Download Área temática

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
page
16
page
17
page
18
page
19
page
20
page
21
page
22
page
23
page
24
page
25
page
26
Document related concepts
no text concepts found
Transcript 
2009
Universidad Nacional de Lomas de Zamora
Licenciatura en Sistemas
Alumnos: Jorge García, Florencia G. Keen, Adolfo Chércoles, Javier Salazar.
Docente: Carlos Visca
Metodología de la
Investigación
[Proyecto de Investigación]
Análisis de la seguridad informática en las
transacciones electrónicas vía POS.
Índice
Resumen..................................................................................................................................................... 3
Área temática ............................................................................................................................................. 3
Introducción ............................................................................................................................................... 3
Antecedentes y Justificación ...................................................................................................................... 8
Tipo de estudio ......................................................................................................................................... 18
Marco teórico ........................................................................................................................................... 18
Hipótesis ................................................................................................................................................... 23
Objetivos .................................................................................................................................................. 23
Palabras claves ......................................................................................................................................... 23
Bibliografía ............................................................................................................................................... 24
Imágenes .................................................................................................................................................. 26
Análisis de la seguridad informática en las transacciones electrónicas vía POS.
2
Resumen
El sistema POS1, actualmente utilizado en las transacciones comerciales con tarjetas de
crédito/debito, fomentan el fraude informático conocido como skimming2, al momento de
realizar la lectura de la banda magnética.
Este método de transacción, al requerir la manipulación de la tarjeta por parte de un tercero,
y no siempre a la vista del titular de la misma, permitiría, mediante un dispositivo adaptado
para tales fines, la copia de los datos de la banda magnética de la tarjeta de crédito/debito,
para una posterior duplicación y acción delictiva.
Área temática
Informática aplicada
Introducción
En economía, el concepto de evolución es intrínseco e inalienable. Esto quizá, producto de su
relación obvia con la historia humana, con la forma en que el hombre se desarrolla social y
culturalmente.
Los medios de pago, lejos de entenderse como una manifestación económica rígida, deben de
contemplarse desde una perspectiva flexible y adaptativa. Ya que, antes de pretender
visualizar el futuro de los medios de pago, se debe comprender cómo han evolucionado
conjuntamente con el desarrollo humano, y cómo se han adaptado a nuestras necesidades,
por cierto, cambiantes y dinámicas.
Las relaciones humanas, como el comercio y el intercambio de información, han sufrido una
indudable transformación a lo largo de los años.
Ref. imagen: Medios de pago - 1.000 A.C. hasta 1975 1
Ref. imagen: Medios de pago - 1890 hasta 1978 1
Esto a su vez, genera nuevas necesidades y nuevas destrezas. La globalización por ejemplo, es
un factor que induce a innovar nuestra manera de comerciar, es un generador de retos y de
oportunidades que, una vez suplidos, conlleva a nuestra evolución.
1
POS: Acrónimo inglés (Point Of Sale). Son sistemas informáticos que ayudan en las tareas de gestión de un
negocio de ventas al público mediante una interfaz accesible para los vendedores.
2
Duplicado de tarjeta o skimming: Copia de la información de la banda magnética de una tarjeta genuina sin
el conocimiento del titular.
Análisis de la seguridad informática en las transacciones electrónicas vía POS.
3
Empezamos entonces a cambiar nuestros paradigmas, a reorganizar nuestros patrones de
pensamiento y nuestra mentalidad. Una teoría de elección, da lugar a una de adaptación. Una
concepción estática sede ante una dinámica. Pero es importante aclarar que algo dinámico o
cambiante también puede ser comprensible y hasta predecible.
Los medios de pago, no sólo son herramientas por medio de las cuales los individuos
transfieren bienes, servicios y activos financieros, sino que son una manera de expresión del
ser humano, que revelan entre otras cosas, su desarrollo social, tecnológico y económico,
como su cultura, historia y evolución.
La Asociación de Supervisores Bancarios de las Américas - ASBA3, publica un estudio realizado
en noviembre del 2008, en donde se analiza la evolución y tendencias en la utilización de los
diferentes medios de pago en Chile:
“En el país, al igual que en la mayoría de las economías, se aprecia una creciente
utilización de los instrumentos electrónicos de pago, no obstante, dicho proceso
difiere en términos de profundidad y velocidad respecto a lo observado en las
economías de mayor desarrollo. Factores asociados a la infraestructura disponible
de TIC entre las empresas, la penetración de las redes electrónicas transaccionales
de la banca, la distribución del ingreso de la población, la notoriedad pública de los
fraudes electrónicos, la fortaleza institucional del cheque y su difundido uso
informal como instrumento para garantizar pagos futuros, entre otros, explican
tales diferencias.
El creciente desarrollo que ha mostrado la banca electrónica en nuestro país, hace
pensar que puede constituirse en un motor para aumentar la profundidad,
cobertura e intensidad de uso de los servicios financieros. El acceso a los servicios
de pago, es un componente fundamental en la bancarización de la población de
menor ingreso, proceso que tiene asociado importantes beneficios tanto privados
como sociales.”
3
http://www.asbaweb.org/
Análisis de la seguridad informática en las transacciones electrónicas vía POS.
4
Evolución de pagos físicos a pagos electrónicos
Fuente: Informe SBIF – Serie técnica de estudios – N° 12 “Instrumentos de pago de bajo valor en Chile, evolución y
tendencias” – Noviembre 20084
El darle explicación a la actividad económica, es menester en el entendimiento de nosotros
mismos. Entiéndase el estudio de nuestra forma de pagar como una puerta abierta al
autodescubrimiento y al auto-entendimiento.
Así por ejemplo, cuando un individuo elige pagar con tarjeta de crédito y no en efectivo en
cierta situación, revela su nivel de educación financiera y su interpretación de los factores
económicos, de cómo estos últimos jugarán a su favor o en su contra.
Una vez comprendido el concepto de medios dinámicos (evolutivos y adaptativos), es hora
buena de analizar su importancia para nosotros hoy.
4
http://www.asbaweb.org/E-News/enews-18/Documentos%20finales/LR/05-LEC-Instrumentos%20Pagos.pdf
Análisis de la seguridad informática en las transacciones electrónicas vía POS.
5
Los medios de pago, o mejor dicho, su diversidad y abundancia, facilitan y agilizan los
procesos económicos modernos. El acceso a estos, dota al individuo de eficiencia y eficacia.
Una persona con un mayor número de alternativas a la hora de transferir dinero, por ejemplo,
tendrá más ventajas sobre los que sus opciones son muy limitadas.
Entonces, la diferencias sociales y económicas, son no producidas directamente, pero sí
facilitadas por el acceso a diversos medios de pago. En una situación hipotética, en la que dos
comunidades viven en dos lugares semejantes, pero con opciones de pago diferentes (a saber,
la primera utiliza el trueque y la otra los canales electrónicos); su nivel de desarrollo variará
significativamente.
