Security Art Work

Continuando con la serie de centros de seguridad que comenzamos la semana pasada, en esta entrada vamos a introducir el “concepto” de ISAC. Éste surgió a partir de la preocupación por la seguridad nacional del gobierno estadounidense, que tuvo como reflejo una directiva presidencial por parte del presidente Bill Clinton el 20 de mayo de 1998, por la que instaba a todas las entidades privadas que formaban parte de la infraestructura crítica de la nación a compartir información sobre amenazas, vulnerabilidades, incidentes y soluciones y respuestas dentro de estos sectores críticos. En esta misma directiva se define ISAC como Information Sharing and Analysis Center.

[Read more…]

No se si estarán de acuerdo conmigo en que la seguridad, antes que un conjunto de tecnologías, cortafuegos, VPNs, claves, normativas, manuales o sistemas de gestión, es una sensación subjetiva basada en una percepción: la confianza, la tranquilidad. Verán porqué les digo esto.

El pasado viernes por la tarde, mientras tomaba café en un bar, me dejé olvidadas las llaves junto con la cartera, la cual contiene la dirección de mi domicilio. Aunque recuperé ambas cosas pasadas unas horas, cuando me di cuenta de la pérdida, aparte de hacer ciertas gestiones necesarias, lo cierto es que no me quedé tranquilo sabiendo que alguien podía haber hecho una copia de las llaves en el tiempo que habían estado desaparecidas; ya ven, malpensado que es uno. Así pues, pensé que lo mejor sería cambiar el bombín de la cerradura (lo que la persona sujeta en la foto), y consultando con un amigo cerrajero, me indicó que yo mismo podía cambiarlo; en efecto, es extremadamente sencillo de cambiar. Así que me puse a ello; quité cuatro tornillos y saqué el bombín, y pasé un par de días buscando un reemplazo: un bombín de 70 mm, dorado, simétrico y anti-pánico (de doble embrague, lo que significa que aunque te dejes las llaves por dentro sigues podiendo abrir por fuera).

Y al final lo encontré, después de bastante buscar: un AZBE HS-7. El problema es que inmediatamente me dió, curioso que es uno, por buscar en Internet sobre su seguridad, y eso me condujo irremediablemente a los foros de Lock Picking, personas cuyo hobby es abrir cerraduras (legalmente); algo así como un hacker físico, en el mejor sentido del término “hacker” (i.e., el original). Y en esas páginas no hablan precisamente bien de los bombines de AZBE; todo apunta a que son fáciles de abrir y no son especialmente seguros, y el HS-7 ni siquiera está en el tope de gama de AZBE. Por supuesto, leer algo así sobre la cerradura que va a poner uno en casa despierta ciertas inseguridades y dudas, y hasta me planteé acercarme a la ferretería y cambiar la cerradura por otra, que fuese mejor y muy probablemente más cara. Claro que también es muy probable que el ferretero no estuviese tan “puesto” en el tema como el personal de los foros, y fuese incapaz de asesorarme.

Pero antes de hacerlo, hice otra búsqueda, esta vez con la marca de mi actual cerradura, UCEM. Y resulta, no se lo pierdan, que es aun menos segura que la que voy a poner. Sin embargo, antes me sentía seguro, porque pensaba, en mi ignorancia, que tenía una puerta acorazada con una buena cerradura, cuando sí, tenía una puerta acorazada… y dejémoslo ahí. Pero ahora, con un bombín de mayor calidad, me siento más inseguro, lo que me trae a la cabeza ese eterno dilema que pregunta si la ignorancia da la felicidad. Maldita Internet, si no existiese…

Ante este problema, no he dudado en llamar a mi amigo cerrajero y consultarle sobre la seguridad del bombín. Y su respuesta es que cualquier cerradura que esté (aproximadamente) entre treinta y cincuenta euros es perfectamente válida para una casa; frenará a un ratero sin “experiencia”, pero una persona experimentada y suficientemente motivada para entrar, conseguirá abrir esa cerradura y muchas otras de gama y coste muy superior. Así que, como en tecnología, la conclusión final a la que llega uno es que la seguridad total no existe, y que hay que poner los suficientes medios para sentirse seguro a un coste asequible (porque la gama alta seguramente exija otro tipo de puerta, y eso ya es otra historia)… y no olvidarse de poner el pestillo interior cuando uno se va a dormir.

