Pagos en Internet: Panorama, riesgos y recomendaciones

1
Pagos en InternetPanorama, riesgos y
recomendaciones
Madrid, noviembre 2005 MANUEL GALLO Director
of Sales and Business Development
2
Agenda

• El uso de Internet y el Comercio Electrónico
• Riesgos
• Cómo funcionan los pagos por Internet.- pasado,
  presente y futuro
• Amenazas y soluciones
• Recomendaciones finales
• Datos estadísticos
• Quién es VeriSign

3
Internet sigue creciendo a pesar del fraude

• Crecimiento de sitios web
• 30 anual
• Consultas diarias de Sello de Sitio Seguro
• 24 millones
• Consultas diarias al DNS VeriSign
• 18.000 millones
• Incremento de transacciones eCommerce
• 29 anual
• Incremento de valor medio de transacción
• 9

4
El riesgo forma parte del entorno

• Tráfico rodado, cajeros automáticos, actividades
  deportivas
• Hay riesgo en toda actividad
• No por eso se abandona la actividad
• Se toman medidas para reducir y controlar el
  riesgo
• Los percibidos como más seguros son los que
  ganan
• El riesgo existe en diferentes formas
• Fraude
• Robo de Identidad
• Amenazas
• Como en todo negocio, el dinero
• atrae las posibilidades de fraude

5
Los riesgos se encuentran a muchos niveles
ROBO DE IDENTIDAD, CREDENCIALES NO SEGURAS
VIRUS, TROYANOS, KEY-LOGGERS
CAPTURA DE INFORMACIÓN
Internet
VULNERABILIDADES y USUARPACIÓN DE IDENTIDAD
ATAQUES Y VULNERABILIDADES
6
En los pagos, hay riesgos de seguridad y riesgos
de negocio

• Los riesgos de seguridad
• Afectan a cualquier tipo de transacción por
  Internet
• Recientemente afectan también a otros medios
• Todos los actores deben asumir parte de la
  solución, que no es única
• Comercios, bancos, usuarios, proveedores de
  servicios
• Los riesgos de negocio
• Más referidos al fraude y la picaresca
• Atacan a la Garantía de cobro, a la imagen de
  la empresa y a la fidelidad de los clientes

7
Los pagos por Internet

• España no es el rayo veloz de la adopción del
  Comercio Electrónico
• Otros países disponen de la herencia de la
  venta por catálogo

• Se utilizan diferentes medios de pago
• Tarjeta de Crédito
• Transferencia Bancaria (on-line u off-line)
• Pago contra reembolso
• Tarjetas virtuales de prepago
• Domiciliación bancaria (más B2B)
• La Tarjeta de Crédito resulta el más popular y
  aparentemente cómodo de los mecanismos
• A cambio de una comisión, se transfiere al banco
  la mayoría de la responsabilidad y gestión

8
Cómo funcionan los pagos por Internet
Banco del Comercio

• Pago de Comisión

- Permite aceptar Pagos por Internet
Comercio
Pasarela de Pagos
Internet - SSL
- Puede ser independiente, del mismo banco del
Comercio, o de una Red de Pagos (Servired, 4B,
6000) - Gestiona la operación y confirma la
validez de la transacción
PAGO
Internet - SSL
Comprador
Banco del Comprador

• - Emite la tarjeta
• Autoriza la transacción
• Realiza el pago

9
Los pagos en el pasado
- El cliente entrega su número de tarjeta al
comercio

• El comercio entrega el número de tarjeta y los
  datos de la transacción al Banco o Procesador de
  Pagos
• El Banco confirma que la tarjeta es válida y
  tiene crédito.

• El comercio acepta la transacción y envía el
  producto adquirido al cliente

• NO EXISTE FIRMA DEL CLIENTE
• NO HAY VERIFICACIÓN DE LA IDENTIDAD DEL CLIENTE
• LA TRANSACCIÓN PUEDE SER RECHAZADA (REPUDIADA) UN
  MES DESPUÉS
• EL POSIBLE FRAUDE ES ASUMIDO POR EL COMERCIO !!

10
Los pagos en la actualidad

• El cliente entrega su número de tarjeta al
  comercio
• El cliente proporciona el CCV ó CIP

• El comercio entrega el número de tarjeta, CCV ó
  CIP y los datos de la transacción al Banco
• El Banco confirma que la tarjeta es válida, tiene
  crédito y el CCV o el CIP es correcto

• El comercio acepta la transacción y envía el
  producto adquirido al cliente

• SI SE PROPORCIONA EL CCV NO EXISTE FIRMA O
  VERIFICACIÓN DE IDENTIDAD DEL CLIENTE (EL CCV
  ESTÁ IMPRESO EN LA TARJETA)
• SI SE PROPORCIONA EL CIP, ES UN PIN PARA
  INTERNET, Y SIRVE COMO VERIFICACIÓN DE LA
  IDENTIDAD DEL CLIENTE
• - EL POSIBLE FRAUDE NO ES ASUMIDO POR EL
  COMERCIO si hay CIP !!

