Weblog de JaCkSecurity

Es innegable lo útil que puede resultar contar con una tarjeta de crédito, y no precisamente por la palabra “crédito”, mas bien por los servicios a los que se puede acceder a través de éste objeto. Un ejemplo notable es al momento de rentar un auto o prepagar la habitación de un hotel aquí en Perú o si quiere en Miami. Por esa razón, se ha preparado esta nota que contiene importantes recortes de artículos y noticias de hechos y pronósticos acerca de lo que está pasando en el mundo de las tarjetas de crédito en el Perú y el mundo.

H E C H O S
1. Diario Gestión:
Uso de tarjetas de crédito desplaza al cheque

Se observa cada vez una mayor preferencia de los agentes -personas y empresas- por usar tarjetas de crédito en vez de los cheques, manifestó el gerente general de Interbank, Jorge Flores. Afirmó que este comportamiento forma parte de una tendencia que se viene observando globalmente, por lo que se espera que se afiance en nuestro mercado.

2. Diario The Boston Global:
TJX reporta brecha de seguridad en más de 45.7 millones de tarjetas de crédito

Al menos 45.7 millones de tarjetas de crédito y débito fueron hurtadas por intrusos, quienes violaron la seguridad de los sistemas informáticos en TJX Cos. en Framingham y el Reino Unido, y sifonearon los datos por varios años, lo que la convierte en la violación de datos personales jamás reportada, de acuerdo a los especialistas de seguridad.

3. Diario El Peruano:
Turismo impulsa a American Express

La utilización de la tarjeta American Express en el Perú registrará este año una facturación superior a lo previsto inicialmente, debido al mayor flujo de personas que visitan el país, sostuvo la gerente general de la Compañía de Servicios Conexos Expressnet, Esther Rey.
“Teníamos proyectado que el volumen de transacciones crecería 15 por ciento en este ejercicio; sin embargo, los buenos resultados obtenidos durante el primer trimestre hacen variar nuestra proyección a 20 por ciento”, comentó la representante.

4. Diario La República:
Las tarjetas de crédito ganan más clientes en conos y en provincias

Trujillo, Cusco, Arequipa, Chiclayo y Piura lideran la expansión en provincias. “Percibimos que en provincias la economía y el consumo están mejorando. En el caso de Cusco se debe al impacto del turismo”, puntualizó.
Las compras realizadas, vía internet, por tarjetahabientes Visa en el Perú alcanzaron US$ 19,3 millones en el 2004, un crecimiento sin precedente, dijo Alejandro Estrada, vicepresidente de Tecnologías Emergentes de Visa International, Región América Latina y el Caribe.
Actualmente existen en el mercado cerca de 2.5 millones de tarjetas. La tasa de crecimiento mensual está entre 6% y 7%. Marco Ronceros, director de la Industria de Servicios de CRR (investigación de mercados), afirma que las tarjetas de crédito de tiendas comerciales vienen ganando mayor dinamismo.

5. Policía Informática del Perú:
Banda “Los Tacneños” modalidad Pishing

Una vez conocidos los números de cuentas bancarias o de sus tarjetas de crédito con sus correspondientes claves, hacían transferencias de dinero a las cuentas bancarias de sus cómplices. También realizaban retiros de dinero de los cajeros automáticos.

6. Policía Informática del Perú:
Clonador dominicano estafador capturado

El ciudadano dominicano José Manuel Popouter Zapata de 36 años, adquiere una cámara filmadora digital por un valor de S/. 3,500 en Hipermercados Metro del distrito deChorrillos, haciendo uso de una tarjeta de crédito clonada.

7. The Honeynet Project & The Honeynet Research Alliance:
Profile: Automated Credit Card Fraud

Por varios años, el Proyecto Honeynet y los miembros de la alianza han estado monitoreando individuos que usan la Internet para comercializar y negociar con información de ccs o tarjetas de crédito robada (ccs, significa stolen credit card).
Honeynet ha identificado un intercambio de información de scc enlazada a cientos de carders en todo el mundo a través de canales especializados de IRC y sitios web relacionados. Esta red provee dinamismo a una serie de actividades ilícitas que contribuyen al fraude y robo de identidad de tarjetas de crédito.

7. Diario Gestión (Abr.2007):
Mensualmente 750 establecimientos comerciales se afilian a tarjetas de crédito

El mayor uso del “dinero plástico” como medio de pago sumado a la mejora del poder adquisitivo de la población y a una mayor cobertura de establecimientos afiliados han permitido que el consumo con tarjetas de crédito y débito en el primer trimestre del año supere toda expectativa. Consumo con “plásticos” subiría 36% por campañas del Día de la Madre y del Padre.