(Fotografía por vrde en Flickr)

Como sabrán, de manera periódica publicamos una encuesta en el blog, que nos sirve para poder “tantear” determinados comportamientos o conceptos entre nuestros lectores, siempre teniendo en cuenta la limitada (pero muy respetable) audiencia con la que contamos; pueden encontrarla a la derecha de sus pantallas. Hace aproximadamente un mes y veinte días les preguntábamos por el uso que hacían de las contraseñas, teniendo en cuenta que hoy en día el que más y el que menos tiene usuario y contraseña en una docena de sitios públicos y privados. Hoy hemos decidido publicar otra encuesta, no sin antes hacer un par de comentarios sobre el resultado de la anterior.

El resultado, que pueden ver debajo, muestra lo que personalmente suponía: que la mayor parte de las personas (42%) gastamos un puñado de claves que vamos intercambiando entre diferentes sitios, lo que nos facilita su memorización y elimina el problema de tener que recordar N contraseñas (lo que hacen un 19% de los visitantes) que además hay que cambiar de manera periódica; al fin y al cabo, en el uso de claves se trata de hacer un balance entre comodidad y riesgo. Por mucho que nos esforcemos en utilizar claves complejas, u obligar a otros a utilizarlas mediante complicadas reglas de sintaxis (las hay verdaderamente difíciles de satisfacer), no hay que pasar por alto el hecho de que superando una determinada frontera de complejidad y cantidad de claves, entran en juego los post-its, las libretas y utensilios “recordatorios” de similar calado, que reducen significativamente su seguridad, sobre todo cuando vamos a entornos públicos como el trabajo.

Otro de los comportamientos que acumula un 20% de votos es el uso de dos contraseñas, una para sitios sensibles (imagino que cualquier sistema que implique el acceso a “dinero” del usuario, correo personal, y quizá incluso Facebook…) y otra para sitios no sensibles (foros, servicios esporádicos, etc.). En este caso, al disminuir la cantidad, la calidad de las contraseñas sobre todo la de los entornos sensibles es un aspecto vital de cara a la seguridad; en principio, siempre que haya cierta periodicidad de cambio, no tiene porqué ser una mala elección. El problema, como imaginarán, es que esas dos contraseñas permanecen literalmente años sin cambiarse, y son utilizadas en entornos heterogéneos que en ocasiones hacen uso de cifrado, y a veces no; además, cuando una clave se conserva durante períodos temporales largos suele ser habitual que por razones de trabajo o necesidad haya que proporcionarla a otras personas, con lo que se están exponiendo todos los entornos sensibles a los que se accede con ésta… y a pesar de ello, la fuerza de la costumbre, la inercia y la molestia de cambiar la clave en N sitios hace que se mantenga sin cambiar.

El 20% restante se reparte en tendencias minoritarias, como son el desaconsejable uso de una única clave (5%), utilizar un patrón a partir del cual derivar las claves de cada sitio (11%), lo que de algún modo podría verse como un caso particular del anterior, y otras aproximaciones (4%).

Para el mes que entra, les preparamos una encuesta relacionada con esa tendencia tan de moda hoy en día y que dentro de algún tiempo dejará de ser una moda para acabar siendo una realidad: la convergencia de la seguridad.

Nos vemos mañana. Sean buenos.

