcione datos de contacto claros, como la dirección y el NIF (37 %)


No me extraña que con estas barreras de protección el phising siga siendo un negocio lucrativo. Además, para ponerlo más difícil aún “el método preferido de pago son las tarjetas de crédito y débito”.

Si a esto le sumamos las recomendaciones de protección tecnológicas que da por ejemplo la web de Visa Europe:

Consejos para comprar en internet

“1.- Asegúrese de que los detalles de su tarjeta van a ser codificados antes de ser enviados por la Red. Busque una llave o candado sin romper en la parte inferior de la ventana de su navegador, o compruebe la dirección del sitio web, que puede empezar por https:// en lugar de http://

2.- Compre en tiendas conocidas, o infórmese sobre ellas antes de comprar para cerciorarse de que tienen prestigio y son de toda confianza.

3.- Tome nota de sus operaciones en Internet, incluida la dirección de Internet del establecimiento comercial (que es lo que se conoce como URL). Muchas tiendas de la Red envían a sus clientes un correo electrónico con un resumen de los detalles de la compra. Guarde esos correos.

4.- Antes de comprar, lea la política de entrega y devoluciones del establecimiento, que debe figurar en la página de inicio de la tienda. ¿Se puede devolver un artículo si no estamos satisfechos con él? Si un artículo es defectuoso, ¿le devuelven el dinero o le proporcionan un vale?

5.- La página de inicio del establecimiento también debe mostrar información sobre la forma de entrega y el coste de entrega, las divisas que aceptan y los impuestos que aplican.

6.-Busque un número de teléfono o una dirección de correo electrónico y anótelos por si necesita efectuar alguna consulta.”


¿No podrían haber recomendado no usar la tarjeta desde un ordenador que no fuera de confianza? ¿O alertar de los troyanos? ¿o de los falsos mails? ¿O de qué es el phising? ¿Y las leyes de protección de datos? ¿LOP..qué? Mi madre se puede leer esto, apuntarse los 6 pasos y decir:

- "A ver, a ver. 1,2,3,4,5 y … ya tengo el teléfono, 6, este sitio es seguro, ale a comprar como una loca.”

Esto me recuerda al chiste ese de “sigue, sigue que yo te aviso”

Bies malignos!

Los españoles confían más en Internet

18 comentarios:

Chirurico dijo...

Hombre, maligono, a lo mejor la función de VISA no es tan amplia, pero él problema del phising, por ejemplo, se produce aunque no compres en una tienda electrónica... es decir, que es una causa, no un efecto de... pero vamos, que un poquito más de información no estaría mal.
Todavía recuerdo aquel libro de hace 10 años de seguridad en NT 4.0 (ese que empezaba hablando de castillos, creo recordar que de Tom Sheldon) que decía que en estos temas nunca se es demasiado paranoico.
Esa frase me impactó, y no la valoras seriamente hasta que dependes de ella.
Cosas de la vida, pero el ser paranoico es cansado y requiere su esfuerzo (y me deja menos tiempo para jugar al guitar hero 2 de la 360, que llevo 2 dias sin poder separarme, literalmente, de la consola, y tengo muchos tebeos por leer, grrrr...) y su paciencia.
Pd: Maligno, a lo mejor nos vemos a primeros de mes.

Gangrolf dijo...

Maligno, no seas maligno, que al fin y al cabo han incluido detalles técnicos como hablar de "codificación" o de candados sin romper, detalles que hacen sentir al ciudadano de a pie casi como un experto en seguridad.
SI las empresas quieren que la gente confíe, que demuestren que es un método seguro, y que por supuesto lo sea. Pero para el cliente...¿que más le da el algoritmo de hashing, los troyanos y demás? Pero si hasta cuando pagamos en un restaurante con tarjeta y nos la retiran de la vista para cobrar en otro sitio nos parece normal! ¿por que no vamos a pensar que es seguro comprar en tal página si a nuestro vecino le ha ido muy bien?
Resumiendo: las medidas de seguridad deberían ser transparentes al usuario, y a la larga crear una certificación para poder vender online, que asegure de todas estas cosas.
Lo del ordenador de confianza, troyanos, keyloggers, etc, al cliente hoy por hoy se la suda. Y no van a ser las empresas que quieren crear confianza las que pongan trabas a que compremos por interne.

Maligno dijo...

Es lo que decimos, una percepción ¿no?.

Ya de hacer las comprobaciones de los certificados para evitar las técnicas de MITM también iba a ser complejito.

