Eli
27meneos

Una firma digitalizada no es una firma electrónica

www.securityartwork.es/2008/10/08/una-firma-digitalizada-no-... 
por nereid666 el 08-10-2008 15:59 UTC

Es ya habitual que a la hora de pagar con tarjeta de crédito, en todo tipo de comercios, supermercados, o grandes superficies, nos sorprendan con un nuevo aparato, en forma de tarjeta digitalizadora, que nos ofrecen amablemente para que garabateemos nuestra firma manuscrita.

 10 comentarios en: tecnología, seguridad karma: 183
etiquetas: seguridad, firma, electronica
negativos: 1  usuarios: 24  anónimos: 3  compartir:  twitter  facebook  friendfeed
  1. #1   Total, tampoco miran si coincide con la del DNI así que puedes poner un garabato cualquiera y después...
    votos: 1, karma: 17
    por eduardomo el 08-10-2008 16:05 UTC
  2. #2   Un dni escaneado no es un dni electrónico. ¿Y mi pin?
    votos: 1, karma: 13
    por acimut el 08-10-2008 16:06 UTC
  3. #3   » ver comentario
    por --27879-- el 08-10-2008 16:13 UTC
  4. #4   Anda que no hay veces que he firmado estos aparatos con un :)
    votos: 1, karma: 15
    por masde120 el 08-10-2008 16:47 UTC
  5. #5   > pero no entiendo que este documento se acepte como prueba por parte de las entidades bancarias

    En realidad no es una prueba, sino un requisito que les pone el banco para aceptarles los tickets.

    Con un ticket en papel no hay más garantias: Puede escanearse y superponer igualmente en uno "electrónico"[sic].

    Si echas la transacción atrás dentro del periodo legalmente previsto se comerán los mocos sí o sí. Incluso aunque tengan tu firma real en un papel (bueno, en ese caso, con un estudio grafológico quizá te pillaran, pero las probabilidades de que realmente hayas hecho tu firma real --en caso de que aún fueras tu el que la hizo-- son tan bajas que, salvo que el importe sea muy elevado, no les valdrá la pena intentarlo).

    Ahora bién, eso no hace que sea muy recomendable hacerlo:
    1. En primer lugar porque podria haber testigos y podrian pillarte de cuajo.
    2. En segundo, porque si lo practicas como deporte al final va a oler mal...

    Al final todo es un juego de seguros y estadísticas: Los bancos saben que van a tener alguna pérdida de ese estilo (además de la comisión que se lleva el banco) y los seguros hacen su agosto garantizando que todo el mundo esté tranquilo.

    Y, de hecho ahí, como no, es donde entra en juego la susodicha firmita: Los seguros. Si tengo un seguro que me cubre los impagos de las transacciones que el propietario de la tarjeta niega, pues mejor lo amortizo y me extiendo un par de recibos... Pero si haces eso y las estadísticas de (presuntos) impagos suben, al seguro le van a saltar todas las alarmas y, si puede demostrar grafológicamente, que todos o gran parte de los garabatillos han salido del mismo puño... Puede que haya problemas ;-)

    Resumiendo: Las tarjetas de débito y, sobretodo, de crédito, no son nada seguras, pero les dan tanto dinero a los bancos y a los seguros, que les vale la pena asumir las pérdidas.
    votos: 1, karma: 14
    por joanmi el 08-10-2008 16:59 UTC
  6. #6   Si pero el ticket de papel, es un papel con algo manuscrito a boli, y uno puede solicitar el documento original y no la fotocopia, y esa es la fuerza de firmar en un papel, que el fotomontaje no es posible.
    votos: 0, karma: 6
    por nereid666 el 08-10-2008 17:15 UTC
  7. #7   Yo suelo poner una 'marca de agua' debajo de la real. Primero pongo las iniciales del local donde firmo sobre pantalla y despues estampo mi firma real encima. De esa forma controlo dos cosas:

    1.- Que no puedan utilizarla pra cualquier otra cosa ya que no sabrán discriminar la marca de agua de la firma real

    2.- Si se utiliza, saber de donde ha salido.

    En cualquier caso no me gusta nada.

    Lo de que las tarjetas no son seguras es una afirmación de lo más acertada y se de que hablo.
    votos: 2, karma: 25
    por Stash el 08-10-2008 19:05 UTC
  8. #8   #6: Tu puedes solicitar lo que quieras, pero ellos pueden decir que no lo solicitaste.

    Y vice-versa: puedes no solicitarlo y cuando te reclamen decir que siempre les has firmado en papel y que si ese pago en concreto existiera ellos deberian conservar el resguardo.
    votos: 0, karma: 8
    por joanmi el 08-10-2008 21:36 UTC
  9. #9   #7: Lo de que las tarjetas no son seguras es una afirmación de lo más acertada y se de que hablo.

    Pues tranquilo... a mi aún me parece una maravilla comparado con las pasarelas de pago on-line de algún que otro banco...

    No se si habrá cambiado, pero hace dos años las especificaciones de La Caixa te obligaban a:

    1. Solicitarle diréctamente número de tarjeta y fecha de caducidad al cliente (absolutamente ilegal: esos datos nunca deben pasar por el vendedor).
    2. Retransmitir esa información en una petición http sin ningún tipo de encriptación.
    3. Y por GET (que el POST es demasiado complicado y podría haber algún crio de 5 años que no lo supiera snifar).

    Y si te vas a la página que ha hecho el sobrino del jefe (porque un profesional sabria que puede leer el idioma en las cabeceras http, que los buscadores no leen flash, y un largo etc...) de la CAM (www.cam.es) e intentas entrar en la banca on-line, lo primero que te dicen es que ni se te ocurra teclear tu segurísima clave de 4 dígitos numéricos, porque eso (segun ellos) es "inseguro" y, como alternativa, te ofrecen un precioso teclado dibujado en la pantalla con enormes y vistosas teclas perféctamente ordenadas por si acaso el de la oficina de enfrente no tiene muy buena vista y no le alcanza a ver lo que pulsas...

    Pero tranquilos, que ésto es España...

    No hay que alarmarse, hay que seguir confiando en la suerte que tenemos de que haya tanto inútil suelto, lo que hace que los que nos tocan sufrir a cada uno, estadísticamente casi ni importan...
    votos: 0, karma: 8
    por joanmi el 08-10-2008 21:50 UTC
  10. #10   #9 Visa intentó sacar un protocolo, SET, que corregía eso que dices. Era una transacción a tres:

    1- El comprador conoce al vendedor, lo que compra y cuanto le cuesta.
    2- El vendedor conoce lo que le compran y cuanto cobra, pero no sabe ni el nº de la tarjeta ni, en algunos casos la identidad del comprador.
    3- El tercero de confianza, el banco, sabe que el comprador le debe pagar X al vendedor, pero no sabe por qué conceptos.

    ¿Por que fracaso?

    Mi idea:

    Actualmente los bancos puende analizar el contenido de la transacción y saber cual es tu perfil de compra a crédito sin pedirte un dato. Ya los tienen todos.
    Los vendedores quieren saber quien les compra para poder hacer perfiles de compradores.
    El comprador es un dejado y no le preocupa la seguridad de la información.

    En una auditoría de seguridad a una entidad de tarjetas, en el primer barrido de puertos del test de penetración encontramos un router con configuración de seguridad por defecto y expuesto en internet.... :-D
    votos: 0, karma: 11
    por Stash el 08-10-2008 22:40 UTC
comentarios cerrados

menéame