El uso de cámaras de seguridad en lugares de pública concurrencia siempre ha despertado posiciones enfrentadas; mientras que una parte de la población está a favor de su uso, por el supuesto incremento en la seguridad ciudadana que proporcionan, otro porcentaje está completamente en contra, argumentando que las cámaras causan una pérdida de privacidad en sus vidas. Frente a esto, el hecho cierto es que en muchas calles de nuestros pueblos y ciudades, y cada vez con mayor frecuencia, se están instalando cámaras de videovigilancia.

¿Por qué se instalan cada vez más cámaras? Las cámaras de seguridad tienen dos objetivos básicos: por un lado, la disuasión (si alguien se siente vigilado, es menos probable que cometa un delito), y por otro, la recopilación de evidencias para demostrar la comisión de delitos, por ejemplo en un juicio. Con estos dos objetivos en la mente, y considerando los niveles de inseguridad ciudadana que existen en determinadas zonas, se motiva que en ellas se instalen cámaras, tratando así de incrementar la seguridad de viandantes y vecinos.

La Ley Orgánica 4/1997, de 4 de agosto, regula la utilización de videocámaras por parte de las FFCCSE en lugares públicos, y deja muy claro que dichas cámaras deben utilizarse para asegurar la convivencia ciudadana, la erradicación de la violencia y prevenir la comisión de delitos, entre otros; si alguien utiliza las grabaciones con cualquier objetivo menos ético —por ejemplo, vigilar a su pareja—, comete un delito y por tanto puede ser sancionado. Partiendo siempre de que su uso sea el correcto (como el uso de cualquier control de seguridad), personalmente estoy a favor de la utilización de las videocámaras, siempre y cuando se demuestre con datos objetivos que incrementan la seguridad ciudadana, bien porque se cometen menos delitos, bien porque se consigue identificar —y procesar— a quien los comete de una forma más rápida y sencilla gracias a las cámaras. Si una cámara no logra su objetivo, bajo mi punto de vista no tiene sentido mantenerla activa (con el coste que ello supone a los ciudadanos), ya que no está aportando nada a la sociedad y es preferible invertir esos recursos en otro tipo de controles.

Cuando se instala una cámara de videovigilancia, mucha gente cree que monitorizando dicha cámara hay de forma permanente personas listas para actuar en cuanto vean algo sospechoso; por supuesto, esto es falso: las grabaciones únicamente se visionan si se considera que puede haber existido delito (por ejemplo, si presentamos una denuncia), borrándolas en un plazo razonable en caso contrario, de forma similar a lo que se hace con las cámaras de seguridad de los bancos. Así, es raro que determinados delitos o faltas, como el menudeo o el hurto, puedan ser frenados gracias a videocámaras: por un lado, no se suelen denunciar -o al menos no con datos concretos que permitan hacer un seguimiento a través de grabaciones-, y por otro, quienes los cometen saben que no van a ser sancionados de forma considerable, por lo que las FFCCSE tampoco van a invertir grandes recursos en perseguirlos. Por tanto, estos delitos rara vez serán frenados de forma considerable con una cámara. En el otro extremo, delitos como el atraco, la violación, el vandalismo… sí que pueden ser por un lado prevenidos (recordemos el efecto disuasorio) y por otro perseguidos gracias a las cámaras de seguridad en las calles.

¿Y qué hay de mi privacidad? Estamos en la calle, se nos informa de que estamos en zonas videovigiladas, las grabaciones no se visionan salvo que exista un motivo justificado, el uso de las cámaras está perfectamente regulado… para mí, eso no es ninguna invasión relevante en mi privacidad, y si, como he dicho, las cámaras incrementan de forma efectiva la seguridad ciudadana, no tengo ningún problema en que se instalen (y si no la incrementan, que se quiten, pero principalmente por un tema de costes). Ojo, esto es una opinión, tan buena o mala como el resto, así que les invito a dejar la suya en los comentarios.

