Archive for marzo, 2015


creditcarjpg_EDIIMA20150306_0521_13

Con las nuevas tarjetas que incorporan tecnología NFC para realizar micropagos, un ‘cibercaterista’ podría estar birlándonos mientras nosotros nos entretenemos con una ‘app’ aparentemente inofensiva que hemos descargado. Quién iba a decir que, de tapadillo, esa aplicación iba a mandar los datos de nuestra tarjeta de crédito a algún amante de lo ajeno.

Cada día nos lo ponen más fácil. Si mucha gente ya no llevaba encima un solo céntimo porque en la cartera descansaba la tarjeta, ahora ni siquiera es necesario introducir el plástico en un lector o pasarlo por la ranura: con acercarla al aparato, es suficiente. Así funciona la tecnología NFC, que permite transmitir datos entre dos dispositivos sin necesidad de contacto, solo por aproximación. Muy práctico, pero las reglas del juego en materia de seguridad también han cambiado.

Si antes nos andábamos con cuidado por si a los carteristas les daba por llevarse lo que no les pertenecía, ahora podríamos no enterarnos siquiera de que alguien nos está robando. Si el carterista se ha convertido en un ‘cibercarterista’ y ha decidido sacar partido a las vulnerabilidades de NFC, probablemente no nos percatemos de nada. Sería suficiente con que nuestro móvil estuviera infectado con alguna aplicación maliciosa y actuase como aliado de los mangantes.

Así lo han demostrado los españoles José Vila y Ricardo J. Rodríguez, que han impartido una ponencia al respecto en el congreso de seguridad informática Rooted CON. Su propósito no era otro que destripar la tecnología NFC, sus distintas capas, para comprobar si podían hacerse con cierta información de valor. “Se suponía que era posible, y lo que hemos hecho es llevarlo a la práctica”, cuenta Ricardo, doctor e ingeniero en Informática por la Universidad de Zaragoza que actualmente trabaja para la Universidad de León.

Estos dos investigadores han descubierto que, en las actualizaciones más recientes de Android, es posible que un ‘smartphone’ detecte una tarjeta NFC y transmita la información a otro teléfono para que se pueda hacer pasar por ella.

Si alguien con no muy buenas intenciones consigue que descargues una ‘app’ infectada con su ‘malware’, podría copiar buena parte de la información de tu tarjeta de crédito. ” Podríamos robar información de carácter personal, desde el número de la tarjeta hasta el titular de la misma, e incluso la fecha de caducidad, que son los datos que se transmiten por defecto cuando tú estás leyendo una tarjeta en NFC”, explica Ricardo. Se escapa el código de verificación (CCV) y poco más.

Toda esa información podría enviarse a un segundo ‘smartphone’ (vía Bluetooth, wifi o 3G) para que este se haga pasar por la tarjeta de crédito al acercarlo a un punto de pagos móviles, y realizar así ciertos cargos en la cuenta bancaria asociada a la tarjeta.

Así es como dos ‘smartphones’ maliciosos se pueden aliar en lo que se conoce como un ataque de ‘relay’ (o de retransmisión). Mientras uno capta la información y la envía, el otro hace las veces de tarjeta replicada y puede efectuar pequeñas compras al pasar sobre un datáfono.

Según Rodríguez, el máximo que se podría cargar en la cuenta corriente de la víctima es de 20 euros en el caso de España; algo más en otros países. Además, quien nos birlase la tarjeta no podría hacer todos los pagos que quisiera. Tal y como detalla Ricardo, “los bancos metieron un mecanismo adicional de seguridad. Hay un número de veces limitado en el que puedes hacer compras, de forma consecutiva, sin introducir el código PIN”.

Tal y como nos cuenta este ingeniero informático aragonés, los ‘relay’ no son nuevos. “Estos ataques llevan investigándose desde 2008 a nivel académico; lo novedoso es que ahora Android, con sus últimas versiones, permite que este tipo de ataques sean reales. Antes no era factible, teníamos que hacer ciertas modificaciones. Se podía, pero no por defecto”, nos explica. El dispositivo debía modificarse para obtener acceso ‘root’ (a la raíz del sistema operativo), un procedimiento relativamente sencillo pero que muy pocos usuarios aplican en sus móviles. El número de potenciales víctimas era, por tanto, muy reducido.

Ahora, sin embargo, basta con que el ‘smartphone’ que tiene el cometido de leer la tarjeta de crédito esté equipado con Android 2.3. y el que tiene que replicarla tenga KitKat 4.4. “Tampoco hace falta que sean nuevos modelos”, asegura Ricardo.