8. Diario Gestión (Abr.2007):
Uso de tarjetas de crédito de empresas crece más que de personas

Durante el primer trimestre del presente año, continuó creciendo el consumo con tarjetas de crédito. Así, el monto utilizado de las tarjetas de crédito activas de los 10 bancos y dos empresas financieras que ofrecen este producto registró US$ 1,743 millones al cierre de marzo pasado, lo que implica un incremento de 1.2% respecto a febrero del 2007 y 35.2% (US$ 454 millones) con relación a marzo 2006.

P R O N Ó S T I C O S
1. Diario Gestión:
Mercado potencial de tarjetas de oro y platinum sería de 1.2 millones de personas

La gerente general de Express Net (operadora de American Espress en Perú), Esther Rey, explicó que existen tres categorías de tarjetas de crédito dirigidas a los segmentos de más altos ingresos de la población (A y B+), entre los cuales se encuentran las tarjetas platinum, gold (oro) y clásica. Tras referir que las tarjetas platinum están orientadas al segmento A -que se caracteriza por ser el más gastador y demandante de exclusividad.

Cierre
De lo visto, se concluye que junto al desarrollo de los mercados crediticios, los consumidores y expendedores de tarjetas no son los únicos beneficiados, quizás, se deba contabilizar de igual forma el desarrollo del mercado negro en su afán de obtenerlas ilegalmente. Y aunque, las noticias provistas son sólo la punta del iceberg, la solución no es prescindir de las tarjetas, es, mas bien, poseerlas tomando todas las precauciones de seguridad ofrecidas.

Desde el primero de marzo (2007), un especialista en seguridad está haciendo público diversas vulnerabilidades en PHP por cada día. Aunque este trabajo viene siendo difundido en varios sitios web de diversas revistas de tecnología en todo el mundo, es posible que no esté hallando el eco esperado. La razón para esta preocupación, es que aún la misma gente detrás del desarrollo original del proyecto PHP ya ha menospreciado los aportes y preocupaciones en seguridad en PHP. Por esta razón, JaCkSecurity.com a favor del proyecto MoPB, cree que es importante que las empresas y desarrolladores PHP de sitios web peruanos, lean y apliquen con caracter de urgencia los hallazgos de Stefan Esser. He aquí, algunas razones de peso.

La voz de alerta en Perú es apremiante, porque la mayoría de las páginas (públicas) de los sitios web peruanos han sido escritos usando éste lenguaje de programación. A través de una investigación hecha con el uso de técnicas básicas en Google Hacking, se descubrió que sólo en el dominio .com.pe, alojados dentro del territorio peruano, existen aproximadamente unos 1.67 millones de sitios web que contienen 3.15 millones de páginas escritas en PHP, mientras que sólo 0.8 millones de páginas están escritas en ASP o ASP.NET (Se consideraron sólo extenciones asp y aspx, porque las demás arrojaron números insignificantes). Llevándolo a porcentajes, la dramática diferencia, del 79.63% en páginas PHP versus el 20.37% de páginas ASP.NET, muestra claramente la necesidad imperiosa de leer el MoPB. La probabilidad de que la seguridad de varias empresas con programas PHP mal diseñados sean violadas, es simple y sencillamente alta. Imagine, por un momento, que sólo el 10% del 10% de aquellas 1.67 millones de páginas exhiba sólo una de los más de 30 hoyos que se llegarán a publicar en el MoPB, eso implicaría que al menos unos 16 mil sitios web peruanos están propensos a ataques masivos de gusanos (worms), defacers, extorcionadores o espías industriales.

Otra razón que le suma peso a ésta urgente llamada, es el saber los ataques realizados por defacers sobre sitios web que usan sistemas operativos no-Windows, son considerablemente superior a aquellos del tipo Windows, donde regularmente no se ejecuta código PHP. Desde el año 2000, según los datos que puede ofrecer Zone-h.org, una de las fuentes más confiables de desfiguraciones del planeta, los sitios web no-Windows fueron un 76% de veces más atacados que aquellos servidores web Windows (24%), donde se montan las páginas ASP y ASP.NET. Esta situación se observa en el siguiente cuadro.

De esta forma, tanto la superior tasa de páginas PHP vs. las ASP/ASP.NET, como la superior prelidección de los defacers a atacar sitios web sobre sistemas operativos no-Windows (como Linux, FreeBSD, etc., dónde se montan las páginas PHP), reflejan la urgente importancia de nuestros desarrolladores locales en PHP, a leer los artículos del MoPB. Queda en manos de éstos últimos, y en aquellos gerentes de responsables, que saben que sus sitios web usan ésta tecnología, el actuar inmediatamente para evaluar y reparar la seguridad de sus aplicaciones web PHP, antes que se vean fuertemente golpeados.

En el diario El Comercio, se publicó un artículo interesante para motivar a los usuarios informáticos domésticos a interconectar sus varios equipos de cómputo en una red inalámbrica casera con conexión al Internet, con el uso de equipos high-tech. Aunque el artículo se esmeró en hacer las cosas bien, lo cierto es que en su motivación tuvieron que hacer uso de un suavizado lenguaje -al respecto de las exigencias de seguridad en el uso de la tecnología citada. Muy aparte de los beneficios ideales que creemos genera la conciencia y uso masivo de los equipos high-tech en la vida del hombre, no podemos negar que el hacerlo de forma inadecuada genera a la larga más un daño que un beneficio, especialmente sobre los derechos corrientes de los usuarios objetivos.

Parafraseando, por ejemplo, el segundo párrafo del artículo original, se menciona como ventaja algo que tiene el potencial de dañar directamente la seguridad doméstica, al decirse, que en el presente la tarea de configuración de una red inalámbrica -antes hecha por especialistas- ahora puede ser realizada fácilmente por cualquiera. Lo triste de esta declaración es que es mitad verdadera y mitad falsa. El lado verídico, al respecto, es que la tecnologia inalámbrica es muy sencilla de hacer funcionar. Sin embargo, el hacerla funcionar de manera sencilla, no significa que todo esté bien. En realidad, existe un daño terrible de instalar una red inalámbrica bajo una filosofía tan plug-and-play. ¿cuál es éste daño? Se trada nada menos del impacto negativo sobre la confidencialidad de la información doméstica, es decir, la otra cara de la moneda de tan terrible declaración. Imagine por un minuto, lo que un usuario final puede pensar, luego de darse cuenta de lo fácil que es configurar (sin seguridad) una red inalámbrica en su hogar. Como consecuencia de tan sináptica experiencia emotiva, es altamente probable que dicho usuario jamás quiera regalarle un sólo Sol (o dólar) a su sobrino universitario (de sistemas) cuándo éste quiera practicar sus pinimos de seguridad con su tío, cuya red es totalmente expuesta a intrusos inalámbricos. ¡Qué terrible! ¿verdad? Pues, mucho peor, si ese tío es un gerente general de una destacable y competente empresa exportadora de frutos agrícolas en el mercado sudamericano, a quien en un día no muy lejano, un consultor de seguridad le visitará para mostrarle entre otras cosas que su red inalámbrica empresarial es x,y% insegura.

Asímismo, en una mala conciencia high-tech, es mucho más penoso, el mezclar argumentos de índole decorativa, totalmente ajena al equipamiento central. Una notable travesura de éste tipo se aprecia en el párrafo final, cuando se menciona que es posible conectar cámaras web a la red inalámbrica (la que el lector fue motivado a instalar), a fin de tener monitoreado el hogar desde el Internet. Se vuelve más terrible aún, el hecho de remarcar que el conectar estas cámaras a la red es posible a través de “una configuración muy simple”. Lo que con esta clase de artículos se consigue, no es precisamente hacer la vida más sencilla al usuario doméstico (aunque esa sea la intención). Lo cierto, al respecto, es que las cosas fáciles de instalar también son fáciles de hackear, o como lo dice el refrán, lo barato sale caro. Vea en la siguiente imágen, por ejemplo, qué fácil es entrar a cientos de miles de cámaras de éste tipo en todo el mundo, sólo por que el usuario decidió configurarla de la manera fácil. 

Esta es una URL de las cámaras web de una terminal de transporte en un país sudamericano (que nos reservamos comentar).
La URL fue hallada vía Google, con técnicas de Google Hacking.

¿quiere usted que eso pase cuando sus hijos -en paños menores- juegan en el patio trasero de su casa, mientras un pedófilo los ve desde una computadora remota, todo porque su red y sus accesorios IP domésticos fueron “fácilmente configurados”? El público final debe esforzarse, entonces, en no permitir que los tecnólogos continuemos (o continúen) vendiendo o promocionando los equipos high-tech de la forma fácil, aquella forma de la cual, ojalá, nunca nadie tenga que lamentar. Pidámosle, siempre, la información tocante a las repercusiones sobre su seguridad personal o empresarial.

High-tech.- Este término es usado aquí para referenciar a la tecnología de punta.
Plug-and-play.- Conectar y usar.
Confidencialidad.- Es el concepto de proteger la información y sistemas de divulgación inapropiada. La privacidad, por su lado, busca lo mismo; pero, al respecto de los datos personales, como los correos personales, los cuentas de crédito, etc.