En fín.

linuxeroBUENO dijo...

pues esto que te digo no es coña ni me estoy quedando contigo, pero yo tengo un XP pirata sin SP de ningún tipo y sin parchear desde hace 5 años (desde 2002, cuando lo instalé), me bajo de todo de Internet, y jamás lo he formateado ni pasado antivirus alguno, ni tiene firewall (ni siquiera un ZoneAlarm), ni antivirus de ningún tipo.

Compro habitualmente por Internet cosas como entradas de cine, y sobre todo lo que más reservas de hoteles, viajes, etc.

Jamás, repito, JAMÁS he tenido problema alguno con nadie. Jamás me han quitado nada de dinero de mi cuenta bancaria. JAMÁS.

Soy informático profesional, no Técnico-Less, porque entre otras cosas, jamás he usado ningún sistema Windows en mi trabajo, siempre Linux o Solaris (quizás por eso no tengo mi ordenador securizado de forma correcta, no digo que no).

¿Será Windows XP un SO muy muy seguro? ¿Será que la seguridad no es tan imporante y vosotros los especialista en seguridad exageráis demasiado para hacer caja -vivís de ello-, o yo soy un tío con muchísima suerte al que nunca han atacado, ni hecho phising, ni nada?

Insisto, NO ME ESTOY QUEDANDO CONTIGO.

Tengo algunos procesos como ishost.exe ismini.exe, por nombrar los más destacables... Después de arrancar, los paro y punto. También salen algunos más en el Administrador de tareas, pero los paro después de arrancar Windows y antes de salir al fascinante mundo de Internet.

¿Debo seguir comprando por Internet, o debo comprar una licencia original de XP para poder actualizar parches, SPs y demases, o bien migrar a Vista?

Muchas gracias por tu información.

Saludos,

linuxeroBUENO dijo...

gangrolf, for your information, ya existe un proyecto para certificar el comercio electrónico seguro.

Implementará un nuevo protocolo, llamado SET, únicamente diseñado para uso en e-commerce, y nada más.

Como parte del proceso de funcionamiento del protocolo, todas las entidades deberán estar certificadas, y las empresas vendedoras no podrán acceder ni almacenar directamente los datos bancarios ni personales ni de ningún otro tipo de ningún cliente.

Puede ser una solución de futuro.

Busca protocolo SET en google y le echas un vistazo, si quieres.

Maligno dijo...

Hola LinuxeroBueno!

he buscado esos nombrecitos de procesos que tienes tan majetes en Internet y parece que son viejos conocidos de los bajos fondos. Desde luego yo no compraría desde tu PC por lo que pueda pasar, como dice Clint Eastwood en Licencia para Matar:

- Me retiro (Clint)
- ¿por qué? (amigo)
- Por las putas matemáticas. (clint)
- ¿matemáticas? (amigo)
- Sí, la estadistica dice que los asesinos a sueldo no pasan de los 40 y yo tengo 45.

Respecto a SET es un protocolo para cifrado con 3 claves desde hace mucho tiempo, pero lo tengo muy perdido desde hace unos añitos. Voy a echarle un ojito, Gracias linuxeroBueno!

Chirurico dijo...

Hombre, linuxerobueno, yo vivo de toda la vida en entrevias. He salido a la calle con dinero, he tomado copas en garitos de mala catadura, he pasado entre kinkis y chorizos, he dejado el coche en la puerta (y hasta algunos días se me ha olvidado cerrarlo incluso) y he hecho mucho el pardillo dejando el extraible debajo del asiento o en la guantera... y nunca me ha pasado nada. A lo mejor es porque tengo pinta de calorrete o porque he tenido suerte...
Fue mudarme a una zona con más pasta y me abrieron el coche 2 veces.
A lo que voy es que puedes tener suerte, como si te mola el rollo sin preservativo, pero en cualquier momento te puede tocar y tienes muchas más probabilidades, y el día que te toque te acordarás de todas esas medidas que no pusiste.
Es una cuestión de reducir probabilidades (porcentajes de riesgo) que hay en cualquier operación... luego, lo que quiera hacer cada uno, pues eso... allá cada cual.

Chirurico dijo...

Joder, yo hablando de probabilidades y se me adelanta el maligno mientras escribo... eso me fastidia, que pareco el ayudante patatero de los malos disney que copia lo que dice el jefe.

Maligno dijo...

Ja,ja. Chirurico (V.R) está muy clarito tu ejemplo. jeje.

