LUK
24-07-2010, 21:56
Hace algunos años se introdujo por parte de las marcas lo que hoy se conoce como 3-D Secure (http://en.wikipedia.org/wiki/3-D_Secure). La idea no era mala: ponerle coto al fraude con tarjeta no presente (card not present fraud), que es aquel que se consuma disponiendo de los datos de la tarjeta y no de la tarjeta en sí.
Para reducir los eventos de fraude, 3-D Secure introdujo una contraseña que serviría para confirmar que somos los legítimos propietarios de la tarjeta que pretendemos emplear. En este escenario que muchos conoceréis, al introducir los datos de tarjeta se nos transporta a una pantalla en la que introducimos, como parte del proceso de compraventa, la contraseña que hayamos especificado en nuestro programa Verified by Visa o MasterCard SecureCode para la tarjeta que estemos usando. Sin introducir esta contraseña no es posible completar la operación, independientemente del hecho de conocer el PAN, la fecha de caducidad, el titular y el código de verificación.
Este protocolo se ideó con buenas intenciones, pero tiene un error de diseño mortal de necesidad consistente en la creencia de que las contraseñas serían eternamente suficientes para poder impedir el fraude. Durante años nadie ha hecho nada para mejorar lo que a todas luces era mejorable, algo que ha quedado patente con la banca a distancia y el fracaso de las estrategias de autenticación de personas basadas en contraseñas.
Tal y como ha evolucionado el crimen tecnológico, salir a la red a realizar operaciones financieras protegiendo nuestros activos sólo con contraseñas es una receta para el desastre. Los responsables son los de siempre, los amigos de lo ajeno, que en vez de dormirse en los laureles de la lucha contra el fraude innovan todos los días y no dejan títere con cabeza aprovechando cualquier resquicio de debilidad, evidenciando, tal y como hemos explicado, que los métodos tradicionales de autenticación están absolutamente muertos a todos los niveles. Ya lo descubrimos tiempo atrás con la banca a distancia y hoy confirmamos que con el comercio electrónico, como no podía ser de otro modo, pasa igual (http://www.scmagazineus.com/zeus-now-spoofing-visa-mastercard-programs/article/174635/). Los ejemplares de Zeus atacando al protocolo 3-D Secure (http://www.businessweek.com/idg/2010-07-14/zeus-trojan-attempts-to-exploit-mastercard-visa-security-programs.html) son una clara evidencia de ello.
El comercio electrónico del siglo XXI merece una seguridad acorde a los tiempos que corren. El camino es autenticar transacciones, no a las personas (http://www.sahw.com/wp/archivos/2009/10/20/autenticar-transacciones-no-a-las-personas/). Espero que la más que previsible proliferación de este tipo de ataques sirva para poder acercar a los titulares de las tarjetas medios verdaderamente seguros para operar en Internet, aunque mucho me temo que a tenor de lo ocurrido en la banca a distancia, pasará mucho tiempo antes de que veamos medios realmente seguros disponibles para todos. Espero equivocarme.
Fuente: http://www.sahw.com/wp/archivos/2010/07/20/3-d-secure-verified-by-visa-mastercard-securecode-el-principio-del-fin/
Para reducir los eventos de fraude, 3-D Secure introdujo una contraseña que serviría para confirmar que somos los legítimos propietarios de la tarjeta que pretendemos emplear. En este escenario que muchos conoceréis, al introducir los datos de tarjeta se nos transporta a una pantalla en la que introducimos, como parte del proceso de compraventa, la contraseña que hayamos especificado en nuestro programa Verified by Visa o MasterCard SecureCode para la tarjeta que estemos usando. Sin introducir esta contraseña no es posible completar la operación, independientemente del hecho de conocer el PAN, la fecha de caducidad, el titular y el código de verificación.
Este protocolo se ideó con buenas intenciones, pero tiene un error de diseño mortal de necesidad consistente en la creencia de que las contraseñas serían eternamente suficientes para poder impedir el fraude. Durante años nadie ha hecho nada para mejorar lo que a todas luces era mejorable, algo que ha quedado patente con la banca a distancia y el fracaso de las estrategias de autenticación de personas basadas en contraseñas.
Tal y como ha evolucionado el crimen tecnológico, salir a la red a realizar operaciones financieras protegiendo nuestros activos sólo con contraseñas es una receta para el desastre. Los responsables son los de siempre, los amigos de lo ajeno, que en vez de dormirse en los laureles de la lucha contra el fraude innovan todos los días y no dejan títere con cabeza aprovechando cualquier resquicio de debilidad, evidenciando, tal y como hemos explicado, que los métodos tradicionales de autenticación están absolutamente muertos a todos los niveles. Ya lo descubrimos tiempo atrás con la banca a distancia y hoy confirmamos que con el comercio electrónico, como no podía ser de otro modo, pasa igual (http://www.scmagazineus.com/zeus-now-spoofing-visa-mastercard-programs/article/174635/). Los ejemplares de Zeus atacando al protocolo 3-D Secure (http://www.businessweek.com/idg/2010-07-14/zeus-trojan-attempts-to-exploit-mastercard-visa-security-programs.html) son una clara evidencia de ello.
El comercio electrónico del siglo XXI merece una seguridad acorde a los tiempos que corren. El camino es autenticar transacciones, no a las personas (http://www.sahw.com/wp/archivos/2009/10/20/autenticar-transacciones-no-a-las-personas/). Espero que la más que previsible proliferación de este tipo de ataques sirva para poder acercar a los titulares de las tarjetas medios verdaderamente seguros para operar en Internet, aunque mucho me temo que a tenor de lo ocurrido en la banca a distancia, pasará mucho tiempo antes de que veamos medios realmente seguros disponibles para todos. Espero equivocarme.
Fuente: http://www.sahw.com/wp/archivos/2010/07/20/3-d-secure-verified-by-visa-mastercard-securecode-el-principio-del-fin/