Etiqueta: PIN

Las tarjetas de regalo se convierten en nueva amenaza para el sector retail

A medida que en el piso de venta los retailers cierran filas en torno a la seguridad de sus tiendas, tanto físicas como virtuales, el negocio del cibercrimen continúa innovando y encontrando nuevas puertas de entrada.

Si los criminales ya compraban tarjetas regalo con tarjetas de crédito robadas, ahora la tendencia es comprometer directamente las tarjetas regalo, según señala un informe de Flashpoint. No se trata de un arma excepcionalmente nueva, pero el método parece haber repuntado en los últimos meses ya que se trata de algo rápido, que no llama la atención y que es difícil de detectar.

Tradicionalmente, estos productos han supuesto una manera rápida de utilizar una tarjeta de crédito robada. Los atacantes compran las tarjetas en masa a través de la Red para luego revenderlas sin tener que preocuparse de si la tarjeta ha sido cancelada. Pero, los comerciantes pudieron poner coto al envite.

Desde entonces, los delincuentes han inventado un sistema para comprometer las tarjetas regalo por sí mismas averiguando los números de serie de las que ya se han emitido pero que no se han gastado. El problema reside en que es difícil detectar la intromisión ya que las tarjetas regalo suelen ser compradas por los dueños legítimos de las tarjetas bancarias. Y, en el peor de los casos, el receptor de una de estas tarjetas se podría encontrar con que no tuviese fondos o tuviese menos de los que esperaba. “Esto no significa que los comerciantes deban ignorar el problema”, asegura Liv Rowley, analista de Flashpoint. “Es fácil darse cuenta de pérdidas millonarias, pero este tipo de fraude puede tener también un gran impacto en los minoristas porque están proporcionando productos o servicios dañados”.

La compañía ha publicado varias medidas de prevención que parecen bastante simples pero que pueden ser realmente efectivas. Por ejemplo, muchas de estas tarjetas regalo se numeran secuencialmente, por lo que es extremadamente fácil para los criminales adivinar números. Basta con comprobar los dígitos con el cheque en línea del balance de la compañía de la tarjeta regalo o en sitios de terceros para determinar el valor. Incluso, se llegan a utilizar robots para comprobar estos números.

Algunos sitios web piden un código PIN, pero por lo general, éste no se verifica y se puede introducir cualquier cifra al azar. Por ello, Flashpoint recomienda que las empresas que emitan tarjetas de regalo implementen un sistema real para comprobar los PIN y generar números de tarjetas aleatorias o combinaciones de letras y números.

Maria Kolorov

 

La realidad virual y fotos de facebook burlaron la seguridad

Hace años, se podía considerar a los hologramas como cosa de ciencia ficción. Las cosas han cambiado. Actualmente, hemos pasado de ver a nuestros queridos iconos culturales ya fallecidos aparecer en escenarios en premiaciones musicales, a ver Directores Ejecutivos asistir grandes reuniones como hologramas. Obviamente, nuestra capacidad de protegernos mediante la realidad virtual en todo el mundo ha evolucionado. Pero las consecuencias para la seguridad de esto también han evolucionado.

Esas consecuencias salieron a la luz a principios de este mes en la conferencia de seguridad Usenix, un simposio de seguridad anual destinado a destacar los problemas de ciberseguridad de la nueva tecnología. Durante la conferencia de este año, investigadores de la Universidad de Carolina del Norte demostraron cómo las animaciones de rostros parecidas a la realidad, podrían emplearse para engañar al reconocimiento facial.

De acuerdo con la revista WIRED, los investigadores emplearon tecnología parecida a la realidad virtual y unas cuantas fotografías prestadas de voluntarios. Esta técnica burló varios sistemas de seguridad probados.

En lo que tiene que ver con la tecnología, esto no es inesperado. Las tecnologías nuevas casi siempre tendrán vulnerabilidades y obstáculos durante su inicio. Como siempre, los investigadores de seguridad están mejor equipados para descubrir los problemas de seguridad incorporados en estas tecnologías.

En este caso en particular, los investigadores usaron las fotografías robadas virtualmente para crear rostros falsos con renderización 3D disponible fácilmente y software de animación. Posteriormente combinaron las fotografías y animaron las imágenes 3D para engañar a los programas de reconocimiento facial, para que pensaran que las imágenes falsas tenían movimiento y profundidad (incluso haciéndolas parpadear y sonreír) además de medidas que emplean estos programas para verificar mientras escanean un rostro.