En la realidad, nuestra evolución, también es influenciada por nuestro acceso a los diferentes
sistemas económicos. Caemos entonces en una consciencia de la importancia que tiene el
igualar hasta donde sea posible el acercamiento a más y mejores estructuras de pago,
transferencias y demás actividades económicas.
Ya en la edad media, una orden cristiana, los templarios, ideo un sistema alternativo para
poder desplazarse a tierra santa sin dinero en efectivo, un concepto similar a lo que hoy sería
el de una tarjeta bancaria. No es que desarrollaran la banda magnética, ni que inventaran los
polímeros plásticos, pero sí un documento mediante el que se puede recuperar dinero en un
sitio distinto al que se depositó. Fue un importante avance en su tiempo y un cambio
generado por una necesidad puntual.
Hoy en día la filosofía de las tarjetas de crédito sigue siendo muy similar. Podemos
desplazarnos a distintos sitios sin necesidad de llevar dinero. Ese documento, la tarjeta,
acredita que el comerciante podrá cobrar a la persona que lo porta, tiene una determinada
cantidad de dinero que le respalda.
Tal y como los templarios exigían, es necesario que el portador se identifique de alguna
manera. Hoy en día la identificación telemática es compleja (por lo menos más que un simple
anillo, que les bastaba a los templarios), y este es el principal problema que tienen los
usuarios de las tarjetas: no existe conciencia de la importancia de la validación personal a la
hora de utilizar la tarjeta de crédito.
En una tarjeta de crédito existen varios sistemas de seguridad, que en muchos casos pasan
desapercibidos por los usuarios. Los más utilizados son tres conjuntos de números que deben
mantenerse en secreto (sobre todo el PIN, o número de identificación del usuario).
La seguridad 100%, como siempre, es imposible de alcanzar. Por muchos sistemas de
seguridad que se empleen, siempre existirá la posibilidad de que nos copien la tarjeta
mediante un lector de bandas magnéticas, o muchas otras amenazas cada vez más complejas.
Análisis de la seguridad informática en las transacciones electrónicas vía POS.
6
Según el medio que se utilice para realizar la transacción, el usuario no está exento de ser
víctima de una acción delictiva.
Fuente: Celent Communications, Enero 2003
Aunque las empresas de tarjetas de crédito, destinan millones de dólares a mejorar la
seguridad en las tarjetas, los fraudes a través de transacciones electrónicas, están a la orden
del día.
Fuente: Meridien Research
Análisis de la seguridad informática en las transacciones electrónicas vía POS.
7
Los distintos informes determinan que el fraude con tarjetas de crédito costará alrededor de
miles de millones de dólares al año, siendo una cifra que va claramente en aumento.
Fuente: Celent Communications, vía Lafferty Publications
La vulnerabilidad del sistema, va de la mano de la rapidez de las transacciones electrónicas. Ya
que cualquier persona -disponiendo de un número de tarjeta, de los tres dígitos del código de
seguridad y de la fecha de vencimiento- puede adquirir productos o pagar servicios por
teléfono.
Antecedentes y Justificación
En sus principios, las transacciones se efectivizaban sobre un “cupón de cargo”, mediante un
sistema de máquinas de recalco que reproducían, por copia carbónica, los datos en relieve de
las tarjetas y en la mayoría de los casos también de los comercios. El resto de los datos (fecha,
importe, código de autorización y luego la firma) eran integrados a mano. Posteriormente, y
en ciclos semanales, los comercios debían presentar todas las transacciones realizadas ante
las respectivas marcas -en las casas habilitadas de los sistemas cerrados o ante las entidades
pagadoras en los sistemas abiertos-Luego, como producto del procesamiento de dichas
transacciones, se generaban las liquidaciones para el pago a los establecimientos y se emitían
los resúmenes de cuenta a los usuarios.
La relación de intermediación entre entidades pagadoras y entidades emisoras, en los
sistemas abiertos, se resolvía mediante un clearing de los fondos. En esos tiempos, los fraudes
no habían pasado del uso ilegítimo de las tarjetas denunciadas como pérdidas o robadas y de
la posterior adulteración de algunas de ellas (aunque en muchísima menor escala) con el fin
Análisis de la seguridad informática en las transacciones electrónicas vía POS.
8
continuar con su utilización indebida. También se registraban casos esporádicos de
adulteración de importes. Este tipo de fraudes fue desapareciendo con la instalación masiva
de POS. Los montos de los fraudes -específicamente los montos netos resultantes luego de la
alocación a los establecimientos vía contrapartidas y deducidos los correspondientes a los
usuarios- eran liquidados contra los fondos de seguridad que, bajo distintas denominaciones,
cada sistema de tarjetas administraba. Estos fondos de seguridad se constituían con los
aportes que los emisores debían realizar mensualmente; equivalentes, por lo general, a un
valor por cada tarjeta vigente a esa fecha. La constitución de estos fondos, administrados por
la marca, creaba la errónea ilusión de la existencia de un “seguro” que cubría las pérdidas,
pero la realidad siempre fue que tanto los saldos previsionados como los fraudes se
correspondían con cada emisor, y eran ellos los que los soportaban.
El control del riesgo estaba sustentado en los centros de autorizaciones y en los boletines
protectivos. Generalmente, los contratos de adhesión con los usuarios contemplaban la
cobertura en caso de robo o extravío de las tarjetas desde la hora cero del día de la denuncia,
para aquellas transacciones que no les fueran imputables. El riesgo quedaba acotado a partir
del momento de la denuncia y hasta que los comercios se notificaban, por medio de los
boletines protectivos, que no debían atender esas tarjetas. Los comercios tenían asignado un
límite de piso que los obligaba a pedir autorización cuando la venta lo superaba, y por debajo
del cual podían vender libremente, previa consulta a los boletines protectivos. Quiere decir
que el emisor de una tarjeta que se invalidaba debía asumir el riesgo hasta que ésta
apareciera listada en el boletín protectivo vigente y en poder de todos los comercios. Cada
marca editaba, con cierta periodicidad, boletines protectivos que contenían las tarjetas
invalidadas; es decir, listaban uno por uno y ordenadamente los números de tarjetas a los
cuales los comercios adheridos no debían venderles. La frecuencia de emisión de los boletines
era vital para el control del riesgo, pero su costo era alto y su procesamiento y distribución,
gravoso. La periodicidad de emisión de boletines penduló entre las frecuencias semanales y
quincenales.
Algunos sistemas llegaron, en períodos muy recesivos, a emitir un boletín general cada tres
semanas. Por otra parte, a través de los Centros Telefónicos de Autorizaciones (que en
principio operaron en días y horarios limitados y luego se extendieron a todos los días del año,
las 24 horas), se tomaban las denuncias de extravío, y se procedía al bloqueo de la tarjeta en
forma inmediata. Esto otorgaba protección a las transacciones de montos altos y hacía posible
un monitoreo de la actividad de las tarjetas que permitía detectar comportamientos no
habituales, y desbarataba muchas veces los fraudes.