Gangrolf dijo...

linuxerobueno, lo del SET no vale de nada hsta que no sea ilegal vender por internet sin estar certificado. Yo más bien me refiero, a que independientemente de como lo hagas, con SET, SSL o como quieras, que puedas demostrar delante de una entidad como el ministerio de consumo, que lo que haces es seguro y legal, y con eso demostrado que te den tu carné de e-comercer o como lo quieras llamar.
Y respecto a tu xp del 2002... Yo tenia un xp sin sp2, de modo que tenía que actualizarle el SP2 segun me conecataba a internet. Bien, 10 segundos después de conectarme sin SP2 ya estaba frito y con el sistema medio tirado y el firewall no dando a basto y bloqueandome todo. Se me colaban las barras estas de banners, adware y troyanos.
Tio, habrás tenido suerte, o que yo tengo ip fija y baneada, pero si dices que eres informático profesional y le das esa importancia a los parches y la seguridad en general...:s

linuxerobueno dijo...

gangrolf, sobre lo que hablas de algo así como "carné de vendedor de e-commerce", en algo así consiste el uso de SET, en montar una infraestructura que use SET como nuevo protocolo con 3 claves como ha dicho Maligno, y que todas las entidades participantes en el proceso de compra estén "CERTIFICADAS", es decir, autorizadas, tengan carné, llámalo como quieras, además de otras muchas cosas más que entran en juego dentro de la arquitectura de funcionamiento de todo el proceso, desde que un cliente comienza el proceso de compra, hasta que finalmente adquiere el producto.

Como novedad reseñable (entre millones más), te diré que con SET el cliente SIEMPRE obtiene algo así como una especie de "e-ticket", es decir, un ticket electrónico, para conseguir hacer desaparecer el famoso problema del "no-repudio". Asi que si alguien intenta tangarte haciendo operaciones en tu nombre sin tu autorización, no habrá problemas, o al menos, en teoría, así debería ser.

Así que SET y su infraestructura si parece una solución de futuro viable....

Todos los fabricantes, gobiernos, y entidades de tarjetas bancarias (MasterCard, etc.), DE TODO EL MUNDO (incluida España, por supuestísimo), están metidos en el ajo...Así que supongo yo que algo bueno debe ser....

linuxerobueno dijo...

Ah, y por supuesto tú tienes una tarjeta especial certificada por la entidad correspondiente, la cual usas desde tu puesto con un lector especial de tarjetas (similar a un SmartCard Reader), en resumen, operar desde cualquier parte del mundo como lo haces habitualmente en cualquier cajero, pero con mayor seguridad, agilidad, velocidad, y sencillez.

Suena bien, no?

;)

ANELKAOS dijo...

@linuxeroBUENO

Con todos mis respetos, si se te ocurre comprar cualquier cosa desde ese pc es para darte dos ostias...y bien dadas.

Cada día mas zombies, cada día mas ignorantes saliendo a Internet sin haber configurado correctamente su SO. A mi me la trae fresca y pendulona que compres o no el SO, que uses Windows, Linux o un BSD; pero al menos, configuralo correctamente como espero que hagas en tu trabajo, ANIMAL!

Dices "Soy Informático Profesional" y esto me hace reafirmarme en que acerté al no estudiar lo mismo que tú.

Te voy a contar una historia.
Erase una vez un padre de familia que compró un pc a sus hijos menores. Durante meses, sus hijos instalaron juegos utilizando cracks (con sus correspondientes puertas traseras para el cracker :) para no tener que pagarlos, etc...lo normal. Cierto día detienen a este padre de familia, que nunca tocaba el PC , por haber robado mas de 41.000 euros a través de banca online a una empresa de Ceuta. A este buen hombre le habían instalado un bouncer con suma facilidad (ya que su SO estaba totalmente desactualizado y desprotegido) y realizaron las transacciones bancarias desde otro lugar a cientos de kilómetros. El resposable civil del robo es el propietario de la IP que aparece en los logs del banco, es decir, el pobre padre de familia tiene que devolver mas de 41.000€ de su bolsillo a una empresa de Ceuta por su desidia. ¿Todavía te atreves a decir que exageramos? Porque esto es un caso real.

Si sigues igual que este buen hombre... durante años es posible que no ocurra nada...hasta que ocurra. Los crackers no se mojan, solo capturan tus datos y se los venden a los phishers. De ahí que desde que se capturan tus credenciales bancarias hasta que se usan, pueden pasar meses...o incluso no tienen porqué utilizar las tuyas.