Es un gran recordatorio de que es trivial robar fotografías de alta calidad de alguien hoy. Incluso desde múltiples ángulos, que es lo que un ataque teórico necesita. Los maleantes podrían simplemente navegar en su Facebook, LinkedIn y otros perfiles de medios sociales. Y además de ser fácil explotar esta vulnerabilidad, es un poco complicado defenderse contra ella. Después de todo, tener presencia online es importante para propósitos sociales y de carrera, e incluso las personas más cuidadosas al publicar, no siempre pueden garantizar el no dejar huellas digitales.

¿Alarmante? Claro. Pero no es para preocuparse tanto: el ataque es demasiado complicado, y lleva mucho tiempo, como para que los cibercriminales se molesten en realizarlo. Se necesita mucha preparación  para replicar exitosamente este ataque teórico. Este hecho disminuye significativamente el número de personas que podrían estar en riesgo. Además, estas vulnerabilidades han sido enfatizadas a las firmas de ciberseguridad, firmas que desean que esta tecnología tenga éxito. Pronto se pondrán a disposición arreglos para estos problemas.

Dada esta investigación, nos tomaremos la oportunidad de repasar dos problemas que son relevantes en el mundo digital de hoy. Primero, como se discutió arriba, el mantener un nivel de privacidad online es importante no sólo como estilo de vida, sino también por seguridad. Nuestras fotografías ahora están conectadas a nuestros perfiles, y en consecuencia, a nuestra seguridad. Segundo, la tecnología no es una cosa estática. Hay nuevas innovaciones todos los días en dispositivos y servicios, y a la seguridad le toma tiempo perfeccionarse. La seguridad biométrica y las innovaciones similares no son diferentes.

Con eso en mente, presento tres consejos para la práctica de seguridad en la biometría:

Limite su exposición online. Asegúrese de que sus preferencias en medios sociales estén configuradas como “privadas”. De esta manera protegerá no sólo sus imágenes, sino las de sus seres queridos. Siempre verifique las opciones de privacidad en el sitio Web de sus medios sociales. Evite subir imágenes para las personas que todavía no las tengan.

Use seguridad completa. La buena seguridad requiere mucha preparación y un abordaje integral funciona mejor. Al usar una solución de seguridad integral para sus dispositivos.

Utilice autenticación de múltiples factores. Ya sea un servicio de identificación de algo que usted conoce, como una contraseña o un PIN, y algo que usted tenga, como un Smartphone, es uno de los métodos de seguridad más confiables que existen. Verifique los servicios que usa online, y vea si está disponible para la autenticación de la cuenta.

Gary Davis, Chief Consumer Security Evangelist

Riesgos de seguridad que provocan los smartphones a la empresa

El 50% de las empresas tienen al menos un dispositivo que no cumple con las normas de seguridad, suficiente para que se rompa la cadena de seguridad dentro de la organización, esto hace que se introduzca el malware en la red corporativa o se produzca robo de datos, según alerta MobileIron Security Labs en un informe sobre riesgos y seguridad para móviles.

El documento señala que en el cuarto trimestre de 2015, más del 50% de las empresas tienen al menos un dispositivo que no cumple con la normativa y cita como ejemplos de no cumplir las normas que el usuario deshabilite la protección del número de identificación personal (PIN), pierda un dispositivo, carezca de políticas actualizadas, etcétera.

La división de investigación de MobileIron alerta sobre ello porque los dispositivos que no cumplen con la normativa generan un espacio de ataque más amplio para el malware y el robo de datos. En este sentido, su director Michael Raggo señala que las empresas no deben subestimar la gravedad de problema porque “las amenazas móviles, tanto internas como externas, están en aumento, y la cadena de seguridad empresarial es tan fuerte como su enlace más débil”.

Un único dispositivo dañado puede introducir malware en la red empresarial o permitir el robo de datos empresariales sensibles que estén alojados detrás del muro cortafuegos”.

Se considera que un dispositivo está dañado cuando registra una fuga o una filtración, y los laboratorios de seguridad de MobileIron han detectado que una de cada 10 empresas tenía al menos un dispositivo dañado. Además, el número de empresas con dispositivos dañados aumentó un 42%, al tiempo que utilizan diferentes herramientas para que resulte más difícil identificar los dispositivos dañados y crear un falso sentido de seguridad.

Según el informe, menos del 10% de las empresas ejecutan parches que dejan al dispositivo vulnerable a la pérdida de datos; el 22% de las empresas tenía usuarios que habían quitado el PIN que elimina la primera línea de defensa, y que más del  95% de las empresas no cuentan con protección ante malware móvil.

Redacción