Con la generalización de los POS se sistematizó totalmente la actividad de estos Centros y se
abolieron los boletines protectivos. Los primeros dispositivos de captura aparecieron a
comienzos de 1988. Las marcas se agruparon en torno a distintos servicios tecnológicos que
Análisis de la seguridad informática en las transacciones electrónicas vía POS.
9
en esencia proveían la misma prestación, dirigida inicialmente a simplificar los pedidos de
autorizaciones a los comercios adheridos. La decisión de asociarse conjuntamente a uno u
otro servicio de POS estuvo influenciada por criterios de competencia y de manejo del
negocio. Lo coherente y deseable hubiera sido que todas las marcas operaran un único
servicio, pero ello no fue posible. De modo que, como efecto de esta discordancia entre las
marcas, los comercios que debían favorecerse con la nueva tecnología se vieron obligados a
instalar y costear (aunque en muchos casos los costos, aproximada-mente de unos US$ 90
mensuales, fueron bonificados por las marcas de acuerdo con su criterio comercial) los
equipamientos de los diferentes servicios de POS, para utilizarlos alternativamente según se
les presentaran ventas con unos y otras tarjetas. En el mercado hay cuatro grandes redes de
terminales de venta: PosNet (servicio de MasterCard), PosVISA, las de American Express y la
de Diners.
Conforme se intensifican las transacciones electrónicas, uno de los factores de mayor enfoque
para el sector bancario y de seguros es la protección contra el fraude y las actividades
delicitivas. De acuerdo a cifras de una importante entidad crediticia, 62% del fraude a nivel
global está relacionado con la clonación y uso no autorizado del número de cuenta, mientras
sólo el 33% del fraude actual se debe al robo o extravío de la tarjeta. El fraude por clonación,
representa un 60% en México, América latina y el Caribe. Ante la diversidad de canales y
modalidades de fraude y lavado de dinero, en operaciones que suceden en tiempo real, en
medio de millones de transacciones bancarias, es importante contar con herramientas que
permitan el control automatizado de los procesos de detección de actividades sospechosas.
Para la protección contra el fraude existen soluciones para documentos, donde, por ejemplo,
es posible proteger la imagen de la información sensible de un cheque o titulo valor cuando
dicha imagen es consultada. De esta forma, el tipo de caligrafía, firma, números de cuenta y
otra información importante es cubierta para impedir su utilización indebida. Igualmente es
posible tener un sistema de verificación de firmas y de validación contra la falsificación de
documentos financieros.
Uno de los elementos más complicados de determinar es el fraude transaccional. La banca de
hoy contiene múltiples canales de operación que los delincuentes también conocen y utilizan
para realizar sus actividades. Esto dificulta la detección de actividades fraudulentas, por la
dispersión de la información y tipos de transacción que se ejecutan en cada canal.
Usualmente, las entidades han desarrollado varios equipos de atención a actividades de
fraude, por ejemplo: fraude para tarjeta de débito, tarjeta de crédito, cheques, fraude
interno, desarrollando especialistas en el análisis de comportamiento para cada frente, con
una alta demanda de información a los sistemas de información del banco.
Pueden citarse algunos trabajos de investigación y artículos que hacen referencia al tema:
Análisis de la seguridad informática en las transacciones electrónicas vía POS.
10
ebanking - Mastercad y Visa Derrochan Innovacion5
“Últimamente han aparecido varias noticias de que las empresas de Tarjetas de
Crédito Mastercard y Visa están innovando constantemente y experimentando con
nuevas formas de pago, aplicaciones para plataformas y mejoras en la seguridad
de sus sistemas.
Ambas compañías sin lugar a dudas están compitiendo codo a codo para quedarse
con el título de la más innovadora de su mercado, y también, por la creciente
competencia de medios de pago alternativo que están amenazando su largo
imperio dominando el mercado de los pagos electrónicos.
Revisemos lo que está pasando en el mundo con respecto a estas 2 compañías:
VISA
itworld.com6: Visa está realizando pilotos con iniciativas para aumentar la
seguridad de sus tarjetas:
En un piloto, que incolucra al Banco “Fifth Third” se está probando el uso de una
tecnología de cinta magética que permite crear una “huella digital” única para las
tarjetas, la que puede ser capturada y utilizada para verificar la identidad de la
tarjeta, de esta manera evitando la “clonación de tarjetas” y el mal uso de éstas.
La otra iniciativa, con un piloto en OfficeMax Inc., involucra la utilización de un
técnica de “retos y respuestas” en el punto de venta. El proyecto apunta a probar
la eficacia de preguntar a los consumidores que contesten algunas preguntas
específicas como su código ZIP, los últimos 4 dígitos de su teléfono, etc., como
parte del proceso de autorización de la compra.
Visa también está realizando un esfuerzo para dar más herramientas a los usuarios
en su lucha contra el fraude, una de éstas es un servicio llamada el “Sistema de
Alerta de Transacciones” disponible para los clientes del Banco Chase que utilizan
móviles basados en el S.O, Android para celulares, este servicio provee alertas en
tiempo real en los móviles de las compras realizadas por la tarjetas y la
localización de éstas.
Otro programa, todavía en desarrollo, se llama “Targeted Acceptance” (algo así
como aprobación enfocada), que permitiría a los clientes poner límites a qué,
dónde y cómo pueden ser utilizadas sus tarjetas.
5
6
http://www.ebanking.cl/medios-de-pago/mastercad-y-visa-derrochan-innovacion-002013
http://www.itworld.com/security/64716/visa-pilots-new-payment-card-security-initiatives
Análisis de la seguridad informática en las transacciones electrónicas vía POS.
11
nationmultimedia.com7: Por otra parte, Visa ha lanzado oficialmente sus pagos
mediante la tecnología NFC (pagos de proximidad o sin contacto) integrada en
dispositivos móviles, los que permiten realizar transacciones en los dispositivos
habilitados con “Visa payWave” en lugar de utilizar sus tarjetas de crédito. El
primer programa comercial ha sido lanzado Malasia, dado el alto nivel de
adopción de nuevas tecnologías. Para esto se ha asociado con Maxis (el carrier
más grande Malasia), Nokia y Maybank (una institución financiera líder en
Malasia).