11
Verified by VISA, MasterCard SecureCode y el CIP

• En qué consiste (tecnología a parte)
• Los usuarios solicitan un CIP o Código de
  Identificación Personal al banco emisor de su
  tarjeta.
• Este código es similar al PIN de los cajeros
  (de mayor longitud) pero para su uso sólo en
  Internet.
• La tarjeta queda registrada como segura
• El posible fraude NO ES ASUMIDO POR EL COMERCIO

• Inconvenientes
• Pocos usuarios solicitan el CIP, lo cual supone
  rechazar muchas transacciones
• En ocasiones, si no hay CIP, el banco pide el
  PIN del cajero para no rechazar transacciones,
  y muchos usuarios se niegan a proporcionarlo por
  Internet

• Ventajas
• El comercio no asume riesgo
• Sigue el principio de seguridad de proporcionar
  algo que tengo (tarjeta) y algo que sólo yo
  conozco (CIP).

CIP
12
Otros sistemas de verificación de identidad y
aprobación de transacciones

• Autenticación Fuerte o de dos factores
• Importantes iniciativas en sector financiero y de
  Comercio Electrónico
• US Bank, Bank of America, PayPal, eBay, bancos
  europeos
• Obligatorio para banca electrónica en ciertos
  países (EEUU, Mejico, Korea y creciendo)
• Extremadamente eficaz en todo tipo de entornos
  (B2B, B2C)
• Independiente del sistema de pagos o transacción
  a realizar
• Sin necesidad de instalar software o hardware en
  el ordenador del cliente
• Se puede utilizar desde cualquier ordenador
• Principal Tecnología Claves de un solo Uso (OTP)
• Un pequeño dispositivo, personal, genera claves
  que sólo se pueden usar una vez.
• ESTE SISTEMA ES APROVECHABLE EN COMERCIO
  ELECTRÓNICO !!

13
Diferentes Dispositivos, un único sistema
PKI-USB Token
Token OTP
Token Multifunción
Smart Card
VeriSign Unified Authentication
Token con almacenamiento
Teléfono móvil
Token en software
Basado en estándares abiertos (OATH)
14
Cómo funciona

• El Comercio pide al banco un Token OTP para el
  cliente

• El banco entrega un Token al cliente, y registra
  a ese cliente y su número de serie del Token

• El cliente puede realizar transacciones,
  identificándose con su nombre de usuario, su
  clave de acceso, su tarjeta de crédito Y LA
  CLAVE DE UN SOLO USO GENERADA POR EL TOKEN.
• El cliente puede comprar en diferentes comercios,
  realizar Banca Online o Banca Telefónica segura
• No importa que revele por Internet o por Teléfono
  su clave, pues la clave cambia cada vez que se
  utiliza.

LOS BANCOS ESPAÑOLES EMPIEZAN A UTILIZAR ESTE
SISTEMA PARA BANCA A DISTANCIA
15
El caso eBay (u otros portales)

• Los usuarios de identifican ante los diferentes
  comercios del Portal, mediate el Token
• Los usuarios validan sus transacciones mediante
  el Token
• Los usuarios autorizan los pagos mediante el
  Token
• Los comercios validan las claves de los Token
  con eBay

• PayPal / eBay suministra Tokens a 1 millón de
  usuarios.

16
Amenazas y soluciones

• Usurpación de Identidad de un Web
• Alguien copia nuestro sitio web, de modo que
  los clientes pueden pensar que están comprando a
  nuestra empresa, y en realidad es un fraude.
• SOLUCIÓN Certificado SSL de Servidor Seguro
• Garantiza a nuestros clientes la identidad de
  nuestro sitio web
• Robo de información capturada en Internet durante
  la transmisión
• Alguien captura la conversación entre nuestro
  servidor y el ordenador del cliente, y puede
  copiar toda la información (número de tarjeta de
  crédito, CIP, códigos de acceso u otros códigos).
• SOLUCIÓN Certificado SSL de Servidor Seguro
• Garantiza que el tráfico entre nuestro sitio y el
  cliente está encriptado