(Imagen por Christian Nold)

Uno de los ejemplos de cosas chocantes pero muy comunes que nos encontramos en diferentes redes cuando realizamos tests de intrusión es la variopinta cantidad de servicios presentes en las redes DMZ. En su definición más sencilla, una DMZ es una red que se encuentra expuesta a las conexiones entrantes de Internet, y por ello queda recluida en un segmento de red cuyo tráfico saliente se encuentra lo más restringido posible.

Sin embargo, basándose en esta definición, los administradores de sistemas y de redes colocan en la DMZ todo tipo de sistemas sin pensar en el flujo de las comunicaciones y en los posibles ataques, lo cual tiene como consecuencia que desde ella sea posible realizar ataques muy peligrosos. Un ejemplo claro y muy extendido es la colocación de los terminadores de túneles VPN en la DMZ. Cuando un terminador de túneles se situa en la DMZ, la conexión tanto de usuarios como de otras delegaciones sigue un esquema como el siguiente:

Como se puede observar, la información viaja cifrada a través de Internet hasta el terminador del túnel, donde se descifra y se vuelve a enviar a la red corporativa atravesando la DMZ, esta vez sin cifrar, hasta los servicios internos de la organización. Sin embargo, como muchos podéis intuir ya, esta configuración presenta algunos problemas si alguno de los sistemas de la DMZ se ve comprometido. El primero es la posibilidad de realizar un Man-in-the-Middle mediante la técnica de ARP-Spoofing y situar el equipo comprometido en medio de la comunicación entre el cortafuegos y el concentrador VPN, como se puede ver en la siguiente imagen:

Realizando este tipo de ataque, seremos incapaces de descifrar las comunicaciones que vayan desde Internet hacia el concentrador VPN, pero podremos capturar dicha información descifrada en el trayecto desde el concentrador VPN y la red interna, ya que este trayecto lo realiza sin cifrar. De esta manera, seremos capaces de realizar capturas de contraseñas y demás técnicas propias de los ataques típicos en redes LAN. Existen numerosas herramientas gratuitas que realizan este tipo de ataques, como por ejemplo Ettercap en Linux y Cain en Windows, que realizan su propio análisis del tráfico capturado, proporcionando directamente las contraseñas o hashes enviados sin tener que buscarlos manualmente dentro de la captura de red.

Además de realizar estos ataques para capturar la información de conexiones activas, podemos realizar de nuevo un ataque de ARP-Spoofing (que ya no se muestra en la imagen, por claridad) y utilizar direcciones IP del rango de la VPN para intentar encontrar IPs con acceso a servicios de la red interna que no son directamente accesibles desde las direcciones de la DMZ.

Bien es sabido que el filtrado por dirección IP es algo muy poco eficaz en redes LAN, por lo que en este caso el cortafuegos no va a ser capaz de diferenciar si la conexión proviene de direcciones IP de VPN, o si es un equipo de la DMZ que ha suplantado dichas direcciones.

Como solución a este tipo de problemas podemos emplear una segunda DMZ (¿quien dijo que DMZ no hay más que una?) o terminar los túneles en el propio cortafuegos, aunque ello lo expone a la explotación de vulnerabilidades del servicio que podría comprometer toda la red, por lo que se recomienda la primera opción. En general, se recomienda pensar siempre por donde viaje el flujo de tráfico, por donde viajarán las contraseñas y de qué manera lo harán. También es recomendable intentar establecer reglas de filtrado por interfaz del cortafuegos en lugar de por IP, o en caso de realizarse por IP que las diferencias de privilegios de acceso no sean abismales. Si esto no fuera posible, intentar utilizar dos subredes diferentes.