MASTERCARD
Mientras tanto, Mastercard no se queda atrás, también experimentando con
pagos de proximidad y aplicaciones para el Iphone, veamos algunos ejemplos:
americanbanker.com8: Mastercard también está experimentando con tecnologías
de proximidad, ofreciendo stickers para pagos sin contacto que los clientes pueden
atachar a sus dispositivos móviles, a pesar de que éste se puede colocar en
cualquier objeto. El sticker se integra con una “billetera móvil” la “Blaze Mobile
Wallet” para realizar las transacciones, entregando también alertas de
transacciones y ofertas de marketing a los dispositivos del cliente. Esta billetera
móvil puede acceder a cuentas en más de 8.000 instituciones financieras y también
sirve para realizar compras online y servicios de localización.
techcrunch.com9: Mastercad también lanzó un servicio de localización de cajeros
automáticos: “ATM Hunter“, permitiendo localizar el ATM más cercano de
distintos bancos, también identificando si se encuentran en restaurantes, tiendas
de retails, pubs o tiendas de conveniencia, siendo así más completa que las
aplicaciones similares lanzadas por bancos que permiten sólo ubicar sus ATM.”
A continuación se muestran algunas pantallas:
7
http://www.nationmultimedia.com/2009/04/11/technology/technology_30100273.php
http://www.americanbanker.com/issues/174_64/-375162-1.html
9
http://www.techcrunch.com/2009/04/14/mastercards-atm-hunter-is-the-latest-must-have-for-your-iphone-utility-belt/
8
Análisis de la seguridad informática en las transacciones electrónicas vía POS.
12
Todo es electrónico - Firma electrónica en el teléfono móvil celular con Movistar10
“Hasta donde llegan mis noticias, el primer proyecto de firma electrónica desde el
móvil se llevó a cabo en el año 2001, y lo acometió Safelayer 11en colaboración con
Amena, entidad que participaba en su capital. En ese caso se trataba de firmar
formularios a través de páginas WAP, en las que se disponía del protocolo WTLS y la
posibilidad de tener certificados electrónicos (y sus claves privadas asociadas) en la
tarjeta SIM del teléfono móvil. Uno de los retos del proyecto era la adaptación de
una pasarela para que las firmas generadas en el lado WAP pudieran ser utilizadas
en el lado HTML.
El proyecto de Albalia12 con Telefónica Móviles España (Movistar) pretendía firmar
en un teléfono móvil mediante una tarjeta criptográfica que contuviera las claves y
los certificados. La idea era que se pudiera utilizar con el DNI electrónico, aunque en
aquel momento tuvimos que contentarnos con trabajar con prototipos del DNI-e13.
El primer reto lo tuvimos cuando lo intentamos con teléfonos Java genéricos. En
principio, todos los teléfonos celulares de última generación soportan java, sea cual
sea el sistema operativo, pero las cosas no son tan fáciles. Para llevar a cabo la
firma nos convenía que el teléfono implementara las funciones de MIDP 2 y eso
limitaba mucho los teléfonos adecuados. A continuación necesitábamos teléfonos
con la opción de incorporar un dispositivo lector de tarjeta chip (la famosa
chipetera).
10
11
12
13
http://inza.wordpress.com/2006/06/25/firma-electronica-en-el-telefono-movil-celular-con-movistar/
http://www.safelayer.com/
http://www.albalia.com/
http://www.dnielectronico.es/
Análisis de la seguridad informática en las transacciones electrónicas vía POS.
13
Un dato curioso es que los teléfonos móviles ya llevan un lector de tarjeta chip en su
interior, puesto que lo necesitan para acceder a la SIM. Sin embargo, muy pocos
incorporan un lector de tarjeta chip accesible desde el exterior. Los pocos modelos
existentes, son unidades obsoletas de Motorola y Siemens que incorporaron lectores
de tarjetas chip en proyectos desarrollados en torno al año 2000 cuando
especificaciones como EMV y SET permitían vaticinar la adopción del teléfono móvil
como sistema de pago asociado a una tarjeta bancaria.
La posibilidad de usar lectores externos de tarjeta chip redujo mucho el abanico de
teléfonos móviles adecuados, y nos obligó a centrarnos en teléfonos móviles
operados con sistemas operativos derivados de Windows CE. De hecho el ordenador
de mano HP Jornada 720 (con la variante de sistema operativo Handhel PC2000) ya
incluía lector de tarjeta chip, lo que parecía bastante prometedor.
La mala noticia es que, aunque según la información técnica de Microsoft existen
lectores de tarjeta chip para Windows CE o Pocket PC, los modelos referenciados
operan a través de RS-232 (lo que delata la antigüedad de la valoración), interfaz
que la mayor parte de los modelos actuales no incorporan.
Necesitábamos un lector de tarjeta chip que se pudiera acoplar a un teléfono TSM500 (equivalente al XDA II, al iMate Pocket PC o al Qtek 2020), o bien por la conexión
del Craddle (la cuna de sincronización, existente en prácticamente todas las PDA y
agendas con software Windows Pocket PC), o bien por la conexión SDIO (destinada
originalmente para tarjetas de ampliación de memoria). Además el lector debería
tener drivers PC/SC para Windows CE (en las versiones de base del sistema operativo
3.0, 4.2 o 5.0) o sus evoluciones como Windows Mobile (2002, 2003 y 2005),
Windows Pocket PC o Windows Smartphone. Esto era imprescindible para poder
utilizarlo dentro de las posibilidades que nos proporciona la Cripto API en Windows
CE (que alcanzarían el máximo si pudiéramos contar con los drivers CSP, también
para Windows CE de la tarjeta inteligente).
Después de mucho buscar, sólo encontramos un modelo que era fantástico desde el
punto de vista de prestaciones y de factor de forma, porque encajaba perfectamente
en la conexión de Craddle de la TSM-500, pero que en ese momento no tenía driver
PC/SC. Contactamos con el Proveedor australiano, y mantenemos la puerta abierta
para utilizarlo en futuros proyectos.
Sin embargo, esa línea de trabajo quedó en suspenso mientras aparecían los dichos
drivers.
Análisis de la seguridad informática en las transacciones electrónicas vía POS.
14
A través de C3PO14 encontramos un lector de tarjeta inteligente PCMCIA (el modelo
4040) con drivers PC/SC para Windows CE. La colaboración de C3PO con Albalia (o
particularmente, la de Jorge Gómez, su Director General, conmigo) siempre ha sido
muy buena y en este proyecto fue muy importante.
La buena noticia es que pudimos avanzar bastante en el desarrollo, aunque (la mala
noticia) tuvimos que utilizar un entorno diferente al definitivo: la tarjeta PCMCIA
4040 se insertaba en un adaptador PCMCIA a CompactFlash (allí comprobamos que
ambas conexiones son eléctricamente equivalentes aunque el factor de forma es
distinto) y este en una PDA con conexión Compact Flash. Todavía no teníamos un
lector SDIO pero ya podíamos empezar a entablar diálogo con la tarjeta chip del
prototipo de DNI electrónico.
En esta fase del proyecto tuvimos que firmar un Acuerdo de Confidencialidad muy
riguroso con la FNMT para acceder a la información de la tarjeta, y en particular sus
comandos de bajo nivel APDU.
