Seguridad en Medios de Pago - unizar.esciberconta.unizar.es/postgrados/Medios-de-pago.pdf ·...

Seguridad Web + Medios de Pago

1

Medios de Pago y Fraude en Internet

Pedro Sanz ([email protected])Departamento de Informática e Ingeniería de

Sistemas

mailto:[email protected]


2

Medios de Pago Clásicos

Contrarreembolso

Transferencia bancaria/Ingreso en cuenta

Con tarjeta, a través de la tienda

Con tarjeta, mediante pasarela de pago TPV

PayPal

Western Union y MoneyGram

BitCoins


3

Medios de Pago Clásicos

Fuente: Estudio B2C ONTSI Nov-2017 https://bit.ly/2A2myde

https://bit.ly/2A2myde


4

Contrarreembolso

Ventajas:

• Es un medio conocido por el cliente

• El cliente no necesita tener una tarjeta de crédito

• Ofrece confianza al cliente hasta que no le llega el producto no va a pagar.


5

Contrarreembolso

Desventajas:

• Altas comisiones (2016) Correos: 2.75% - 6%

Mínimo 1,75 € – 7,50 €http://bit.ly/2nlSRun

SEUR: 5% valor pedido, con 3.47 € mínimo y 83.44 € máx

• Te ingresan el dinero al cabo de un tiempo ~ 1 semana

• El cliente no puede abrir el paquete hasta que paga Detalle poco conocido

http://bit.ly/2nlSRun


6

Transferencia bancaria/Ingreso

Al cliente se le da un nº de cuenta y realiza el ingreso/transferencia correspondiente por valor del producto comprado que le indicamos en la tienda.


7


Ventajas:

• Sistema sencillo de implementar

• Inmediato


8


Desventajas:

• El cliente tiene complicado el recuperar el dinero en caso de fraude

• Requiere coordinación entre nuestro sistema de ventas y de banca online, para saber cuando un cliente ha pagado

• Cada banco/caja tiene sus propias comisiones para transferencias entre ellas Algunas son elevadas y es habitual que a los clientes extranjeros se les “olvide” pagarlas


9

Pago con tarjeta a través del vendedor

Se comunica los datos de la tarjeta al comerciante, y este realiza el cobro

Seguridad No podemos permitir que nos roben los nº de tarjeta de nuestros clientes VIP


10


Ventajas:

• Sistema sencillo de implementar en muchos casos es casi manual

• Pago en 1-2 días


11


Desventajas:

• La seguridad de los datos de la tarjeta es responsabilidad de la tienda Siempre deben ir cifrados VIP

• El comerciante tiene los datos de las tarjetas de los clientes

• Comisión ~ 2% ( es la misma que en tiendas físicas )

• En caso de fraude, por norma general, el vendedor asume la pérdida.


12


Recomendación: No guardar el nº de la tarjeta de crédito

Mejora: Pago mediante pasarela de pago bancaria


13

Pasarela de pago

También conocidas como Terminal de Punto de Venta virtual o TPV.

Más complejo que el anterior, pero con más ventajas


14

Pasarela de pago


15

Pasarela de pago

Funcionamiento:

1. El cliente realiza la orden de compra

2. El comerciante redirige la orden hacia el banco, añadiendo el importe correcto

3. El cliente introduce los datos de su tarjeta


16

Pasarela de pago

4. El banco valida la compra, y se lo comunica a cliente y comerciante

5. El comerciante da por realizado el cobro y envía la mercancía


17

Pasarela de pago

Ventajas para el cliente:

• El pago se realiza directamente contra el banco (el comerciante no tiene los datos de la tarjeta)

• El comerciante tiene que tener una cuenta bancaria Evita fraudes Es típico, los intentos de estafadores de abrir cuentas con DNIs falsos.

• El nº de la tarjeta viaja cifrado en una conexión segura.

• El banco no sabe lo que se ha comprado (el comerciante solo manda un importe)


18

Pasarela de pago

Ventajas para el comerciante:• El cobro se realiza de forma automática

• El banco verifica la tarjeta Comprobación de validez y saldo

• Tiene el respaldo de imagen del banco mayor confianza por parte de los clientes

• La seguridad del pago corre por cuenta de la entidad bancaria


19

Pasarela de pago

Desventajas: • Las comisiones 1.5% - 2%

• En caso de fraude, por norma general, el vendedor asume la pérdida.