Ya lo hemos comentado otras veces: uno de los principales problemas en las organizaciones es el uso de soportes extraíbles tales como USBs, CDs o DVDs. A menudo la información sale y entra de la organización sin que haya ningún tipo de control sobre ella, y teniendo en cuenta que los dispositivos USB cada vez son más pequeños y tienen mayor capacidad, la verdad es que puede llegar a ser es un problema. Probablemente cualquiera de ustedes se habrá visto en esa situación en la que no sabe dónde está ese USB que necesita para llevarse a casa un informe, una oferta, o similar; y lo peor no es eso, sino que además de no saber dónde está el USB (probablemente en cualquier rincón de su cajonera, de la cajonera de un colega, perdido por casa o peor, en la mochila o estuche de su hijo), ignora qué contenía y para qué lo utilizó la última vez, ya que hace mucho que no lo utilizaba.

Les voy a dar una buena noticia, sobre la que cada vez tengo menos dudas: dentro de unos años los USBs dejarán de utilizarse. Pero al mismo tiempo, tengo que darles una mala: en su lugar, utilizaremos los dispositivos móviles, que cada vez traen tarjetas de memoria de mayor capacidad; el Nokia N85 que tengo trae ya 8 GB, lo cual es más que suficiente para almacenar cualquier tipo de archivos, y la mayor parte de los móviles de nueva generación traen capacidades de almacenamiento inimaginables hace tan sólo un lustro.

Indudablemente, esto tiene una ventaja, derivada de la dependencia que solemos tener de nuestro móvil. Uno no pierde el móvil así como así, ni lo va dejando por cualquier parte olvidado; por lo general, el que más y el que menos está colgado pendiente de su dispositivo móvil, ya sea personal o corporativo. Además, el hecho de que contenga información personal que no nos gustaría perder (ya sean fotos, la agenda, los SMS, etc.), es otro factor a favor. Si somos un poco sinceros, admitiremos que para mucha gente es más importante su agenda de contactos de amigos, familiares y conocidos, que el informe de ventas del mes pasado, lo cual es algo normal. En definitiva, migrar del USB al móvil plantea numerosas ventajas en seguridad, y personalmente, les recomiendo que si no lo han hecho ya, lo hagan (si su dispositivo móvil se lo permite): destruyan ese USB y utilicen su móvil.

Pero todo no van a ser ventajas. Primero, es que una característica intrínseca al móvil es que te acompaña a todas partes; a diferencia del USB, lo llevas tanto en el trabajo, como en un partido de fútbol, en una reunión familiar, en el cine o en una despedida de soltero. No se separa de ti (o mejor dicho, tú no te separas de él), y eso significa que la probabilidad de perderlo también aumenta, y sobre todo en entornos “no controlados”. Tampoco hay que olvidar que un móvil es más “goloso” para los amigos de lo ajeno, sobre todo si nos vamos a Blackberry, iPhone u otras virguerías, mientras que un USB no suele llamar la atención y es mucho menos llamativo (y voluminoso, por lo que tomando un café o cenando no lo sacas del bolsillo).

Entonces, ¿qué hacemos? Les voy a decir lo que hago yo. Como les he recomendado, utilizo el móvil, donde he creado una unidad Truecrypt (Kriptópolis tiene un excelente tutorial introductorio) de 1GB donde almaceno todo tipo de información que necesito llevar a casa para trabajar con ella. En casa tengo instalado también Truecrypt, por lo que con esta medida tan simple me aseguro de que la información viaja en un dispositivo del que estoy permanentemente pendiente, y siempre lo hace cifrada. Si pierdo el móvil, nadie podrá recuperar nada, pero al mismo tiempo tengo la “funcionalidad USB” que es lo que quiero, sin necesidad de utilizar soportes que en cualquier momento mi cabeza puede decidir olvidar. En mi caso, no se trata de que la información esté permanentemente cifrada, tanto en la empresa (que ya tiene sus propios controles de acceso) como fuera, sino que cuando traslado información fuera de la empresa, lo haga en un contenedor seguro.

