Comments on: Fraude electrónico con tarjetas chip

By: Carlos Castillo

Carlos Castillo — Wed, 13 Apr 2011 03:20:46 +0000

Nelson: Si se refiere al comentario de Sandra, mi punto es que lo expuesto en el post es sobre un ataque teórico que aún no se ha demostrado que se esté realizando activamente para realizar fraude por lo cual no podría ser utilizado como evidencia en tribunales de justicia. Si hablamos de forma general, pienso que con las metodologías y herramientas correctas es posible obtener evidencia digital sobre un caso específico de fraude electrónico, lo cual no quiere decir que ésta evidencia sea admisible en un tribunal ya que esto depende de las leyes de cada país respecto a este tipo de casos. Espero haber solucionado la inquietud.

By: Nelson Alvarado

Nelson Alvarado — Tue, 12 Apr 2011 18:01:12 +0000

Hola Carlos, a partir de su criterio es problematico la obtencion de evidencias en fraudes electronicos como evidencia digital para ser usados en tribunales de justicia.

By: Carlos Castillo

Carlos Castillo — Sat, 09 Oct 2010 02:43:09 +0000

Sandra:

El documento en el cual se basa este post es un trabajo académico el cual no puede ser utilizado como evidencia (o prueba) en un caso judicial de fraude electrónico en particular. Para ello existen metodologías de informática forense que permiten recolectar evidencia digital para poder probar frente a la justicia que el fraude no fue realizado debido a la negligencia del cliente.

En general, el documento explica una falla teórica la cual no se ha probado que se esté aprovechando actualmente para realizar fraude por lo que, de nuevo, no se puede hacer parte de un caso jurídico específico contra una institución financiera.

Espero haber solucionado tu inquietud.

Saludos,

- Carlos A. Castillo L.

By: Sandra

Sandra — Fri, 08 Oct 2010 14:13:33 +0000

Estimado Carlos:

Antes que nada muchas gracias por su respuesta.

Me gustaría saber a que país se refiere el Sr. Juan Felipe ya que yo tengo un problema de fraude con mis tarjetas en México, Distrito Federal con Banca Santander por mas de 1000 usd. No es la primera vez q me sucede sinembargo el banco no reconoce como valido mi reclamo y me exige liquidar la deuda no contraída por mi.
Estoy buscando informacion calificada para presentar como prueba ante un juicio penal contra el banco.

Cualquier información o ayuda será sumamente agradecida.

Reciba un cordial saludo

By: Carlos Castillo

Carlos Castillo — Fri, 08 Oct 2010 04:28:46 +0000

Sandra:

En el mismo post se encuentra el link, sin embargo, en este comentario lo vuelvo a colocar: http://www.cl.cam.ac.uk/research/security/banking/nopin/oakland10chipbroken.pdf

Con respecto a la segunda pregunta, según los investigadores de Cambridge, el fallo se encuentra en el mismo protocolo EMV.

Como puedes ver en el comentario anterior de Juan Felipe, el afirma que el fallo es efectivo dependiendo del país, sin embargo, no pudo explicar técnicamente cuáles son las diferencias. Por lo que yo conozco, el estándar es uno solo y esto es debido a que se diseñó para implementar interoperabilidad a nivel mundial.

Espero haber solucionado tu inquietud.

- Carlos A. Castillo L.

By: Sandra Barron

Sandra Barron — Thu, 07 Oct 2010 20:27:28 +0000

Estimado Carlos:

Como puedo tener acceso al documento original publicado por la Universidad de Cambridge o donde puedo solicitar esta inofrmación?

Este estudio puede ser viable para los Bancos en la ciudad de México en la actualidad?

Mucho le agradecería toda la inofrmación que me pueda proporcionar al respecto.

Atentamente,

Sandra Barron

By: Dispositivo USB para banca en línea | Carlos A. Castillo L.

Dispositivo USB para banca en línea | Carlos A. Castillo L. — Wed, 02 Jun 2010 02:42:03 +0000

[...] ZTIC es un lector de tarjetas inteligentes (lo que se conoce como tarjetas chip en Colombia) que se conecta al puerto USB desde donde se va a realizar la transacción [...]

By: Carlos Castillo

Carlos Castillo — Wed, 02 Jun 2010 00:57:24 +0000

Felipe: Enfocándonos en Colombia y a nivel muy técnico me gustaría que especificara lo siguiente: ¿Para cúal implementación específicamente este gap no aplica? ¿Cuáles son los elementos técnicos que se deben tener en cuenta para que este fallo no impacte las tarjetas crédito y débito que se están implementando en Colombia? Lo pregunto porque en la Circular 052 de 2007 expedida por la Superintendencia Financiera de Colombia, en el numeral 4.5.2 se exige cumplir con el estándar EMV (Europay, MasterCard y Visa). Si este estándar tiene alguna falla y usted conoce técnicamente la forma de implementar el mecanismo de autenticación para que no se pueda realizar este ataque man-in-the-middle, me parece importante compartirlo con las demás entidades financieras con el fin de proteger a sus clientes y al sistema financiero en general.

By: Juan Felipe

Juan Felipe — Thu, 27 May 2010 19:45:15 +0000

Hola Carlos, he encontrado algunos elementos discutibles en su análisis del estudio de la Universidad de Cambridge y la implementación del estándar EMV en nuestro país. Si bien es cierto que el estudio expone un “gap” de seguridad en la autenticación de algunas tarjetas y transacciones EMV, este no puede generalizarse en todas las implementaciones de EMV que se están dando en los diferentes mercados del mundo, porque los mecanismos de autenticación pueden variar de un país a otro, pueden variar según el banco e incluso variar según el tipo de tarjeta EMV a utilizar.Particularmente en nuestro país por las implementaciones que he podido revisar, este “gap” no aplica tal como lo exponen los investigadores de Cambridge.