Comments on: Dichoso phishing http://www.tecnorantes.com/2006/06/21/dichoso-phishing/ Internet, tecnología, negocios y otros vicios varios Thu, 20 Nov 2008 15:09:32 +0000 http://wordpress.org/?v=2.6.1 By: juanluis http://www.tecnorantes.com/2006/06/21/dichoso-phishing/#comment-5304 juanluis Thu, 22 Jun 2006 19:46:07 +0000 http://www.tecnorantes.com/?p=502#comment-5304 Pedazo comentario, has batido el record :) LLevas razon en muchas cosas, la verdad. Pedazo comentario, has batido el record :)
LLevas razon en muchas cosas, la verdad.

]]> By: bloggymorgan http://www.tecnorantes.com/2006/06/21/dichoso-phishing/#comment-5295 bloggymorgan Thu, 22 Jun 2006 17:49:34 +0000 http://www.tecnorantes.com/?p=502#comment-5295 Yo trabajo en banca y te aseguro que se toman en cuenta todas las posibilidades que se pueden implementar. Y su coste. Coste económico y educacional. No es barato implementar medidas más seguras. En la entidad en la que trabajo acabamos de cambiar de contraseñas por teclado de posición variable a tarjeta de coordenadas. Hay sistemas mejores pero los costes en hardware (dispositivos tipo llave usb), software, logística, formación de los usuarios, promoción, envíos, adaptación, soporte, etc. hacen que en función del tamaño de la entidad se escoja un formato u otro. No creo que haya muchas entidades financieras serias que tengan el tipo de login que tiene un blog, sinceramente. Tenemos otras carencias. algunas muy graves, pero un login no seguro, hoy en dia no tiene sentido tampoco para la entidad financiera, precisamente por lo que comentabas de que el banco hasta ahora está asumiendo estos costes del fraude. En cuanto a la responsabilidad que tiene el usuario... ejem. Yo también soy usuario, y estoy esperando a que mi banco me de un token de esos tan bonitos para regalarselo a mi niño y que se lo quiten en el parque. Quiero decir, que aunque los sistemas deben ser cada vez más seguros, también debemos utilizarlos con respondabilidad y corrección. En cuanto a si los usuarios son unos cafres o no, pues yo creo que no. Los usuarios son usuarios. Personas que usan tu sistema. Y como personas,unas piensan antes de actuar otras actuan antes de pensar y otras simplemente actuan. Pero hay dinero de por medio, y por ese motivo, el usuario está más atento que de costumbre a estas tareas. El problema entonces radica en otro sitio. En la formación a nivel global. Pongamos un ejemplo que todos tenemos a mano: La madre. Resulta que mi madre: Es profesora de las de toda la vida (a mi me enseñó latín, genética y a tener paciencia) Tiene 3 tarjetas de crédito, una hipoteca, seguros, etc. (contrata cosas y las firma sabiendo lo que hace) Habla 2 idiomas (aparte del latín, pero no inglés). Lleva todas las tareas de la casa sin inmutarse con una enfermedad crónica desde los 27 años que la obliga a pasar cada vez más tiempo en casa. En su círculo de amistades la consideran una persona inteligente (yo más). No sabe "usar internet". Digo que no sabe "usar internet" como podría decir que no sabe usar el video. Por que es verdad: No sabe. No sabe ni por donde empezar. Gracias a Dios, con la llegada del adsl, se acabó aquello de recibir llamadas del tipo de "ponme" internet hijo que quiero ... Para empezar, muchas cosas estaban o están en inglés, lo que la acobarda más aún. Tiene la sensación de que va a romper algo. Resultado: No lo usa. Y no aprende a hacer cosas que la suponen un paseo a la oficina por la dificultad que implica aprender algo que no te resulta natural. Pongamos ahora otro ejemplo: Tu primo pequeño. Mi primo pequeño (10) años: Sabe jugar a mil cosas distintas y todas le parecen bien. Si le propones otra cosa, también jugará. Sabe dos idiomas muy malamente los dos (Sistema educativo actual ;)) Ha crecido viendo a su padre trabajar con el ordenador (o jugar con el). Y cuando digo viendo, digo atendiendo. Mi madre también me veía a mi jugar, pero no se fijaba en qué hacia realmente. Estos condicionantes son suficientes para que mi primo pequeño con mucha menos experiencia vital, se desenvuelva mejor que mi madre en un entorno que para ella es extraño. Y si me remonto una generación más allá, no es que sea extraño, es que es absurdo. Resumiendo, lo que quiero decir es que no todos los perfiles de clientes o potenciales clientes tienen los mismos conocimientos ni las mismas ganas de adquirirlos, pero el sistema que van a utilizar es el mismo para todos. ¿El tuyo sirve para que lo use cualquiera? Mi abuela con el parkinson no podría ni hacer login con el teclado numérico virtual. Como para encargar la compra de "como hacer ganchillo de doble vuelta" en eBay. Yo trabajo en banca y te aseguro que se toman en cuenta todas las posibilidades que se pueden implementar. Y su coste. Coste económico y educacional.
No es barato implementar medidas más seguras. En la entidad en la que trabajo acabamos de cambiar de contraseñas por teclado de posición variable a tarjeta de coordenadas. Hay sistemas mejores pero los costes en hardware (dispositivos tipo llave usb), software, logística, formación de los usuarios, promoción, envíos, adaptación, soporte, etc. hacen que en función del tamaño de la entidad se escoja un formato u otro.
No creo que haya muchas entidades financieras serias que tengan el tipo de login que tiene un blog, sinceramente. Tenemos otras carencias. algunas muy graves, pero un login no seguro, hoy en dia no tiene sentido tampoco para la entidad financiera, precisamente por lo que comentabas de que el banco hasta ahora está asumiendo estos costes del fraude.
En cuanto a la responsabilidad que tiene el usuario… ejem. Yo también soy usuario, y estoy esperando a que mi banco me de un token de esos tan bonitos para regalarselo a mi niño y que se lo quiten en el parque. Quiero decir, que aunque los sistemas deben ser cada vez más seguros, también debemos utilizarlos con respondabilidad y corrección.
En cuanto a si los usuarios son unos cafres o no, pues yo creo que no. Los usuarios son usuarios. Personas que usan tu sistema. Y como personas,unas piensan antes de actuar otras actuan antes de pensar y otras simplemente actuan. Pero hay dinero de por medio, y por ese motivo, el usuario está más atento que de costumbre a estas tareas.
El problema entonces radica en otro sitio. En la formación a nivel global.
Pongamos un ejemplo que todos tenemos a mano: La madre. Resulta que mi madre:
Es profesora de las de toda la vida (a mi me enseñó latín, genética y a tener paciencia)
Tiene 3 tarjetas de crédito, una hipoteca, seguros, etc. (contrata cosas y las firma sabiendo lo que hace)
Habla 2 idiomas (aparte del latín, pero no inglés).
Lleva todas las tareas de la casa sin inmutarse con una enfermedad crónica desde los 27 años que la obliga a pasar cada vez más tiempo en casa.
En su círculo de amistades la consideran una persona inteligente (yo más).
No sabe “usar internet”.

Digo que no sabe “usar internet” como podría decir que no sabe usar el video. Por que es verdad: No sabe. No sabe ni por donde empezar. Gracias a Dios, con la llegada del adsl, se acabó aquello de recibir llamadas del tipo de “ponme” internet hijo que quiero …
Para empezar, muchas cosas estaban o están en inglés, lo que la acobarda más aún.
Tiene la sensación de que va a romper algo.
Resultado: No lo usa. Y no aprende a hacer cosas que la suponen un paseo a la oficina por la dificultad que implica aprender algo que no te resulta natural.
Pongamos ahora otro ejemplo: Tu primo pequeño.
Mi primo pequeño (10) años:
Sabe jugar a mil cosas distintas y todas le parecen bien. Si le propones otra cosa, también jugará.
Sabe dos idiomas muy malamente los dos (Sistema educativo actual ;))
Ha crecido viendo a su padre trabajar con el ordenador (o jugar con el). Y cuando digo viendo, digo atendiendo. Mi madre también me veía a mi jugar, pero no se fijaba en qué hacia realmente.

Estos condicionantes son suficientes para que mi primo pequeño con mucha menos experiencia vital, se desenvuelva mejor que mi madre en un entorno que para ella es extraño. Y si me remonto una generación más allá, no es que sea extraño, es que es absurdo.
Resumiendo, lo que quiero decir es que no todos los perfiles de clientes o potenciales clientes tienen los mismos conocimientos ni las mismas ganas de adquirirlos, pero el sistema que van a utilizar es el mismo para todos. ¿El tuyo sirve para que lo use cualquiera?
Mi abuela con el parkinson no podría ni hacer login con el teclado numérico virtual. Como para encargar la compra de “como hacer ganchillo de doble vuelta” en eBay.

]]> By: juanluis http://www.tecnorantes.com/2006/06/21/dichoso-phishing/#comment-5179 juanluis Wed, 21 Jun 2006 10:24:00 +0000 http://www.tecnorantes.com/?p=502#comment-5179 Sinceramente, no creo en esa diferencia de cultura tecnologica. La gente que usa en España banca online, aunque habrá de todo, no es el jubilado que no sabe ni actualizar la libreta o el tipo que en el cajero no sabe lo que significa "Reintegro".... Ebay tiene millones de usuarios, y tambien habrá de todo, hasta si me apuras, creo que hay mas caldo de cultivo en Ebay que en banca online, lo unico que seguramente en banca se puede sacar mas tajada. Yo conocí en su dia algunos yankis que vendian por Ebay, que daban miedo... por lo palurdos que eran, asi que creo que en todos sitios cuecen habas. Sinceramente, no creo en esa diferencia de cultura tecnologica.
La gente que usa en España banca online, aunque habrá de todo, no es el jubilado que no sabe ni actualizar la libreta o el tipo que en el cajero no sabe lo que significa “Reintegro”….
Ebay tiene millones de usuarios, y tambien habrá de todo, hasta si me apuras, creo que hay mas caldo de cultivo en Ebay que en banca online, lo unico que seguramente en banca se puede sacar mas tajada.

Yo conocí en su dia algunos yankis que vendian por Ebay, que daban miedo… por lo palurdos que eran, asi que creo que en todos sitios cuecen habas.

]]> By: josemaria http://www.tecnorantes.com/2006/06/21/dichoso-phishing/#comment-5178 josemaria Wed, 21 Jun 2006 10:16:12 +0000 http://www.tecnorantes.com/?p=502#comment-5178 No se Juan Luis... yo creo que eBay lo tiene más fácil que un banco a la hora de implantar mejores medidas de seguridad porque posiblemente el cliente medio de eBay tenga una cultura tecnológica mayor que el de un banco y sabría aceptar mejor estas medidas ¿no te parece? Lo que está claro es que hoy por hoy es inaceptable que un servicio que implica una transacción económica a través de internet siga estando protegido por una mera contraseña sin restricciones de ningún tipo, sin necesidad de renovarla cada cierto tiempo,... y que pretendan que, además, la gente le coja confianza a estos medios. En fin... No se Juan Luis… yo creo que eBay lo tiene más fácil que un banco a la hora de implantar mejores medidas de seguridad porque posiblemente el cliente medio de eBay tenga una cultura tecnológica mayor que el de un banco y sabría aceptar mejor estas medidas ¿no te parece?

Lo que está claro es que hoy por hoy es inaceptable que un servicio que implica una transacción económica a través de internet siga estando protegido por una mera contraseña sin restricciones de ningún tipo, sin necesidad de renovarla cada cierto tiempo,… y que pretendan que, además, la gente le coja confianza a estos medios. En fin…

]]> By: juanluis http://www.tecnorantes.com/2006/06/21/dichoso-phishing/#comment-5174 juanluis Wed, 21 Jun 2006 09:15:42 +0000 http://www.tecnorantes.com/?p=502#comment-5174 Jose Maria, ojo, que no digo que Ebay no tenga que habilitarlas. Solo digo que por su naturaleza, es mas complicado para ellos y redunda en una complicación mas y por lo tanto un % de transacciones mas bajos, con toda seguridad. Los de los bancos hablaban de el numero de transacciones no finalizadas cuando habilitaron doble sistema de seguridad, y en los primeros momentos parece que fue altísimo. Seguramente a Ebay de momento les sea mas rentable luchar contra el fraude y hasta asumir ese % de perdidas, que implantar un sistema que pueda hacer bajar el numero de transacciones y que tambien supone un coste importante. Un banco tiene oficinas físicas, esta circunscrito a un espacio físico mas o menos controlado, y lo tiene mas fácil porque hay mas sensacion de riesgo entrando en la web de un banco donde tienes tu dinero, que en ebay. Por otra parte, en el momento que un usuario puede generar e imprimir una tarjeta de claves a diferencia de que se la den fisicamente o le den un "token", ya hay una debilidad, aunque evidentemente es una traba mas. La verdad es que es un tema que da para mucho. Jose Maria, ojo, que no digo que Ebay no tenga que habilitarlas.
Solo digo que por su naturaleza, es mas complicado para ellos y redunda en una complicación mas y por lo tanto un % de transacciones mas bajos, con toda seguridad.
Los de los bancos hablaban de el numero de transacciones no finalizadas cuando habilitaron doble sistema de seguridad, y en los primeros momentos parece que fue altísimo.

Seguramente a Ebay de momento les sea mas rentable luchar contra el fraude y hasta asumir ese % de perdidas, que implantar un sistema que pueda hacer bajar el numero de transacciones y que tambien supone un coste importante.

Un banco tiene oficinas físicas, esta circunscrito a un espacio físico mas o menos controlado, y lo tiene mas fácil porque hay mas sensacion de riesgo entrando en la web de un banco donde tienes tu dinero, que en ebay.

Por otra parte, en el momento que un usuario puede generar e imprimir una tarjeta de claves a diferencia de que se la den fisicamente o le den un “token”, ya hay una debilidad, aunque evidentemente es una traba mas.

La verdad es que es un tema que da para mucho.

]]> By: bdsv http://www.tecnorantes.com/2006/06/21/dichoso-phishing/#comment-5173 bdsv Wed, 21 Jun 2006 09:09:26 +0000 http://www.tecnorantes.com/?p=502#comment-5173 <strong>Nada como saber quién eres realmente</strong> Hablan por ahí de que últimamente están apareciendo algunos mensajes tipo phising, osea falsos, supuestamente de eBay pero que en realidad no lo son, que no son nada faciles de detectar. Bueno, pues aquí os arrojo una pequeña pista que, aunque Nada como saber quién eres realmente

Hablan por ahí de que últimamente están apareciendo algunos mensajes tipo phising, osea falsos, supuestamente de eBay pero que en realidad no lo son, que no son nada faciles de detectar. Bueno, pues aquí os arrojo una pequeña pista que, aunque

]]> By: josemaria http://www.tecnorantes.com/2006/06/21/dichoso-phishing/#comment-5171 josemaria Wed, 21 Jun 2006 09:06:34 +0000 http://www.tecnorantes.com/?p=502#comment-5171 De acuerdo en casi todo José Luis, salvo que no creo que tampoco un sitio como eBay se libre de habilitar sistemas más seguros. Pasar del modelo de contraseña única que usan ahora a otro que añada el uso de tarjetas de claves sería tan fácil como generarlas y pedirle al usuario que la imprima y la conserve en el momento de su inscripción. De hecho Mobipay lo está haciendo así. De acuerdo en casi todo José Luis, salvo que no creo que tampoco un sitio como eBay se libre de habilitar sistemas más seguros. Pasar del modelo de contraseña única que usan ahora a otro que añada el uso de tarjetas de claves sería tan fácil como generarlas y pedirle al usuario que la imprima y la conserve en el momento de su inscripción. De hecho Mobipay lo está haciendo así.

]]>