Estados Unidos 
La película colombiana "Lecciones para un Beso"...
HP anuncia su Workstation todo-en-uno Z1
8 gadgets de los que alguna vez nos enamoramos
Peter Sunde acusa de corruptas a la corte sueca...
Google lanza su primer programa abierto de pasa...
Creador de BitTorrent: “Mi meta es matar la tel...
Google se rinde a San Valentín y saca su lado m...
Japoneses crean "Robot Avatar"Nuevo sistema de seguridad para compras con tarjeta es inseguro
(cc) liewcf
(cc) liewcf
Desde hace un tiempo que las compañías VISA y MasterCard están utilizando un nuevo sistema de seguridad para las compras en línea. El sistema conocido como 3-D Secure (3DS) agrega un paso extra a la hora de realizar una compra, consistente en la solicitud de una clave adicional al tradicional código CVV (los últimos números que aparecen en el reverso de la tarjeta). De esta manera se verifica que quien esta realizando la compra es efectivamente el dueño del plástico.
En el caso de VISA el nombre que recibe este sistema es Verified by VISA, mientras que en el caso de MasterCard su nombre es MasterCard SecureCode.
En una reciente conferencia de seguridad, los investigadores Ross Anderson y Steven Murdoch calificaron a este nuevo sistema como
Fatalmente defectuoso y un ejemplo clásico de cómo no hay que diseñar un protocolo de autenticación”
Ambos investigadores señalan que el protocolo a menudo confunde a los usuarios, debido a que se ejecuta de manera contraria a los avisos tradicionales sobre las credenciales que permiten el ingreso a sitios garantizados por TLS (Transport Layer Security) y que algunos navegadores, como IE8, reconocen desplegando una barra de dirección verde.
Producto de que el sistema opera con un iframe o un pop-up sin barra de direcciones, no hay una manera fácil para que el cliente pueda ver quién le esta pidiendo la contraseña. Esto no sólo provoca que los ataques contra el sistema sean más fáciles de realizar, sino que produce un debilitamiento en otras iniciativas anti-phishing.
Además de los problemas antes mencionados, los investigadores señalaron que la confianza de los consumidores puede verse aún más debilitada producto del proceso de registro que se realiza durante una transacción, el que solicita información personal del usuario (la fecha de nacimiento por ejemplo).
En el informe preparado por los investigadores se señala
Desde el punto de vista del cliente el sitio web donde esta realizando su compra le está solicitando datos personales, generando una mayor grado de desconfianza entre los usuarios
Según Ross Anderson el nuevo sistema de seguridad hace casi todo mal desde el punto de vista ingenieril, por lo que se convertirá en un objetivo muy importante para la realización del llamado phishing.
Link: How online card security fails (Vía Ars Technica)
24 Comentarios
Nuevo sistema de seguridad para compras con tarjeta es inseguro
todos ignoren al caremono que siempre postea primero
Responderme referia al analystics, con respecto al articulo, siempre me parecio inseguro colocar datos de mi tarjeta de credito en el browser...
ResponderO sea, que pedir el código CVV únicamente es más seguro que pedir 2 claves? Y cuál es la diferencia? En todo caso lo que entendí es que el problema se presenta en el navegador ("el sistema opera con un iframe o un pop-up sin barra de direcciones"). Faltó info....
ResponderLamentablemente aunque es poco seguro, es muy practico y simple, es por eso que la mayoria (me incluyo) comprar en linea con tarjetas de credito, no conosco ninguna que no pida los datos personales o que utilice formas alternativas de pago (transferencia bancaria, Western Union, etc)
Responderle falta una h a pHishing
ResponderLo mejor es usar el pago seguro, una tarjeta ficticia que te permite realizar una operación, se genera a pedido y no hay que ingresar los datos de la tarjeta real. El Chile lo tiene implementado.
ResponderPara eso esta paypal
Responderni que hubieran contratao al encargado de seguridad de betazeta.
Responder¡¡¡Pico pal que lee!!!
Responder@daetherius: No falto info, si no sabes lo que es un "iframe o un pop-up sin barra de direcciones" no es culpa del redactor.
ResponderY con respecto a ese fallo, esta demas decir que si no aparece la barra de direcciones se hace demasiado facil hacer phishing, ya que no sabes la pagina en la cual estas metiendo tus datos, a pesar de que se vea como la original (ahi el truco).
Por eso yo me abstengo de comprar en linea con la tarjeta
Responderchuu lo hicieron charqui
ResponderYo uso tarjetas virtuales, cargo lo necesario y no me preocupo de que me roben porque queda vacía.
ResponderPerdón pero no cuesta nada apretar el ALT cuando aparece el PopUp.
Responder@pablo, las tarjetas de crédito son más seguras sin SecureCode y Verified by VISA ya que tienen un seguro por fraude, si llamas a tu banco y dices q una compra no la hiciste tú, Mastercard o Visa no te cursan el cobro porque no pueden comprobar que la compra no la hiciste tú.
ResponderCon SecureCode y Verified by VISA los bancos se pueden excusar diciendo que una compra fraudulenta sí la hiciste tú, ya pasaste por su "SUPER SEGURO xD" sistema de autentificación.
OJO!! El PinPass tiene el mismo drama, es mucho mejor no tener PinPass ya que sin él tienen que falsificar tu firma, cosa que es más difícil de hacer que cacharte la clave.
Es el mismo problema que sufre la nueva versión de Webpay, en donde muchos proveedores ocultan la URL dentro de un frame.
Responderparece una broma
Responder@macoy123 XD me saco mas que una sonrisa :)
Responderhe aqui el futuro del comercio
Responderhttp://video.google.com/videoplay?docid=1054801684673253617#
ya los expertos en seguridad tienen que aceptar que el comercio en linea ya no es seguro por la gran cantidad de fraudes que se han presentado en los ultimos tiempos, no importa que no uses tu tarejta en linea, tambien pueden robarte tu tarjeta cuando vas a cualquier comercio o tienda, o sea que las tarjetas de creditos convencionales no son SEGURAS, tienen que comenzar a disenar nuevos sistemas de seguridad para las mismas, o todo el sistema de tarejtas caera por su propio peso e inseguridad...
ResponderPeace...
¿Alguno se detuvo a notar que este sistema es muy similar al que tenemos en chile?. Estuve leyendo, y es prácticamente lo mismo que Webpay; y hasta ahora webpay ha sido bastante seguro (al menos no he escuchado de ningun caso importante de phishing)
ResponderCon el pinpass lo unico que se logra es pasarle la responsabilidad de la compra al cliente, en vez del comercio, como no tienen que comprobar tu firma, el comercio deslinda responsabilidades y le echa la culpa al cliente..
Respondery pensaron que era la manera mas segura.. jaja
Lo siguiente no es exactamente así:
Responder"De esta manera se verifica que quien esta realizando la compra es efectivamente el dueño del plástico."
Lo único que supuestamente asegura, es que quien está realizando la compra tiene la tarjeta en la mano (que no necesariamente es el dueño). Y esto mismo, puede no ser así, es cosa de que alguien alguna vez haya tenido la tarjeta en su mano y haya anotado el numero de tarjeta y el CVV.
Por otro lado, webpay en algún momento utiliza este sistema, pero cualquier intento de fraude quedaría nulo en las demás capas de webpay. No sé cómo pasará en otros sistemas, pero al menos a webpay no le afecta.
igual no deja de ser peligroso
ResponderDeja tu Comentario