17
Amenazas y soluciones (II)

• Phishing/Pharming
• Muy extendido en la banca y comenzando en sitios
  de Comercio Electrónico, especialmente en sitios
  de subastas.
• Alguien envía un correo electrónico simulando ser
  de nuestra empresa, y pidiendo a los clientes que
  confirmen sus claves de acceso y otras
  informaciones personales.
• SOLUCIÓN Educación a los clientes por parte de
  todos los actores, sistemas de detección de
  phishing, servicios de respuesta a incidentes
  de phishing, implantación de Certificados SSL de
  Servidor Seguro, Tokens de Claves de un solo uso.
• Virus Troyanos y Key Loggers
• Capturan todo lo que un cliente teclea y obtiene
  en la pantalla de su ordenador, enviándolo por
  Internet a los ladrones. El cliente no se
  entera de nada. Le son robadas las claves
• SOLUCIÓN ejecutar detector de virus troyanos o
  key-loggers en el ordenador del cliente cuando
  accede (caso Bankinter). Implantación de Tokens
  de Claves de un solo uso.

18
Amenazas y soluciones (III)

• Uso de tarjetas de crédito robadas o fraudulentas
• Hay organizaciones que se dedican a traficar
  con información de tarjetas de crédito robadas.
• SOLUCIÓN Los bancos ya disponen de listas
  negras que se comprueban de modo automático
  cuando un comercio recibe un número de tarjeta
  fraudulenta. También disponen de sistemas de
  screening o rastreo de posibles fraudes, y
  rechazarán las operaciones sospechosas. También
  contratan servicios de rastreo de Internet en
  busca de tarjetas comprometidas. El Banco ofrece
  estos servicios como parte del Servicio de
  Pasarela de Pagos.
• Operaciones repudiadas o rechazadas
• Siempre existe el riesgo de que, si no se
  comprueba la identidad del cliente o no se puede
  demostrar que es el cliente quien realizó una
  transacción, la operación sea repudiada.
• SOLUCIÓN Utilizar sistemas en los que sea el
  banco quien asuma el posible fraude, asumiendo el
  comercio los posibles inconvenientes.
  Utilización de sistemas de autenticación fuerte,
  como los Tokens de Claves de un solo uso.

19
Recomendaciones finales

• Prestar atención a lo que no es el pago
• Certificado SSL de Servidor Seguro
• Servidores siempre con los últimos parches
• Escaneos periódicos de vulnerabilidades del
  servidor Internet
• Recomendaciones a clientes acerca de su seguridad
• Implantar detectores de virus, troyanos y
  key-loggers
• En el pago
• Contar con un servicio de TPV Virtual de un banco
  o procesador de pagos, que cuente con medidas de
  seguridad (Verified by Visa, MasterCard
  SecureCode) y que asuma posible fraude
• Medir muy cuidadosamente el balance entre
  seguridad y pérdida de negocio por pérdida de
  transacciones
• Considerar modelos especiales de pagos con
  clientes habituales

20
Crecimiento del Comercio Electrónico
21
Transacciones Fraudulentas
Principales países productores de fraude en
Comercio Electrónico, por volumen total en 2004
Origen del total del transacciones
fraudulentas realizadas en la primera mitad de
2005, por porcentajes sobre el total mundial
Países en los que un mayor porcentaje del
total de sus transacciones resultaron
fraudulentas en 2004
22
Revisión Automática y Manual de transacciones
23
Destino de la información obtenida por Phishing
- En España el Servicio Antiphishing de VeriSign
ha resuelto, entre marzo y octubre de 2005 (8
meses) casi de 500 casos diferentes de Phishing
contra entidades financieras españolas - VeriSign
hace este servicio para 62 entidades en España
24
Percepción de la necesidad de seguridad
Los comercios perciben un pequeño incremento de
necesidad de seguridad
y sin embargo, los clientes, han incrementado
sus comprobaciones de seguridad sobre los
sitios web de 9 millones diarios en diciembre de
2004 a 24 millones diarios en octubre de 2005.
25
Quién es VeriSign
Número 1 mundial en Seguridad e Inteligencia en
Internet - 90 del mercado de Certificados SSL
de Servidor Seguro - Principal suministrador
mundial de certificados para Firma
Electrónica - Principal suministrador mundial
de Servicios de Seguridad Gestionada - Operado
r de la Root A de Internet, y del registro de
dominios .COM y .NET en todo el
mundo - Operador de la red mundial
ATLAS - Operador de la mayor Pasarela de Pagos
de EEUU, con 150,000 comercios Internet
operando sus pagos a través de VeriSign - Líder
mundial en servicios de Autenticación Fuerte y
OTP - Líder mundial en suministro de Contenidos
para dispositivos móviles (Jamba!) -