seguritecnia 433

II Encuentro profesional de la Seguridad en la Distribución y Centros Comerciales SEGURITECNIA Julio-Agosto 2016 97 este sentido, incidió en la existencia de normativa específica: la Directiva de Servicios de Pago, UE 2015/2366, y el es- tándar PCI de seguridad de las marcas de tarjetas relativo a la protección de la información. En cuanto a la directiva, explicó que ésta duplica las medidas de autentifi- cación de los clientes para dar garan- tías de pago, aunque considera que “este proceso provoca una elevada tasa de abandono del usuario por lo tedioso que es”. Por ello propone que se hagan perfiles de riesgo y sólo se refuercen las medidas de seguridad para los clientes que hacen una primera compra. En lo que respecta al estándar PCI, ex- puso que con él se pretende dar seguri- dad en toda la cadena de pago; no so- lamente a las actividades financieras, sino también a fabricantes, comercios y proveedores de servicio. En algunos ca- sos, el estándar obliga a realizar audito- rías presenciales por parte de empresas homologadas y, en caso de sospecha de fuga de datos, exige realizar un fo- rense con empresas certificadas. No obstante, García sostuvo que los comercios que no quieran pasar por todas estas medidas de seguridad dis- ponen de otras vías. “Por ejemplo, a la hora de vender online , si los estableci- mientos no almacenan el número de tarjeta en sus servidores ya no tienen que pasar por todos estos procesos de seguridad”. Y añadió que “hay un aba- nico de soluciones que también pro- porcionan las entidades financieras para que estos procesos sean más simples”. Colaboración Precisamente por la envergadura de este tipo de delitos, colaborar con las Fuerzas y Cuerpos de Seguridad y las unidades especializadas en los delitos tecnológicos del Cuerpo Nacional de Policía (CNP) y de la Guardia Civil es otra medida importante. Primero Francisco Javier Rodrí- guez , miembro de la Unidad de Investigación Tecnológica del CNP, explicó de qué manera afecta el fraude online al entorno empresarial. “Cuando hablamos de delincuencia económica y de ciberdelincuencia en el ámbito empresarial nos referimos al crimen organizado”. El experto policial indicó que la actividad delictiva que afecta a las empresas está protagonizada por organizaciones criminales que hasta hace unos años se dedicaban al tráfico de armas, de droga y de personas, etc. Según dijo, los malos contemplaban antes Internet como un elemento más para la comisión del delito y ahora lo perciben como un campo de trabajo en el cual pueden obtener importantes beneficios económicos. Sobre los tipos de fraude en Internet que afectan más a este sector del comerció, enumeró los siguientes: compra de productos y servicios con números de tarjetas válidos (carding), subastas online y ventas ficticias, las transferencias electrónicas fraudulentas que engloban al phishing , pharming y a los programas malicios… Rodríguez resaltó que el cibercrimen se carac teriza por la utilización de escalones intermedios para la distribución de tareas delictivas y de infraestructuras para recoger el dinero y enviarlo por circuitos de difícil control. Sobre esto señaló que “es en esta área donde la información del usuario cobra un especial valor en Internet, ya que este tipo de documentación se compra, se vende y se comercializa”, sentenció el representante del CNP. Por su parte, Alberto Redondo , jefe del Grupo de Delitos Tecnológi- cos de la Unidad Técnica de Poli- cía Judicial de la Guardia Civil, trató el fraude en los medios de pago, explicó el modelo de las organizaciones criminales que actúan en este campo e identificó los riesgos más comunes. “La implantación de este tipo de delitos está en auge y detrás de ello hay auténticas organizaciones criminales cuya principal característica es que son entramados complejos que cuentan con un grado de especialización y tecnología puntera”. Entre los objetivos que persiguen es- tas organizaciones, Redondo identi- ficó que pueden dividirse en dos ver- tientes: “la primera son los datos, origi- nados a través de los medios de pago y que las empresas tienen alojados en sus distintos servidores. La segunda es el empleo de esos datos de pago que se han usurpado a terceras personas para entrar en sus distintos portales de e-commerce” . Para luchar contra todo esto, la base de seguridad se debe asentar en cuatro principios: el de la “colaboración con el sector privado y las víctimas que sufren estos ataques; un marco legal fuerte y homogéneo; autenticaciones robustas en plataformas y pasarelas; y el aban- dono de la banda magnética: geoblo- queo-EMV”. S Andrés García (Cecabank). Alberto Redondo (Guardia Civil).