Como nota final, les tengo que confesar que me asombra bastante la poca utilización de este tipo de soluciones que existen en las organizaciones, y más teniendo en cuenta la sencillez de utilización del Truecrypt. Entiendo que el cifrado tiene sus reticencias entre mucha gente, absolutamente lógicas: ¿qué pasa si olvido la contraseña? ¿quién debe conocerla? ¿qué pasa si se corrompe un sector del disco?, pero en este caso, en el que se le da un uso para “traslados” temporales de la información, no son preguntas a considerar (es decir: la contraseña no se te olvidará de un día para otro, y si una copia relativamente reciente de la información está en los sistemas corporativos, importa poco que sólo tú conozcas la contraseña o se corrompa el sistema de ficheros de tu dispositivo móvil).

Estimo que costaría muy poco dotar a los equipos de los principales responsables de una organización de Truecrypt, crearles una unidad en sus dispositivos móviles y formarles en el uso de la herramienta, cuyo uso es intuitivo y muy sencillo. Después de todo, si a la entrada reciben formación sobre el uso de las herramientas de negocio corporativas (ya sea SAP, AS/400, Lotus Notes o similar) y nadie se queja de que son muy complicadas o que les molestan para trabajar, ¿porqué no incluir entre ellas Truecrypt?

Es mi intención en este post contarles mi reciente experiencia/susto cuando me enteré de que alguien había hecho cargos en mi VISA por casi 1.500 €. Espero que le sea de utilidad a cualquiera que se pueda ver en una situación similar.

Hace un par de semanas, mientras estaba trabajando, me llegaron a mi móvil cuatro SMSs avisándome de la realización de compras con mi tarjeta VISA. En total, las cuatro compras sumaban 1.440 €. Lo primero que hice fue comprobar que tenía la tarjeta VISA conmigo. Una vez comprobado que no me habían robado la tarjeta me conecté a la página de mi banco, para ver los movimientos de la tarjeta. Comprobé que aunque los movimientos correspondientes a los avisos que me habían llegado por SMS no aparecían en el extracto online, sí aparecía el correspondiente importe como dispuesto. Esto es lo habitual, ya que al menos en las dos tarjetas que yo uso, el importe dispuesto se actualiza al instante pero los movimientos tardan al menos dos o tres días en aparecer.

Como era por la tarde y las oficinas de mi banco estaban cerradas, llamé al servicio de banca online y comenté lo que me había pasado. Me pasaron con el departamento de tarjetas donde me dijeron que tenía que poner la reclamación en una oficina, y me indicaron que lo único que ellos podían hacer de momento era cancelar la tarjeta para evitar nuevos cargos y emitir una nueva. Así que cancele mi tarjeta y tuve que esperar hasta el día siguiente.

Al día siguiente, el importe correspondiente a los movimientos seguía apareciendo en el extracto online pero no los movimientos concretos, por lo que fui a la oficina del banco a poner la correspondiente reclamación. El empleado del banco que me atendió lo primero que hizo fue comprobar los movimientos de mi tarjeta, me indicó que aparecían como pendientes y que tenía que esperar a que estuviesen confirmados para poner la reclamación. Se trata del proceso habitual en cualquier compra con tarjeta VISA: primero el cargo aparece en estado pendiente y cuando es procesado por el banco pasa a estar confirmado, momento en el cual se muestra en el extracto online. En cualquier caso, desde su ordenador sí que pudo acceder al detalle de los mismos, que me entregó. Aunque como me habían indicado previamente, tenía que esperar a la confirmación de los movimientos, me explicó que para realizar la reclamación era necesario acompañarla de la copia de la denuncia correspondiente en la Policía Nacional (supongo que también valdrá en la Guardia Civil).

En el extracto que me entregó el banco pude comprobar que los cuatro cargos de los que me había llegado aviso por SMS se habían realizado desde un conocido servicio de apuestas online. Además también observé que previo a esos cargos se había realizado un cargo menor (2,5 €), que al no superar el umbral de 60 € mínimo que establece mi banco no había sido notificado vía SMS, y que al parecer se hizo en una web de intermediación de pagos, entiendo que para validar el correcto funcionamiento de la tarjeta. Dicho cargo, que se había realizado a las doce de la mañana, había sido abonado posteriormente a las siete de la tarde, lo que confirmaba las sospechas.