De esta forma podíamos pedirle a tarjeta que firmara un Hash con la clave privada y
leer del directorio apropiado de la tarjeta el certificado asociado. Fue una proceso
complejo buceando en una maraña de información y con el objetivo de generar un
PKCS#7 en el entorno de la PDA.
Normalmente, generar un PKCS15 no es un problema, porque es relativamente
sencillo generarlo programando mediante la Cripto API. El problema es que no
teníamos el CSP de la tarjeta criptográfica para Windows CE, y, por tanto las
funciones de programación de Windows ignoraban la existencia de la tarjeta.
Además las funciones de la Cripto API no permiten un uso “a trozos” de las
operaciones atómicas de la firma. Así que, además, teníamos que acometer por
nuestra cuenta el reto de generar un PKCS#7 bien formado. Otra vez vuelta a
estudiar las especificaciones ASN.1 de la norma y a interpretar las Basic Encoding
Rules (BER) para poder generar nuestro propio PKCS#7. Y esto tras intentar primero
extraer la función correspondiente de librerías como OPENSSL y otras. Lo cierto es
que en todas las librerías en las que están disponibles los fuentes, las generación del
PKCS#7 está absolutamente enmarañada con otras cosas, y no era práctico ni
extraer lo básico, ni moverlo todo a Windows CE. Demasiadas dependencias.
14
http://www.c3po.es/
En criptografía, PKCS se refiere a un grupo de estándares de criptografía de clave pública concebidos y publicados por los
laboratorios de RSA en California. A RSA Security se le asignaron los derechos de licenciamiento para la patente de algoritmo de
clave asimétrica RSA y adquirió los derechos de licenciamiento para muchas otras patentes de claves.
15
Análisis de la seguridad informática en las transacciones electrónicas vía POS.
15
Al final lo logramos. Generamos nuestra propia interface con la tarjeta chip, con
nuestras propias funciones y librerías, lo que nos permite implementar tanto un
driver CSP como PKCS#11 para el DNI electrónico en Windows CE.
Ya solo nos faltaba el dispositivo lector.
Tras mucho investigar, encontramos un lector de tarjetas inteligentes con interfaz
SDIO, desarrollado originalmente para el Departamento de Defensa
norteamericano.
Disponía de drivers PC/SC, por lo que pudimos adaptar todos los desarrollos que
habíamos hecho para la PCMCIA con cierta facilidad.
Cuando hicimos la entrega del proyecto, nos atrevimos con algo a lo que nos debería
haber disuadido nuestro profundo conocimiento de las Leyes de Murphy. Instalamos
nuestro entorno en un teléfono nuevo que Movistar lanzaba por esas fechas: el Qtek
S100. No lo habíamos probado. Simplemente los especialistas en firma electrónica
en móvil de Telefónica Móviles tenían un equipo por allí y nos animamos a intentarlo
el mismo día de la entrega.
Instalamos los drivers en el S100, insertamos el conector del lector de tarjeta chip en
la ranura SDIO del móvil, instalamos nuestra aplicación en el móvil, insertamos la
tarjeta con un certificado autogenerado y otra con un certificado generado por un
PSC (todavía no teníamos DNIs electrónicos auténticos) elegimos un fichero
existente en el móvil y Voilá. Nos pedía el PIN y generaba el PKCS#7 que podíamos
leer después en un ordenador con Windows.”
Ciberescrituras – Firmas electrónicas en el móvil y formas pago biométricas16
“Esta noticia la veo a través de Xataka17 y habla de un servicio que ya está
prestando Vodafone en España para poder realizar trámites administrativos que
requieran firma certificada desde el celular móvil, lo cual permite culminar
transacciones desde cualquier lugar desde el que nos encontremos.
La iniciativa es llevada adelante por Red.es18, T.B. Solutions19 y Bakinter y cuenta
con el apoyo del Ministerio de Industria Turismo y Comercio de España20. Para ver
cómo funciona leemos en una nota de prensa:
16
17
18
19
20
http://ciberescrituras.espacioblog.com/post/2006/06/28/firmas-electronicas-el-movil-y-formas-pago-biometricas
http://www.xataka.com/moviles/la-firma-electronica-movil-de-vodafone
http://www.red.es
http://www.tb-solutions.com/
http://www.mityc.es
Análisis de la seguridad informática en las transacciones electrónicas vía POS.
16
La ampliación de la firma electrónica a las distintas transacciones
permitirá asegurar desde las operaciones que se realizan ya de forma
habitual como compras con tarjeta de crédito con presencia física o
compra de entradas por teléfono, a todo tipo de transacciones por
Internet o relaciones con la administración. Para poder utilizar el sistema,
el usuario tendrá que solicitar su certificado digital en una de las
entidades que se adhieran al sistema y pedir que le envíen el certificado a
su móvil que se instalará en la tarjeta SIM.
El usuario dispondrá de una contraseña y cuando quiera realizar cualquier tipo de
transacción que exija la firma electrónica enviará la solicitud que llegará la
plataforma neutra de Red.es que validará la operación.
Las capturas de pantalla nos permiten imaginar cómo se vería en nuestros teléfonos
móviles:
Por otro lado tenemos la noticia en Gizmodo21 de que una
cadena de ventas al detal del Estado de Florida ha
implementado un sistema de pago biométrico mediante
el cual los clientes podrán pagar validando la compra con
su huella digital. Para usarlo, tiene que registrar su huella
digital y asociarla a una cierta forma de pago que debite
los fondos a una cuenta corriente o de ahorros. No
funciona aún con tarjetas de crédito. La compañía que promueve la iniciativa se
llama Pay by Touch22 y tiene oficinas en Virginia, Illinois, y en el Norte y en el Sur de
Carolina. El equipo es una suerte de fax con una pantalla "capta huella" que
identifica la identidad del comprador y autentifica la compra con el debido registro,
por supuesto. “
21
22
http://gizmodo.com/gadgets/gadgets/biometric-paying-becoming-a-reality-183701.php
http://www.paybytouch.com/
Análisis de la seguridad informática en las transacciones electrónicas vía POS.
17
Tipo de estudio
Exploratorio
Marco teórico
A lo largo de la historia el hombre ha necesitado transmitir y tratar la información de forma continua.
Aun están en el recuerdo las señales de humo y los destellos con espejos, y más recientemente los
mensajes transmitidos a través de cables utilizando el código Morse, o la propia voz por medio del
teléfono. La humanidad no ha cesado en la creación de métodos para procesar información. Con ése
fin nace la informática, como ciencia encargada del estudio y desarrollo de estas máquinas y métodos,
y además con la idea de ayudar al hombre en aquellos trabajos rutinarios y repetitivos, generalmente
de cálculo o de gestión.
El desarrollo de las tecnologías informáticas ofrece un aspecto negativo: Ha abierto la puerta a
conductas antisociales y delictivas.