• Más complejo de montar técnicamente Las aplis de eCommerce ya suelen tener módulos

• Burocracia del banco 2 semanas – 3 meses

Actualmente, la alternativa de pago más usada


20

Pasarela de pago

Ej. Caja Madrid

• Alta = 0 €

• Cuota mensual:5 € , Si facturación < 1000 €

2 € , Si facturación > 1000 €

• Descuento comercial = 1.5%


21

Paypal

¿Qué es Paypal?

• Antiguamente, el medio de pago de eBay Ya no, se han dividido.

• Espectacular crecimiento desde el 2014 introdujo pago con tarjeta sin registro


22

PaypalVentajas:• Inmediato

• El comerciante no conoce los datos bancarios del cliente

• Protección adicional del cliente contra fraude, para ciertos vendedores.

• Rápido de poner en marcha.

• Ahora, se puede pagar con tarjeta de crédito a través de PayPal sin hacerse cuenta


23

PaypalDesventajas:• Es un intermediario bancario, con los problemas

que conlleva.

• El seguro contra fraude NO sirve para transacciones “entre amigos”

• Comisiones (2018):• 0 – 2500 € al mes 3,4 % + 0.35 €• 2500-10.000 € al mes 2.9 % + 0.35 €• 10.000 – 50.000 € al mes 2.7 % + 0.35 €• 50.000 – 100.000 € al mes 2,4 % + 0.35 €

• + info http://bit.ly/1szwhzy

http://bit.ly/1szwhzy


24


Empresa especializada en transacciones internacionales.

Clásica para el envío de remesas de inmigrantes a sus países de origen


25


Ventajas:

• El vendedor recibe el dinero de la compra

Desventajas:

• Seguimiento casi imposible del destino del dinero

• En caso de fraude, el cliente no tiene a donde recurrir.

• Usada típicamente en fraudes MUY mala imagen si es el único medio de pago

• Comisiones muy elevadas para el cliente ~ 3% – 20%Tabla de Tarifas W.U. : http://bit.ly/1te7tP6

http://bit.ly/1te7tP6


26

BitCoins

Versión rápida: Como compartir un fichero con un gran libro de cuentas por bitTorrent , a la que podemos ir añadiendo “páginas”

La validación y mantenimiento de esas páginas, la realizan unos usuarios llamados mineros.


27

BitCoins


28

BitCoins

BlockChain:• No sólo tienen que ser transacciones, pueden ser

“contratos inteligentes”

• Idea: Eliminar intermediarios (y la confianza en él) Sirve para crear aplicaciones descentralizadas El más conocido “Etherium”

• Otros usos: ICO Como acciones de la empresa Utility Tokens Pulseras prepago DisneyWorld

• De momento ~ física cuántica


29

BitCoins

Ventajas:• No dependiente de los gobiernos Confianza

distribuida

• Límite de emisión Aumento decreciente Puede incentivar la acumulación

• Gestión descentralizada y sin intermediarios Envíos al instante


30

BitCoins

Desventajas:

• Elevada fluctuación http://bit.ly/1IAeP4x

• Tipo de cambio elevado Mejor sitio, en un cajero en Madrid http://bit.ly/1vPS1oH

• Anónima usada típicamente en fraudes o delitos Aunque las transacciones son transparentes

• La salvaguarda de los monederos virtuales corresponde a los usuarios Robos

http://bit.ly/1IAeP4x

http://bit.ly/1vPS1oH


31

¿ Y la compra por el móvil ?

La seguridad es lo que más frena su despegue

Si pierdes/te roban el móvil…

En todo caso, bajando


32

Fraude en Internet

Estudio 2012 de adigital.es sobre comercio electrónico B2C 0.5% del total de compradores fraude

El anonimato por Internet facilita en cierta medida el fraude online

Nota: Recordar que en el mundo real también existe el fraude.