Si lo prefieres puedes seguir en tu pompa de "a mi no me va a pasar" con tu sistema totalmente vulnerable. No me gusta juzgar a la gente sin conocerla pero por las palabras que has escrito y sabiendo que al menos, tienes un troyano, como te dirían en tierras de Chema... "hay que ser tontolapolla..."

alex dijo...

La realidad que yo veo en el tema de la seguridad, es que la mayoría de la gente ignora el peligro. Comprar por internet sin ninguna protección es como hacer el amor sin preservativo, puede que no pase nada (muy pocas veces), pero también puede pasar. La falta de información en el tema de la seguridad, hace que un usuario estándar, se sienta protegido por externalidades que no tienen que ver con la informática.

Muy bueno el artículo maligno!!

El Elegido dijo...

Estoy totalmente de acuerdo con Chema.

Un site es seguro si es bonito, bueno, y barato.

Coñas aparte, si "vende" o da sensación de seguridad porque la web es muy bonita y está muy currada, la gente ya piensa que el sitio es de confianza.

¿Sabéis la cantidad de phising mails que me han llegado a mi cuenta de Yahoo?

Me parece increíble.

Muy buena la comparación con el acto sexual (acción y efecto de....)....Me parece una analogía muy clara....

Pero en fin, que así están las cosas... Y lo que dice anelkaos es algo que mucha gente no sabe, porque un "phiser" no es lo mismo que un "cracker", ni que un "hacker", ni que un "lammer", ni que otros.

hay gente que se cree que solo existen "piratas informáticos", como en TVE, Antena3, ....

En relación a este tema, propongo abrir otro debate: ¿Por qué personas de otros sectores -como médicos, abogados, etc.- pueden salir en la tele hablando como si fueran dioses usando palabras totalmente técnicas sin que nadie entienda nada? ¿Por qué un informático debe por sistema cuando explica algo hacer "entender" las cosas? Cierto es que hay diferentes niveles de complejidad en la informática, pero a la par deberían existir diferentes niveles y puestos claramente diferenciados en la informática. De ahí la abundancia de Técnicos-Less que no saben ni en qué curran, ni porqué, ni para qué. Sólo ganan pasta, bajan porno más rápido que nadie vía e-mule, y son felices.

Y si alguien no entiende algo, es porque NO DEBE ENTENDERLO, punto. Vete tú y dile al amigo Stephen Hopkins que te explique en términos entendibles porque la física cuántica funciona como funciona. El chaval lo intenta, en sus dos versiones de su famosísimo libro "Historia del tiempo", pero el primero es infumable (para mí, cuidaó), y el segundo se fuma algo mejor. Pero aún así, son cosas muy muy jodidas de entender, si no eres un verdadero astrofísico experto o físico al menos (supongo).

¿Por qué los informáticos deben hacer "entendible" y "manejable" la informática para todos?

Debemos hacerla accesible, no manipulable.

Porque cuando el técnico de la caldera viene a instalarte la caldera... ¿Le preguntas y le dices que te explique como lo ha hecho para que la próxima vez lo hagas tú mejor? TE MANDA A TOMAR POR CULO A LA DE TRES.

pero si un informático manda a tomar por culo a la de tres a alguien, es porque los informáticos somos "chulos, prepotentes, raros, e insociables".

Ahí queda eso.

http://elmundodejavi.blogspot.com

El Elegido dijo...

Ah, y sobre los comentarios del amigo "linuxerobueno" relativos al protocolo SET, durante mi estancia en i64 varias veces hablé sobre él, y por lo que sé efectivametne parece el futuro del e-commerce, o al menos una alternativa seria viable a poder aplicar.

http://elmundodejavi.blogspot.com

Sirw2p dijo...

linuxerobueno ¿enserio eres "informatico profesional?.

Supongo que serás algun tipo de técnico en hardware porque si tu trabajas en el campo de la seguridad informática, "manda cojones" , que digas lo que has dicho...

Gura dijo...

No hace falta ser técnico de hardware para afirmar que lo que ha dicho es una atrocidad.

El elegido: Muy bueno.

Entrada destacada

Cupón descuento en @0xWord: Unos libros "dibujados" y vacaciones

Como todos los años, 0xWord va a cerrar durante unas semanas en el mes de Agosto, así que desde hoy mismo hasta el día 25 de Julio a las 2...

Entradas populares