Los sistemas de computadoras ofrecen oportunidades nuevas y sumamente complicadas para infringir
la ley y han creado la posibilidad de cometer delitos de tipo tradicional en formas no tradicionales.
Argibay Molina señala respecto de "Los delitos Económicos" que, los delitos de esta naturaleza en el
derecho penal no existen, existen derechos patrimoniales, como uno de tantos grupos de conductas
clasificadas, tomando como pauta el bien jurídico protegido, pero ello no quiere decir que tales delitos
sean Económicos.
Si hacemos una analogía entre "delitos informáticos" y "delitos económicos" concluiríamos que, solo
son delitos los tipificados en nuestro ordenamiento jurídico; y como ninguno de ellos lo está, tanto la
informática como lo económico son solo "factores criminógenos"
Se entienden que "delitos informáticos" son todas aquellas conductas ilícitas susceptibles de ser
sancionadas por el derecho penal, que hacen uso indebido de cualquier medio Informático
El delito Informático implica actividades criminales que un primer momento los países han tratado de
encuadrar en figuras típicas de carácter tradicional, tales como robo, hurto, fraudes, falsificaciones,
perjuicios, estafa, sabotaje, etc., sin embargo, debe destacarse que el uso indebido de las
computadoras es lo que ha propiciado la necesidad de regulación por parte del derecho.
Carlos Sarzana , en su obra Criminalitá e tecnología, los crímenes por computadora comprenden
"Cualquier comportamiento criminógeno en el cual la computadora ha estado involucrada como
material o como objeto de la acción criminogena, o como mero símbolo"
Análisis de la seguridad informática en las transacciones electrónicas vía POS.
18
Nidia Callegari define al "delito Informático" como "aquel que se da con la ayuda de la informática o de
técnicas anexas"
Rafael Fernández Calvo define al "delito Informático" como la realización de una acción que, reuniendo
las características que delimitan el concepto de delito, se ha llevado a cabo utilizando en elemento
informático o telemático contra los derechos y libertades de los ciudadanos definidos en el título 1 de
la Constitución Española"
María de la Luz Lima dice que el "delito electrónico" "en un sentido amplio es cualquier conducta
criminógena o criminal que en su realización hace uso de la tecnología electrónica ya sea como
método, medio o fin y que, en un sentido estricto, el delito Informático, es cualquier acto ilícito penal
en el que las computadoras, sus técnicas y funciones desempeñan un papel ya sea como método,
medio o fin"
Julio Tellez Valdés conceptualiza al "delito Informático" en forma típica y atípica, entendiendo por la
primera a "las conductas típicas, antijurídicas y culpables en que se tienen a las computadoras como
instrumento o fin" y por las segundas "actitudes ilícitas en que se tienen a las computadoras como
instrumento o fin"
Por otra parte, debe mencionarse que se han formulado diferentes denominaciones para indicar las
conductas ilícitas en las que se usa a la computadora, tales como "delitos informáticos", "delitos
electrónicos", "delitos relacionados con la computadora", "crímenes por computadora", delincuencia
relacionada con el ordenador".
Julio Tellez Valdés clasifica a los delitos informáticos en base a dos criterios: como instrumento o
medio, o como fin u objetivo.
Como instrumento o medio: Se tienen a las conductas criminógenas que se valen de las computadoras
como método, medio, o símbolo en la comisión del ilícito.
Como fin u objetivo: En ésta categoría se enmarcan las conductas criminógenas que van dirigidas en
contra de la computadora, accesorios o programas como entidad física.
María de la Luz Lima, presenta una clasificación, de los que ella llama "delitos electrónicos" diciendo
que existen tres categorías, a saber:
Los que utilizan la tecnología electrónica como método (Conductas criminógenas en donde los
individuos utilizan métodos electrónicos para llegar a un resultado ilícito)
Los que utilizan la tecnología electrónica como medio (Conductas criminógenas en donde para realizar
un delito utilizan una computadora como medio o símbolo) y
Los que utilizan la tecnología electrónica como fin (conductas criminógenas dirigidas contra la entidad
física del objeto o máquina electrónica o su material con objeto de dañarla).
Análisis de la seguridad informática en las transacciones electrónicas vía POS.
19
Los Dres Julio Valdés y María Luz Lima entre otros sostienen que las personas que cometen los "delitos
Informáticos" son aquellas que poseen ciertas características que no presentan el denominador común
de los delincuentes, esto es, los sujetos activos tienen habilidades para el manejo de los sistemas
informáticos y generalmente por su situación laboral se encuentran en lugares estratégicos donde se
maneja información de carácter sensible, o bien son hábiles en el uso de los sistemas informatizados,
aún cuando en muchos de los casos, no desarrollen actividades laborales que faciliten la comisión de
este tipo de delitos.
Con el tiempo se ha podido comprobar que los autores de los delitos informáticos son muy diversos y
que lo que los diferencia entre sí es la naturaleza de los delitos cometidos. De esta forma, la persona
que "entra" en un sistema Informático sin intenciones delictivas es muy diferente del empleado de una
institución financiera que desvía fondos de las cuentas de sus clientes.
Es difícil elaborar estadísticas sobre estos tipos de delitos. La cifra es muy alta; no es fácil descubrirlo y
sancionarlo, en razón del poder económico de quienes los cometen, pero los daños económicos son
altísimos. Estudios de consultoras en seguridad informática, indican que las pérdidas, producto de este
tipo de delitos, ascienden a cifras multimillonarias a nivel mundial.
Los términos Seguridad de la Información, Seguridad Informática y Garantía de la Información son
usados con frecuencia y, aunque su significado no es el mismo, persiguen una misma finalidad:
asegurar la confidencialidad, integridad y disponibilidad de la información.
La confidencialidad se refiere a que la información solo puede ser conocida por individuos autorizados.
Existen infinidad de posibles ataques contra la privacidad, especialmente en la comunicación de los
datos. La transmisión a través de un medio presenta múltiples oportunidades para ser interceptada y
copiada: las líneas "pinchadas" la intercepción o recepción electromagnética no autorizada o la simple
intrusión directa en los equipos donde la información está físicamente almacenada.
La integridad se refiere a la seguridad de que una información no ha sido alterada, borrada,
reordenada, copiada, etc., bien durante el proceso de transmisión o en su propio equipo de origen. Es
un riesgo común que el atacante al no poder descifrar un paquete de información y, sabiendo que es
importante, simplemente lo intercepte y lo borre.
La disponibilidad de la información se refiere a la seguridad que la información pueda ser recuperada
en el momento que se necesite, esto es, evitar su pérdida o bloqueo, bien sea por ataque doloso, mala
operación accidental o situaciones fortuitas o de fuerza mayor.
Es necesario entonces, crear diferentes mecanismos, dirigidos a garantizar la confidencialidad y
autenticidad de los documentos y datos electrónicos, uno de ellos es la implementación una
tecnología denominada Criptografía.