Aunque sea una actualización de Android la que hace posible el ataque, el investigador afirma que no es culpa de Google. A medida que el sistema operativo móvil de la compañía – de código abierto – se va desarrollando, se incorporan nuevas funcionalidades más avanzadas. “La tecnología NFC define tres modos de operación. El modo lector-escritor, el punto a punto y el de emulación. Lo que ocurre es que las primeras versiones de Android solamente se podían trabajar con modo lector-escritor o modo punto a punto. Fue a partir de la versión KitKat 4.4 cuando abrieron el modo HC o emulación”.

Tras su hallazgo, Rodríguez y Vila se han puesto en contacto con los bancos para informarles de que existen estos resquicios en la seguridad de sus servicios, por si consideran oportuno tomar medidas. Si bien es cierto que, a juicio de Ricardo, si de lo que se trata es de agilizar el proceso de pago, cuanta más capas de seguridad se pongan más lento será. “ Si quiero que esto sea rápido y estoy insertando protocolos de seguridad, estos van a hacer que sea más lento y, por lo tanto, menos atractivo para el usuario”, asegura. El difícil equilibrio entre simplicidad y seguridad, eterno dilema de un programador de ‘software’.

En cualquier caso, existen ya ciertas medidas de seguridad que pueden evitar este tipo de triquiñuelas. Ciertos mecanismos adicionales de verificación, por ejemplo, y el propio principio de proximidad que es clave en la tecnología NFC (impidiendo que los pagos se realicen desde un lugar distinto al que se encuentra el ‘chip’ de la tarjeta).

Con el método expuesto por Rodríguez y Vila, un juego entre dos teléfonos móviles que se alían, la distancia no supone una limitación relevante. Sin embargo, si además de acercar la tarjeta al aparato hiciera falta introducir alguna clave secreta, se podrían prevenir este tipo de acciones. ¿También esta clave se la acabarán saltando? Probablemente, pero la seguridad es una carrera entre los ‘malos’ y los ‘buenos’ y el premio, desgraciadamente, es tu dinero.

Fuente | Hojaderouter

Anuncios

predpol

Los departamentos de policía norteamericanos están un paso más cerca de conseguir predecir los crímenes antes de que estos ocurran gracias a PredPol, software desarrollado por una startup californiana de tres años que utiliza un complejo algoritmo para detectar en qué zonas de cada ciudad es más posible que se cometa un crimen, y que así pueda haber en ellas más presencia policial.

Para ello, PredPol registra los datos históricos de los crímenes de cada ciudad y les aplica factores fijos como locales ruidosos o de mala fama, y otros factores variables como tiroteos o ataques que puedan provocar represalias entre bandas rivales. De esta manera, obtenemos como resultado unos mapas en los que aparecen marcadas entre 10 o 20 zonas en las que es más posible que pueda ocurrir un delito durante la próxima ronda.

Pero por muy atractivo que resulte, este sistema no está libre de críticas. Por una parte y pese a que la experiencias de muchos departamentos está siendo positiva, hay estudios independientes que apuntan a que este software no tiene efecto en la reducción del crimen, y que hay departamentos que lo han abandonado a los pocos meses de empezar a utilizarlo.

Además, también hay quienes advierten que aún en el caso de que el software demuestre ser efectivo, el hecho de que marque ciertos barrios como conflictivos basándose únicamente en el Big Data podría tener repercusiones negativas al exagerar la peligrosidad de algunas zonas.

En cualquier caso, PredPol ya está siendo utilizado por 60 departamentos policiales en todo norteamérica, y sus responsables esperan que para finales de este 2015 ya esté presente en las mayores ciudades del país, acercándolas al futuro policial que ya nos mostró en su día Spielberg en su película Minority Report.

> ¿Cómo funciona?

El algoritmo que utiliza PredPol tan sólo necesita recibir tres datos: el tipo de crimen, el lugar donde se cometió y la fecha exacta a la que tuvo lugar. Con esto, presumen de poder delimitar las áreas de la ciudad donde es más probable que se cometa un delito en cada momento y permitir así que la Policía pueda gestionar sus recursos de la forma más eficiente posible para evitarlo.

Tomando esta información, así como los detalles de cada patrulla de policía (hora de inicio, zona de patrulla, etc…), PredPol elabora un mapa personalizado para cada una de ellas. En él se señalan cuadraditos de unos 150 metros de lado que se recomienda visitar a los agentes durante su turno cuando no estén atendiendo ninguna otra emergencia.