33

Fraude en Internet

Proceso clásico de fraude con una tarjeta robada: 1. Se compra un bien, y se asigna a una dirección temporal

2. Se recoge el bien … y se sale por piernas. Es típico que el estafador se interese por cuál es nuestra empresa de paquetería e intente ponerse en contacto con ella, para acordar otra dirección

3. El estafado se da cuenta del cargo (¿o no?), y reclama al banco la devolución del dinero (generalmente tiene 15 días para hacerlo automáticamente)

4. El banco devuelve el dinero al cliente, quitándoselo al comercio Damnificado el vendedor


34

Fraude en Internet

Más casos típicos

• “A mi no me ha llegado nada” Es preciso guardar todos los resguardos de la empresa de transporte

• Usar tarjetas robadas de otros países Más difícil comprobación Podemos pedir a nuestro banco/caja que no las permita


35

Solución “definitiva”

El denominado “Pago seguro” o pago 3-D

Se solicita el PIN u otro elemento al comprador

Responsabilidad pago, recae sobre el cliente

Solución para el vendedorVIP 25% menos de clientes finales (la gente no lo suele tener activado)


36


Problemas:

• Si no se tiene el PIN Secretarias

• Debería tener menos comisiones, pero en la práctica son iguales.

• No inspira confianza al cliente Antes sabía que en 15 días podía echar para atrás la operación

• Algunos bancos te obligan a 3D Grave problema


37


Problemas:

•No protege contra fraude con tarjetas internacionales robadas Problemón con EEUU y Canadá NIF español, nombres extranjeros, tarjeta EEUU Fraude

seguro Si se hace todo bien, responsabilidad del banco Seguro

VISA

•No permite guardar la tarjeta Viajes, hoteles…

•Los clientes desconfían del mensaje de “introduzca su PIN”

Choca con la filosofía Anti-pishing Visa en su web oficial pone:

“No le facilite a nadie su PIN”

Fuente: http://visa.es/utilicesuvisa/reglasbasicas/main.jsp


38


Ej. Pago Seguro Ibercaja


39

Recomendaciones

Llevar un especial cuidado con:

• Países considerados como “alto riesgo” como:

• Nigeria• Indonesia• Rusia• China

• Los cambios de domicilio del comprador

• Las transacciones internacionales

• Tarjetas de crédito extranjeras


@@

SCAM

@

SCAM

@

SCAM

@

SCAM

USUARIOCONTRASEÑA

BANCO

BANCO

Troyano keylogger

Hacking

PhishingUSURPACIÓN

DE IDENTIDAD


Cuenta de la

víctima

2ª MULA5-10%

Cuenta del

MULA

1ª MULA5-10%

50%

50%

http://images.google.es/imgres?imgurl=bookietime.com/help/images/bank/logo-western-union.gif&imgrefurl=http://bookietime.com/cashier.htm&h=48&w=150&sz=1&tbnid=NHs5yDml4TkJ:&tbnh=28&tbnw=87&prev=/images%3Fq%3Dlogo%2Bwestern%2Bunion%26start%3D20%26hl%3Des%26lr%3D%26ie%3DUTF-8%26oe%3DUTF-8%26sa%3DN

http://images.google.es/imgres?imgurl=bookietime.com/help/images/bank/logo-western-union.gif&imgrefurl=http://bookietime.com/cashier.htm&h=48&w=150&sz=1&tbnid=NHs5yDml4TkJ:&tbnh=28&tbnw=87&prev=/images%3Fq%3Dlogo%2Bwestern%2Bunion%26start%3D20%26hl%3Des%26lr%3D%26ie%3DUTF-8%26oe%3DUTF-8%26sa%3DN


42

Conclusiones

En general, tratar de ofrecer una imagen de seguridad que de confianza a nuestros clientes

Hay que elegir bien el medio de pago el más utilizado es la pasarela de pago

Las conexiones seguras son fundamentales para una tienda

El principal perjudicado en caso de fraude es el vendedor y hay que tenerlo en cuenta en nuestros costes ~ mundo real


43

Recursos adicionales

Guardia Civil - Grupo de Delitos Telemáticoshttp://gdt.guardiacivil.es Ahora con eGarante Ejemplo práctico

Tutorial sobre seguridad de PayPalhttp://bit.ly/muJU99

http://gdt.guardiacivil.es/

http://bit.ly/muJU99


44

Dudas, ruegos y preguntas

¿?

Preguntas


45

¡ A cervecear !

Pedro Sanz – [email protected]

Seguridad en Medios de Pago - unizar.esciberconta.unizar.es/postgrados/Medios-de-pago.pdf ·...

Documents

Transcript of Seguridad en Medios de Pago - unizar.esciberconta.unizar.es/postgrados/Medios-de-pago.pdf ·...