La Criptografía es una rama de las matemáticas que, al orientarse al mundo de los mensajes digitales,
proporciona las herramientas idóneas para solucionar los problemas relacionados con la autenticidad y
la confiabilidad. El problema de la confidencialidad se vincula comúnmente con técnicas denominadas
de "encriptación" y la autenticidad con técnicas denominadas de "firma digital", aunque la solución de
Análisis de la seguridad informática en las transacciones electrónicas vía POS.
20
ambos, en realidad, se reduce a la aplicación de procedimientos criptográficos de encriptación y
desencriptación.
En un modelo criptográfico típico, existen dos puntos: "a" y "b", que se consideran fiables y, entre
ellos, se transmite información mediante un canal no fiable. La Criptografía se ocupa de los problemas
relacionados con la transmisión confidencial y segura por el medio no fiable, en tanto la seguridad
informática se ocupa de asegurar la fiabilidad de los nodos "a" y "b".
La Criptografía se divide en dos grandes ramas, la Criptografía de clave privada o simétrica y la
Criptografía de clave pública o asimétrica.5 La primera se refiere al conjunto de métodos que permiten
una comunicación segura entre las partes siempre que, con anterioridad, se intercambie la clave
correspondiente, que se denomina clave simétrica. La simetría se refiere a que las partes tienen la
misma llave, tanto para cifrar como para descifrar.
La Criptografía simétrica, se ha implementado en diferentes tipos de dispositivos: manuales,
mecánicos, eléctricos, hasta llegar a las computadoras, donde se programan los algoritmos actuales. La
idea general es aplicar diferentes funciones al mensaje que se desea cifrar de modo tal, que sólo
conociendo la clave, pueda descifrarse. Aunque no existe un tipo de diseño estándar, tal vez, el más
popular es el de Fiestel,5 que realiza un número finito de interacciones de una manera particular,
hasta que finalmente el mensaje es cifrado. Este es el caso del sistema criptográfico simétrico más
conocido: DES (Data Encryption Standard).
Este último, el DES, es un sistema criptográfico que toma como entrada un bloque de 64 bits del
mensaje y lo somete a 16 interacciones. Su clave de 56 bits, en la práctica tiene 64 bits, porque a cada
conjunto de 7 bits se le agrega un bit que puede utilizarse para establecer la paridad. DES tiene 4
modos de operación: ECB (Electronic Codebook Mode) para mensajes cortos, de menos de 64 bits, CBC
(Cipher Block Chaining Mode) para mensajes largos, CFB (Cipher Block Feedback) para cifrar bit por bit
o byte por byte y el OFB (Output Feedback Mode) con el mismo uso, pero que evita la propagación de
errores.
Hasta el momento, no se ha podido romper el sistema DES mediante la deducción de la clave simétrica
a partir de la información interceptada; sin embargo, con un método de fuerza bruta, la prueba de
alrededor de 256 posibles claves, pudo descifrarse DES en enero de 1999. Ello implica que, es posible
obtener la clave del sistema DES en un tiempo relativamente corto; así, se ha vuelto inseguro para
propósitos de alta seguridad. La opción que se ha tomado para sustituir a DES es el cifrado múltiple,
que aplica varias veces el mismo algoritmo para fortalecer la longitud de la clave y que ha tomado
forma como nuevo sistema para el cifrado y se conoce actualmente como triple-DES o TDES.
La Criptografía de clave pública o asimétrica, también denominada RSA por las siglas de los apellidos
de sus inventores Rivest Shamir y Adelman, es por definición aquella que utiliza dos claves diferentes
para cada usuario, una para cifrar que se llama clave pública y otra para descifrar que es la clave
privada. El nacimiento de la Criptografía asimétrica ocurrió como resultado de la búsqueda de un
modo más práctico de intercambiar las llaves simétricas.
Análisis de la seguridad informática en las transacciones electrónicas vía POS.
21
El esquema propuesto en RSA se explica así:
Mediante un programa de cómputo cualquier persona puede obtener un par de números,
matemáticamente relacionados, a los que se denominan llaves. Una llave es un número de gran
tamaño, que usted puede conceptualizar como un mensaje digital, como un archivo binario, o como
una cadena de bits o bytes. Las llaves, públicas y privadas, tienen características matemáticas, su
generación se produce siempre en parejas, y se relacionan de tal forma que si dos llaves públicas son
diferentes, entonces, las correspondientes llaves privadas son diferentes y viceversa. En otras
palabras, si dos sujetos tienen llaves públicas diferentes, entonces sus llaves privadas son diferentes.
La idea es que cada individuo genere un par de llaves: pública y privada. El individuo debe de mantener
en secreto su llave privada, mientras que la llave pública la puede dar a conocer.
El uso de técnicas criptográficas tiene como propósito prevenir algunas faltas de seguridad en un
sistema computarizado. La seguridad, en general, se considera como un aspecto de gran importancia
en cualquier corporación que trabaje con sistemas computarizados. El hecho de que gran parte de
actividades humanas sean cada vez más dependientes de los sistemas computarizados, hace que la
seguridad desempeñe una función protagónica.
Otros problemas importantes de seguridad son la autentificación, es decir la prevención de
suplantaciones, que se garantice que quien firma un mensaje es realmente quien dice ser; el no
repudio, o sea que alguien niegue haber enviado una determinada información (que efectivamente
envió) y los controles de acceso, esto es quien tiene autorización y quien no para acceder a una parte
de la información. Por ello es cada vez más común encontrar tecnología biométrica aplicada en
distintos dispositivos: computadoras, cajeros automáticos, dispositivos de aperturas de puertas, etc.
La biometría es una tecnología de identificación basada en el reconocimiento de una característica
física e intransferible de las personas, como por ejemplo, la huella digital. La biometría es un excelente
sistema de identificación de la persona que se aplica en muchos procesos debido a dos razones
fundamentales, la seguridad y la comodidad.
Fuente: “Biometric security for mobile banking” – World Resource Institute – Marzo 2008
Entre las aplicaciones de identificación con biometría están el control de acceso biométrico, el control
de presencia biométrico, el logín biométrico a aplicaciones de software a sistemas operativos son
Análisis de la seguridad informática en las transacciones electrónicas vía POS.
22
lector biométrico o cualquiera otra aplicación de identificación mediante la incorporación de un lector
biométrico para integración.
Biometría es un sistema automatizado de reconocimiento humano basado en las características físicas
y comportamiento de las personas. Es el mismo sistema que utiliza el cerebro humano para reconocer
y distinguir una persona de la otra. Es un sistema que reconoce a la persona basado en "quien" es la
persona, no importando "lo que la persona está llevando" o "lo que la persona conoce". Cosas que una
persona puede llevar, así como llaves y tarjetas de identificación, pueden ser perdidas, sustraídas y/o
duplicadas. Cosas que una persona conoce, tales como passwords y códigos, pueden ser olvidados,
sustraídos y/o duplicados. El lugar de ello, la biometría se fija en "quién" es la persona, basándose en
una única e inalterable característica humana que no puede ser perdida, olvidada, sustraída o
duplicada.