¿En qué se diferencia esto de otros “mapas de calor” que se utilizan normalmente al comienzo de cada patrulla en las comisarías? Para comenzar, son más fáciles de leer para los agentes (simplemente tienen que ir a los cuadrados). Bajo estas líneas incluimos un ejemplo que da PredPol en el que se muestra el “mapa de calor” de delitos y el mapa PredPol con sus cajas rojas de una determinada zona.

450_1000

Además, y quizá lo más importante, los mapas de PredPol están personalizados para cada turno. Por ejemplo, aunque el “mapa de calor” de delitos de una ciudad sea uno determinado si se tienen en cuenta los datos de todo un año, éste puede ser muy distinto si tan sólo se consideran los delitos que suceden por las noches. Lo mismo ocurre con los tipos de delito: el “mapa de calor” de los atracos no tiene que ser necesariamente el mismo que los asesinatos.

> ¿Funciona de verdad o es puro marketing?

¿Significa esto que PredPol sabe quién y cuando va a cometer un delito? No, simplemente señala las zonas donde más probable es que se cometa un crimen a determinada hora basándose en datos de delitos anteriores. De hecho, y seguramente para evitar potenciales problemas legales, insisten en numerosas ocasiones que ellos no utilizan información personal de delincuentes: únicamente quieren saber lo que pasó, dónde y cuándo.

En PredPol presumen de que las ciudades que utilizan su software han conseguido reducir el número de delitos. En Atlanta, desde su implantación en 2013, dicen haber reducido los crímenes en un 19%. En otras ciudades más pequeñas, la cifra ofrecida por las autoridades es significativamente mayor. “Teníamos que intentar algo distinto cuando no nos ofrecen más policías”, decía la Policía de Santa Cruz hace unos años.

Otros desconfían de los datos de efectividad ofrecidos por PredPol, refiriéndose a ellos como un producto de marketing, denunciando además que la compañía obliga por contrato a todos los que compren su software a hablar bien del mismo a la Policía de otras ciudades, así como facilitar contactos a PredPol y organizar llamativas conferencias de prensa. El hecho de que no ofrezcan muchos más detalles sobre cómo funciona exactamente su algoritmo tampoco ayuda a evaluar si es efectivo o no.

Sobre todo este asunto tienen un completísimo (y crítico) artículo en SFGate, que explica los distintos intentos que PredPol llegó a realizar, sin éxito, para intentar desplegar su software en San Francisco. “Y ahí es precisamente donde PredPol ha tenido más éxito: en hacer marketing de sus algoritmos”, afirman. Ponen de ejemplo el caso de Seattle, donde aseguran que PredPol bajó el precio de su software un 36% hasta dejarlo en 135.000 dólares, a cambio de que la ciudad hiciera buena publicidad de ellos.

De hecho, desde dicho medio se pusieron en contacto con las ciudades que utilizan PredPol con el fin de obtener análisis o reviews de las autoridades sobre cómo había afectado el software a la tasa de crímenes de sus jurisdicciones. Ninguna poseía un análisis propio o independiente del tema. Tan sólo Alhambra respondió con un estudio que decía que PredPol “predice correctamente los crímenes un 262% más que los mapas de calor”. El estudio, eso sí, lo había hecho PredPol.

> Los peligros de la policía predictiva

Para terminar, merece la pena reseñar que no todos están a favor de este tipo de “policía predictiva”. En Forbes citan a Peter Scharf, un criminólogo que trabaja para el estado de Louisiana, que advierte de cómo este modelo de “cajas” puede hacer que los policías inexpertos exageren sin quererlo la peligrosidad de una determinada zona, al basarse únicamente en lo que le dice el mapa y no en el análisis que cada agente, como profesional, haga de cada situación. “Voy a esta caja y todo el mundo pasa a ser Michael Brown“.

Otros, como el criminólogo Ed Schmidt, citan otros problemas: puede que PredPol esté ayudando a trasladar el crimen de unas zonas a otras. “Cuando la policía suprime los delitos de una parte de la ciudad, se mueve a otras áreas donde la policía no está vigilando”, dice, explicando que lo mismo lleva ocurriendo durante décadas con las patrullas tradicionales. Lo mismo decía la Policía de San Francisco en 2013 como una de sus principales razones para rechazar dicho software.

Vía | Forbes, Xataka

A %d blogueros les gusta esto: