Archivo de la categoría: Empresas

The Inquirer: las tarjetas de pago con RFID no cumplen las normas básicas de seguridad

http://es.theinquirer.net/2006/10/24/rfid_en_tarjetas_de_credito_po_1.html

Leo en un número de enero de The Inquirer que, según un reportaje del NYTimes, las compañías que emiten tarjetas de pago con RFID (chip que se puede leer sin contacto y a distancia) no cumplen las normas básicas de seguridad. Según estas empresas, las tarjetas deberían incluir cifrado de al menos 128 bits pero aceptan que esta norma raramente se cumple. El motivo es el coste: a más cifrado, más cara es la tarjeta, y para que les salgan rentables, han de salir más baratas o al menos no más caras que tarjetas que integren la archiconocida y ultrabarata banda magnética. El resultado es que una lectura a distancia indeseada puede desembocar en un clonado de tu tarjeta (y consecuente vaciado de tu cuenta corriente).

La confederación española de cajas de ahorros junto con MasterCard están preparando una tarjeta 6000 de débito que será a la vez una PayPass, es decir, que incorpora chip RFID.

Hay que decir que no a estas tarjetas, los experimentos con gaseosa, y no con TUS AHORROS, con TU DINERO. Por supuesto, que si ya te han enchufado una… siempre nos quedarán las carteras protectoras de RFID (http://www.proteccionrfid.com) que aquí publicitamos en el lado derecho del blog.

Mi primera tarjeta RFID


El programa de alquiler de bicis en Barcelona, el maravilloso bicing, tiene para mí un fallo colosal: se sirve de RFID para controlar las entregas y recogidas de las bicicletas, y encima la tarjeta de usuario lleva también RFID.

Así que ahora no salgo de casa sin mi cartera billetera con jaula de Faraday, que evita las lecturas indeseables de la tarjeta, y tengo experiencia diaria de que funciona, ¡vaya que si funciona! porque si no abro la cartera junto al lector, pues no se efectúa la lectura.

Aunque lo verdaderamente importante de la experiencia es que esas ventajas tan increíbles que nos intentan vender los defensores del RFID en la práctica no aplican. A mí me parece alucinante que todo el mundo, sin excepción, que he visto sacar una bici antes que yo, saca la tarjeta de su tarjetero y la pega, físicamente, al lector. Así que ni facilidad de uso, ni ahorro de tiempo, ni narices. Tardan lo mismo que si usaran una tarjeta convencional con banda magnética, pero eso sí, llevan la tarjeta expuesta a una lectura no deseada, que alguien se clone tu tarjeta bicing (que no requiere ningún tipo de contraseña para utilizarse) y monte un negocio de venta de bicis «guays» a tu costa. Porque hay que recordar no devolver una bici de éstas en 24 horas supone un «palo» de 150 euros, cobrados directamente a la tarjeta de crédito que utilizaste en el momento de darte de alta en el servicio.

A partir de ahora esto va a ser una avalancha de plástico RFID, y si no, recuerden este comentario.

La relación entre empresarios y políticos puede ser peligrosa

El viernes saltando de blog a blog me encontré con una noticia de octubre del 2006 que me ha llamado muchísimo la atención. En otro ejercicio de demagogia y palabrería barata, a Rosa García, presidenta de Microsoft Ibérica, no se lo ocurrió nada más que decir que…

«la relación entre políticos e internautas puede ser peligrosa.»

Pensé que quizás los internautas suframos de dengue y lo podamos contagiar a los políticos, de ahí la peligrosidad del contacto, pero al leer la entrevista (nota en 20 minutos) vemos que esta maravillosa señora opina que los políticos se pueden confundir y pensar que lo que digamos los internautas tiene relevancia, pero que no la tiene, porque somos un grupo muy determinado de personas con ideas muy intensas y que no necesariamente reflejamos el pensar, o compartimos intereses, con la ciudadanía, y que por eso podemos influir a los políticos sin ser nosotros representantes de la ciudadanía.

Hacía mucho tiempo que no escuchaba una sandez tan grande. Por la misma regla de tres, considero y proclamo a los cuatro vientos que «la relación entre empresarios y políticos puede ser, y es, peligrosa», y no porque los empresarios sean un colectivo muy particular no necesariamente reflejo del sentir de la ciudadanía, sino porque a los empresarios, sobre todo si trabajan para multinacionales, les importa un carajo el interés de la ciudadanía; lo que quieren es engordar la cuenta de resultados de su empresa, y eso sí es una verdad de la buena.

Pero lo preocupante del asunto es que la señora esta no es tan idiota como parece. En realidad es muy lista. Está claro que al poder establecido no le interesa en absoluto que grupos de ciudadanos con un fuerte interés en un tema expresen su opinión o conocimiento sobre el mismo. Como saben de qué hablan, no son manipulables. Al grueso de la ciudadanía, en cambio, se le puede manipular fácilmente sobre un tema concreto, porque el 99% de ellos o no lo conoce, o no le interesa. Pon 4 anuncios en la tele con un mensaje machacón, y les crearás una opinión, luego les enchufas un referéndum y encima se creen que «lo han decidido ellos». Incluso puedes hacerles creer que Vista hace que sus ordenadores funcionen mejor… ¡Wow! Eso sí tiene mérito.

American Express presenta patente para hacer seguimiento de personas por el RFID de su tarjeta de crédito

Leemos en la Newsletter de Caspian que American Express ha presentado una patente que describe un método de hacer seguimiento de personas por un centro comercial mediante lecturas continuas y sin consentimiento del chip RFID de sus tarjetas de crédito.

Si cuando decimos que el RFID debe ser regulado… es por algo.

No quiero insistir… pero hay que proteger tanto los pasaportes, como las tarjetas de crédito que lleven RFID.

MyLifeBits: Toda tu vida equivale a 1,1 Terabytes, y está disponible en la Web

A través del Gadgetoblog llegamos a un interesantísimo artículo de Scientific American que narra la experiencia de un investigador de Microsoft, Gordon Bell, en su empeño por registrar digitalmente todos los aspectos de su vida.

Esta idea no es nueva en absoluto. De hecho, ella es la inspiración tanto del bisabuelo como del abuelo de la World Wide Web (Vannevar Bush y su Memex por un lado, y Ted Nelson y el hipertexto por el otro). Ambos científicos buscaban una manera de recopilar las memorias de una persona y organizarlas de una manera similar a cómo funciona la mente, en especial cómo relaciona ésta los pedacitos de información que son nuestras vivencias. Hasta muy recientemente todo esto eran ideas sin aplicación (con la honrosa excepción de la World Wide Web) debido a imposibilidades técnicas de almacenaje y captura. Pero hoy en día, con el precio del Terabyte rondando los 600 dólares, y con los avances en dispositivos móviles, se acerca la hora de la verdad para este concepto.

Bueno, pues en el 2001 Microsoft lanzó el proyecto MyLifeBits para proporcionar a Gordon Bell las herramientas tecnológicas que le permitieran recoger y utilizar de manera efectiva todo ese marasmo de información. No es poca cosa: Se registran todas sus llamadas telefónicas, de fijo y de móvil. Se registran todos los emails, conversaciones de mensajería instantánea y páginas Web visitadas. Además, gracias a un GPS y una cámara muy inteligente (la SenseCam), se toman fotografías de todas las personas con las que se encuentra Gordon y las etiqueta automáticamente con día, hora, y ubicación exacta. La cámara dispone de sensores de calor que adivinan si se acerca alguien, o si Gordon cambia de estancia, y en ese preciso momento, ¡foto! También se pueden capturar bajo demanda (o sea, hacer una foto como el resto de los mortales solemos hacer). Gordon además va «cableado» y un montón de sensores capturan sus constantes vitales 24 horas al día.

Los retos técnicos para poder utilizar todo esto son muchos: uno de ellos, el marcaje con metadatos de cada uno de los objetos registrados, para hacer al menos posible la búsqueda entre tanta información para los objetos que no son de texto. El reconocimiento facial también, para que no sea pesado etiquetar tanta foto con el nombre de quien aparece en ella. Otro, la transcripción del lenguaje natural para poder buscar dentro de conversaciones habladas. Y finalmente la aplicación de inteligencia artificial para construir un agente inteligente capaz de gestionar toda esta información de manera útil para la persona cuya vida está siendo registrada.

De los retos filosóficos y de profilaxis se habla poco, la verdad. A mí se me ocurren unos cuantos relacionados con la privacidad. Porque cuando algo se digitaliza, intentar que este algo no se distribuya por la red de redes, Internet, es como ponerle puertas al campo, y no hay encriptación suficientemente fuerte o cortafuegos suficientemente alto que lo evite. Los autores dicen que esto en realidad se soluciona con «interfaces de usuario mejoradas». Siendo investigadores de Microsoft me pregunto, ¿acaso van a añadir una ventanita que diga «¿está seguro de que está seguro?», o qué? Hablan un poquito de que a algunas personas no les gustaría que ciertos datos de su vida se utilizasen en su contra en algún proceso legal, y para eso proponen un «offshore data storage account», o sea, «una cuenta de almacenamiento en un paraíso fiscal». Qué mal huele y qué enfoque más chapuzas para un problema de concepto importante, ¿verdad? También se habla de los conflictos de propiedad intelectual en los datos grabados (por ejemplo si grabas lo que te pasa mientras estás en el trabajo. De lo que pasa si te metes con una cámara en el cine no hablan, pero es lo mismo). Para esto proponen un proceso que haga «lobotomías parciales», a lo mejor usando el GPS para saber que en el trabajo (o en el cine) no se tiene que grabar. Solo de oirlo se me pone la piel de gallina. ¿lobotomías parciales? Ojalá y no se enteren en mi trabajo, ¡¡¡igual se les ocurre hacerme «lobotomías parciales» de mi único disco duro integrado, «mi cerebro» cuando acabo la jornada laboral!!!

Cuando comencé a interesarme en esto de la privacidad, allá en el año 2004, ideas locas como estas, que debido al espectacular avance de las TIC se convertían en posibilidad, son las que no me dejaban dormir por la noche y las que me empujaron a hablar y hablar y hablar del tema. Conocer la existencia de estos proyectos, ya avanzados y con una financiación considerable, que tocan tan de refilón el tema de los debates éticos y filosóficos (o cuando los tocan es para banalizarlos), es lo que me empuja ahora a querer dejar de hablar (o solamente de hablar) y pasar, yo también, aunque con muchos menos medios, a la acción.

Responsable de Marketing de Google España: "Para nosotros la privacidad es muy importante"


Esto ha dicho en entrevista a Baquía el responsable de marketing en España de Google:

Para nosotros la privacidad es muy importante, no sólo por las obligaciones legales sino por un escrupuloso respeto que tenemos de esa información. Trabajamos con datos que nos permiten identificar patrones de comportamiento, pero siempre de forma agregada.

A ver si es verdad…

Llegan a España las tarjetas de pago RFID


Rebuscando información para un artículo sobre la implantaciónde un sistema de pago Paypass en los McDonald’s de Monterrey, México, me encuentro de rebote con varias notas de prensa sobre la tarjeta PayPass que MasterCard y la CECA (confederación española de cajas de ahorros), con la ayuda de sus partners tecnológicos Gemplus (fabricante de chips RFID) e Ingénico.

Parece ser que esta tarjeta se podrá utilizar para pequeños pagos. En las notas de prensa indican que el rango de lectura es de 7 cm. ¿Quién no ha ido «ensardinado» en el metro y con todo el cuerpo serrano a menos de esa distancia de los compañeros del vagón? Mala, mala noticia que en nombre de no sé qué beneficio de algunas empresas se permita que traguemos con una tecnología poco probada y que facilita la clonación de tarjetas.

Vía Financial Tech Magazine.
Vía noticias.com.

Carteras RFID: ¡Ya están aquí!




Sí, ya han llegado las carteras/billetera con jaula de Faraday que protegen tus tarjetas RFID de lecturas indeseadas. Cuestan 18 euros.

Si a alguien le interesa alguna, se pueden adquirir en ProteccionRFID. Para más información, os podéis poner en contacto con proteccionrfid@gmail.com.

Yo ya tengo la mía y la verdad es que me encanta. Suficientes huequecitos para la cantidad de tarjetas que acumulamos, espacio con ventanilla para el DNI… y billetera, claro está.

Microsoft: un PC que lee el pensamiento

En el número de otoño del 2006 de la revista de Microsoft Perspectivas han conseguido indignarme pero de verdad. En un artículo titulado Un PC más humano, nos hablan de una de las líneas de investigación más candentes de Microsoft. En sus propias palabras:

«Un ordenador que comprende los estados de ánimo de su usuario y sabe cómo reaccionar ante la frustración o el cansancio. Microsoft Research diseña un nuevo concepto de PC en el que la empatía está incluida en el listado de aplicaciones».

Leemos:

«Los mails se acumulan en la bandeja de entrada, mientras que la lista de tareas pendientes no hace más que aumentar. El cerebro del usuario, centrado en una tarea complicada y absorbente, empieza a acusar el cansancio y necesita un entorno cada vez más silencioso y sereno para llegar a los niveles de concentración idóneos. No hay problema: su PC, como si de un amigo atento y solícito se tratara, comienza a dosificar sus correos electrónicos y sus llamadas hasta que detecta, mediante una interfaz conectada al cerebro de su usuario, que las exigencias de concentración y exclusividad han vuelto a la normalidad

What The Fuck con todas las letras!!!!!!!!!!! ¿En qué estarán pensando? Vamos, ni de coña debemos aceptar que nos conecten el PC al cerebro. ¿Qué va a pasar cuando gracias a lo seguro que son los sistemas de Microsoft, lo hackeen? ¿el troyano de curso va a lograr que el usuario se ponga a bailar la Macarena en contra de su voluntad? Y si el PC es del trabajo, ¿qué? ¿¿¿va a tener Recursos Humanos un análisis detallado de a qué se dedica mi actividad cerebral en horas laborables??? Cuando «ficho» controlan dónde está mi cuerpo en horas de trabajo. Monitorizando mi correo electrónico y tráfico de internet y gracias a los constantes escaneos del disco duro y hasta quién sabe qué extraño keylogger, saben a qué dedico el tiempo mientras uso el ordenador del trabajo. ¿¿NO LES ES SUFICIENTE, QUE AHORA SE QUIEREN METER EN MI CABEZA??