Intenté ponerme en contacto con las dos empresas, pero sólo me pude comunicar con la de apuestas. Les comenté la situación y me indicaron que pasarían el aviso al departamento de fraude (imagino que este tipo de situaciones deben ser lo suficientemente habituales en esta empresa como para tener un departamento).

Con toda la información que había recopilado, sin esperar a que los movimientos apareciesen confirmados, me dirigí a la comisaría donde puse la correspondiente denuncia. Para mi la denuncia era un mero trámite que necesitaba para que mi banco me anulase los cargos de la tarjeta, pero no quiero dejar de comentar la sensación que uno tiene cuando sabe que está rellenando un papel que no va a ir a ningún lado, ya que a pesar de la buena atención que recibí por parte de la agente que tramitó la denuncia, no se iba a investigar por falta de medios y/o conocimientos.

Ese mismo día, a la hora de comer, me llaman del departamento de fraudes del servicio de apuestas, y me indican que alguien había creado una cuenta a mi nombre, había proporcionado los datos de mi tarjeta (número, fecha de caducidad y código CVC —tres dígitos que aparecen en la parte trasera de la tarjeta—) e incluso los datos correctos de mi domicilio. Dado que los datos de domicilio cuadraban con los de la tarjeta, habían aceptado la tarjeta y no tenían intención de retroceder los cargos.

Tres días después de haberse producido los cargos, una vez aparecieron en el extracto online, me dirigí de nuevo a la oficina con la copia de la denuncia que había interpuesto y el empleado del banco tramitó mi reclamación.

La historia llega a su fin, felizmente para mi, cuando cinco días después, al consultar el extracto online de la tarjeta, observo que los cargos aparecen como anulados y ya no contabilizan en el importe dispuesto. El único coste que este incidente ha tenido para mi, además de las correspondientes molestias, son los 3 € que me cobra mi banco por reemitirme la tarjeta (y ya veremos como queda esto).

Quería compartir con ustedes algunas reflexiones sobre este incidente. Por supuesto, para mí lo más importante es que mi banco ha resuelto el problema y ha anulado los cargos. Pero en cualquier caso, hay varios puntos que si se mejorasen, en mi opinión servirían para reducir este tipo de incidentes y su impacto:

• Primero destacar la confianza que generan este tipo de medios de pago, ya que, al menos en mi caso, llevan acompañados los correspondientes mecanismos de protección para compensar al cliente ante una situación de este tipo. Personalmente siempre he preferido comprar con tarjeta de crédito antes que con tarjeta de débito, por el mero hecho de que en una situación como la que he descrito, el importe ni siquiera se ha llegado a descontar de mi cuenta ya que el cargo se ha anulado antes del cobro a mes vencido de los importes de mi tarjeta.
• Los SMSs me llegaron de golpe y con retraso: pasaron casi cuatro horas desde el primer cargo y una hora desde el último. De haberme llegado el primer cargo en el momento de producirse, habría cancelado la tarjeta a tiempo de que no se produjese ningún cargo adicional (el siguiente fue media hora después). Me sorprendió este retraso porque hasta ahora, siempre que había utilizado la VISA de mi banco y el importe superaba el umbral de 60€, el mensaje SMS me había llegado prácticamente al instante. En cualquier caso dado que los bancos proporcionan este servicio como un mecanismo de prevención ante incidentes como el que les cuento, considero que el retraso producido ha tenido un impacto económico a quien tenga que hacerse cargo de los importes (no sé si es el banco, alguna empresa de seguros o la propia casa de apuestas). Esto pone de manifiesto lo importante que es la comunicación en tiempo real para gestionar incidencias y mitigar el impacto de las mismas.
• Hace ya algunos meses que mi banco modificó el umbral mínimo de aviso, que antes estaba en 0,01 €. Entiendo que esto se haga para reducir costes y no enviar un SMS cada vez que se produce un movimiento en la tarjeta. Pero en este caso, y no sé si será un comportamiento general, habría sido todo más fácil y menos costoso si me hubiese llegado un aviso cuando se utilizó la primera vez la tarjeta con intención de validarla realizando un cargo de 2,5 €, eso sí siempre y cuando el mensaje hubiese llegado a tiempo. Si hubiese llegado con los otros cuatro no habría servido de nada.
• Independientemente de la utilidad del envío de SMSs para prevenir el uso fraudulento, sería interesante también que en el extracto online del banco aparezcan todos los movimientos, no sólo los confirmados, sino también los que están pendientes.
• De las dos tarjetas que tengo, ésta que es la que emite mi banco y la gasto muy poco, sólo para comprar alguna cosa por Internet cuando la divisa no es el euro (porque tiene un cambio favorable frente a mi otra tarjeta). Hasta el momento sólo la he gastado en sitios que yo entiendo que son de confianza, y la dirección de entrega que siempre he aportado ha sido la de la empresa en la que trabajo, ya que a las horas que llegan los paquetes es donde suelo estar. Así que me preocupa que alguien se haya hecho no sólo con los datos de mi tarjeta sino con los datos de mi domicilio.
• En alguna ocasión, desde el emisor de la otra VISA que tengo, cuando he hecho alguna compra con un importe elevado por Internet, me han llamado por teléfono para comentarme la realización de dicha compra y confirmar si era correcta. Resulta llamativo que con la cantidad de dinero que mueven este tipo de fraudes, haya bancos como el mío, que no establezcan controles relativamente automatizados que puedan detectar patrones sospechosos. Considero que generar un aviso cuando se realizan cuatro transacciones de importe elevado en una casa de apuestas por parte de un cliente que nunca antes ha realizado anteriormente compras de este tipo, no debe ser tan complejo, y más si tenemos en cuenta que este tipo de sitios deben ser uno de los sitios habituales en que se realicen compras fraudulentas. Y no se trata sólo del dinero que ahorrarían, sino de la sensación de seguridad, la buena imagen que darían si avisan al cliente y detectan el fraude al momento de ocurrir.
• Creo que los propios emisores de las tarjetas, VISA, MasterCard, American Express, etc. deberían poner a disposición de los bancos los medios necesarios para detectar este tipo de fraudes, e incluso posibilitar que el cliente prohíba la utilización de la tarjeta para compra en webs de determinado tipo (pornografía online, apuestas, etc.), tal y como por ejemplo se hace en telefonía con los números de tarificación especial 905 y similares.
• Me resulta llamativo que haya empresas como la casa de apuestas online en la que se realizaron los cargos, que tienen un nivel de fraude suficiente como para tener un departamenteo adhoc, no utilicen mecanismos de pago más robustos. Hace ya tiempo que en algunas tiendas online, cuando se paga con una tarjeta emitida por un banco, se redirige a una página del propio banco donde se solicita una posición de la tarjeta de coordenadas. Son varios los sitios donde recuerdo haber comprado y haber tenido que consultar la tarjeta de coordenadas.
• Para acabar, creo que los cuerpos de seguridad del estado deberían de contar con medios mayores para la persecución de este tipo de delitos ya que a priori, con pocas comprobaciones básicas (IP de origen por ejemplo), seguro que se podría resolver más de un caso. Seguro que no será tan sencillo perseguir a las mafias que realizan este tipo de delitos, pero probablemente sí a un empleado desleal que roba esta información y la usa.

Espero que todo esto les haya servido de ayuda, y por supuesto, no tener que acordarme de ella en el futuro.