Hipótesis
La utilización de sistemas de autentificación biométrica23 y algoritmos de encriptación
asincrónica24, en dispositivos móviles, resguarda a los usuarios de tarjetas de crédito o débito
de fraudes informáticos conocido como skimming.
Objetivos
Disminuir el riesgo ante el robo de los datos de la tarjeta de crédito / débito.
Desarrollar e implementar en dispositivos móviles, un sistema combinado de software de
encriptación y sistemas biométricos para validar la autenticación del titular ante transacciones
bancarias electrónicas.
Palabras claves
transacción, seguridad, dispositivo móvil, autentificación biométrica, encriptación asincrónica,
POS, tarjeta de crédito, tarjeta de débito, SIM, chip, RSA.
23
Autentificación biométrica: Se refiere a las tecnologías para medir y analizar las características físicas y del comportamiento
humanas con propósito de autentificación
24
Encriptación asincrónica: Sistema criptográfico en donde se utiliza un par de claves para el envío de datos. Las dos claves
pertenecen a la misma persona a la que se ha enviado el mensaje. Una clave es pública y se puede entregar a cualquier persona,
la otra clave es privada y el propietario debe guardarla de modo que nadie tenga acceso a ella. Además, los métodos
criptográficos garantizan que esa pareja de claves sólo se puede generar una vez, de modo que se puede asumir que no es
posible que dos personas hayan obtenido casualmente la misma pareja de claves.
Análisis de la seguridad informática en las transacciones electrónicas vía POS.
23
Bibliografía
http://www.elmundoalinstante.com/contenido/titulares/sofisticados-fraudes-de-tarjetas-ycuentas-bancarias-en-internet-suman-miles-de-millones-de-dolares/ (consultado el
28/09/2009)
http://blog.eun.org/SID2007/2007/02/seguridad_ante_fraudes_con_tar.html (consultado el
30/09/2009)
http://seguridad-informacion.blogspot.com/2008/09/latinoamrica-registra-en-el-primer.html
(consultado el 03/10/2009)
http://www.delitosinformaticos.com/delitos/delitosinformaticos.shtml (consultado el
30/09/2009)
http://www.fortuna.uol.com.ar/edicion_0195/sociedad/nota_00.htm (consultado
01/10/2009)
http://blog.segu-info.com.ar/2009/10/proteger-la-informacion-en-tiempos-de.html
(consultado 02/10/2009)
http://www.criptored.upm.es/guiateoria/gt_m163a.htm (consultado el 02/10/2009)
http://www.bvs.sld.cu/revistas/aci/vol11_6_03/aci11603.htm (consultado el 02/10/2009)
http://inza.wordpress.com/2006/06/25/firma-electronica-en-el-telefono-movil-celular-conmovistar/ (Consultado el 10/10/2009)
http://inza.wordpress.com/2006/06/25/firma-electronica-en-el-telefono-movil-celular-conmovistar/ (consultado el 10/10/2009)
http://www.pki.gov.ar/index.php?option=com_content&view=article&id=334&Itemid=102
(consultado el 10/10/2009)
http://www.computerworld.com/s/article/9130073/Post_breach_criticism_of_PCI_security_s
tandard_misplaced_Visa_exec_says?taxonomyId=17&pageNumber=1 (consultado el
12/10/2009)
http://www.ebanking.cl/medios-de-pago/mastercad-y-visa-derrochan-innovacion-002013
(consultado el 12/10/2009)
http://www.itworld.com/security/64716/visa-pilots-new-payment-card-security-initiatives
(consultado el 12/10/2009)
Análisis de la seguridad informática en las transacciones electrónicas vía POS.
24
http://www.nationmultimedia.com/2009/04/11/technology/technology_30100273.php
(consultado el 12/10/2009)
http://www.americanbanker.com/issues/174_64/-375162-1.html (consultado el 12/10/2009)
http://www.techcrunch.com/2009/04/14/mastercards-atm-hunter-is-the-latest-must-havefor-your-iphone-utility-belt/ (consultado el 12/10/2009)
http://ciberescrituras.espacioblog.com/post/2006/06/28/firmas-electronicas-el-movil-yformas-pago-biometricas (13/10/2009)
http://www.asbaweb.org/E-News/enews-18/Documentos%20finales/LR/05-LECInstrumentos%20Pagos.pdf (consultado el 13/10/2009)
Análisis de la seguridad informática en las transacciones electrónicas vía POS.
25
Imágenes
Medios de pago -– 1.000
1.000 A.C.
a.c. hasta 1975 1
Medios de pago -– 1890
1890hasta
hasta 1978
1978 1
Análisis de la seguridad informática en las transacciones electrónicas vía POS.
26
Related documents
Preguntas Frecuentes NEGRO
Preguntas Frecuentes NEGRO
Criptografía básica - OpenCourseWare de la Universidad de Oviedo
Criptografía básica - OpenCourseWare de la Universidad de Oviedo
PREGUNTAS FRECUENTES.cdr
PREGUNTAS FRECUENTES.cdr
Chip y Pin vs. Chip y Firma
Chip y Pin vs. Chip y Firma
Los Ataques de Skimming en Cajeros Automáticos y Cómo
Los Ataques de Skimming en Cajeros Automáticos y Cómo
Fraude con tarjeta de crédito
Fraude con tarjeta de crédito
AV Villas cambia SIN COSTO la Tarjeta Débito
AV Villas cambia SIN COSTO la Tarjeta Débito
universidad católica de santiago de guayaquil
universidad católica de santiago de guayaquil
chip - Consumer Action
chip - Consumer Action
instructivo de uso de tarjetas prepago
instructivo de uso de tarjetas prepago
clonacion de tarjetas
clonacion de tarjetas
(El «pago sin contacto» será un éxito entre las entidades financieras
(El «pago sin contacto» será un éxito entre las entidades financieras
aviso importante
aviso importante
SIM Card (Chip)
SIM Card (Chip)
aviso importante
aviso importante
El sistema de aeronaves no tripuladas Lipan y un potencial uso de
El sistema de aeronaves no tripuladas Lipan y un potencial uso de
SIN CONTACTO: una forma cómoda de pagar
SIN CONTACTO: una forma cómoda de pagar
Tarjetas bancarias: 7 tips para no ser víctima de
Tarjetas bancarias: 7 tips para no ser víctima de
Presentación de Javier Frutos
Presentación de Javier Frutos
Objetivo de la Seguridad Informática
Objetivo de la Seguridad Informática
TPV Virtual Santander Elavon 3D Secure
TPV Virtual Santander Elavon 3D Secure
Volante Guía del Usuario
Volante Guía del Usuario