3-D Secure (3DS) qué es y que tienes que hacer en tu tienda online para implementarlo.

Este año se activa la nueva directiva de servicios de pago en la Comunidad Europea, la PSD2 (Segunda Directiva de Servicios de Pago ). Todas las empresas en la Unión Europea deben cumplir con los estándares de regulación a partir del 14 de Septiembre del 2019.
Aunque muchos emisores de tarjetas ya están implementando dicho servicio a partir de este mes de abril.

Hoy queremos explicar cómo te afecta si tienes una tienda online o desarrollas páginas web, y cómo puedes cumplir dichos requisitos.

Algunos términos a conocer:

  • PSD2: Segunda Directiva de Servicios de Pago que entra en vigor el 14 de Septiembre del 2019.
  • SCA (Strong customer authentication): Autenticación reforzada del cliente. La Directiva PSD2 incluye requisitos de seguridad que se deben cumplir. Entre ellos este SCA que obliga al menos a tener autentificación de doble factor.
  • 3-D Secure (3DS) : Es la solución más usada por la industria para implementar el factor de doble autenticación.

Cómo te afectan estos cambios si tienes una tienda online o las construyes.

Básicamente, a partir de abril sería buena idea que se empezara a implementar el 3-D Secure en tus pagos con tarjeta. A partir de Septiembre será obligatorio.

En otras palabras, a partir de Septiembre, si no tienes un sistema compatible con 3DS, no podrás cobrar con tarjeta (ni Paypal con tarjeta).

En la práctica la mayoría de los sistemas que se usan en las tiendas en España son a través de terceros, y ya son ellos los que se encargan de habilitar 3DSecure. Todavía no tenemos sistemas que accedan directamente a las cuentas de cliente. Así que no tendrás que hacer nada.

En concreto.

Dependiendo de qué sistema tengas para cobrar con tarjeta.

  • TPV del banco. Entiendo que entonces ellos se encargan del 3DSecure directamente.
  • Paypal: En España los pagos se hacen a través de Paypal y ya se encargan ellos de gestionar el 3DS. No tienes que hacer nada.
    Fuera de España existe el PayPal Pro Direct, para realizar pagos directamente al cliente. En ese caso necesitan una integración con un cliente de CardinalCommerce .
    Pero debes actualizar tu módulo que use Paypal a las últimas versiones.
  • Stripe o similar: las últimas versiones ya incluyen la opción de 3DS. Debes actualizar tus módulos.

¿Qué ventajas tiene para el comprador?

Básicamente es seguridad del uso de tarjeta ante un fraude. Si te roban la tarjeta o tus datos, necesitarán la doble autenticación para usarla.

¿Que ventajas tiene para el vendedor?

Aquí es muy interesante. El fraude de tarjetas debería disminuir, y por lo tanto la cantidad de pagos falsos que recibimos.
Además ” los vendedores no deben esperar un aumento de las devoluciones de cargo. Esto se debe al hecho de que, con 3D-Secure, el banco emisor de la tarjeta asumirá la responsabilidad de las transacciones no autorizadas seleccionadas para pasar este control de seguridad. Es posible que también haya clientes que hayan olvidado el código de identificación o la contraseña de su tarjeta y abandonen el proceso de pago. Lo más importante es que el sistema 3D-Secure frustrará a los defraudadores. 

El timo de las llamadas con prefijos extraños. NO CAIGAS.

El timo de las llamadas con prefijos extraños, normalmente internacionales ha vuelto. Por lo que parece, la gente se ha acostumbrado a tener tarifas de llamadas ilimitadas, así que contestan a todas las llamadas sin mirarlas tanto como se hacía antes. CRASO ERROR.

En qué consiste el timo.

Básicamente lo que suelen hacer es realizar una llamada perdida desde estos números con prefijos internacionales. +225, +233, +234, +355 , +387….

Estos prefijos tienen una tarificación especial, no incluida en las tarifas ilimitadas, que varía de operador a operador. Pero una llamada a uno de estos números, incluido el establecimiento, puede salirte por 2,5€ el primer minuto, y luego cualquier cosa desde 0,8€/min – 2€/min

Qué debemos hacer si tenemos una llamada perdida así.

Pronto os hablaremos de otro timo con las llamadas: los sms para registrarse a servicios Premium.

Cómo ver qué cookies usa una página web con el Inspector de Chrome.

Hoy os explicamos cómo ver que cookies usa una página web, usando el Inspector de Chrome.

Os puede interesar por temas técnicos, por seguridad (comprobar qué información guarda sobre ti la web) o, si tienes una web, para poner dicha información en la Política de Protección de Datos o el consentimiento de Cookies.

Usaremos el Inspector de Chrome pero el de Firefox es similar. Y también podemos usar dicho acceso para borrar selectivamente las cookies.

Cómo ver las cookies de una página web.

En el Inspector vamos a ir a Application > Storage > Cookies.

Podemos verlo en este vídeo con varios ejemplos de webs.

Enorme FAIL de Facebook. Ha guardado contraseñas en texto plano durante años.

Hace unos días la gente de KrebsOnSecurity sacaron un artículo en el que afirmaban que Facebook lleva almacenando contraseñas en texto plano desde hace años, algunas desde el 2012.

Facebook lo ha confirmado en este artículo de hace 4 días.

Para el que no sepa que es esto, es una cagada monumental, sobre todo para una empresa online como Facebook. Texto plano son ficheros que cualquiera puede leer, sin ningún cifrado ni contraseña. Como si guardas un documento de texto tu con el bloc de notas.

Desde hace años las contraseñas en todos los sistemas viene cifradas, para que nadie pueda descubrirlas sin, al menos, algo de trabajo. Pero estos ficheros contenían contraseñas de usuarios sin ninguna protección. Cualquier empleado podía abrir el fichero, copiar las contraseñas y enviarlas, revenderlas etc.

¿A quién afecta este fallo?

Según Facebook a miles de usuarios de Facebook, Facebook Lite e Instagram:

We estimate that we will notify hundreds of millions of Facebook Lite users, tens of millions of other Facebook users, and tens of thousands of Instagram users .

La empresa notificará a los usuarios afectados para que cambien su contraseña.

¿Que se puede hacer?

Lo primero cambiar la contraseña. Puedes esperar a ver si eres uno de los afectados y que Facebook te lo notifique…pero yo recomiendo cambiarla ya. Aunque sea por “higiene” informática.

Lo siguiente es lo que recomienda la empresa en el artículo anterior y que llevamos nosotros recomendando desde hace años:

  • Usa gestores de contraseñas para poder guardar contraseñas diferentes para cada servicio y difíciles de adivinar.
  • Activa la doble autenticación. Yo no tengo que preocuparme de este filtrado porque hace tiempo que uso Latch para proteger mi Facebook. Así que, aunque descubran mi contraseña, no pueden entrar sin el código de mi aplicación. Esto da una tranquilidad enorme y te permite “pasar” de estos fallos de seguridad de las empresas.

Eso si…. sorprende y mucho un fallo de seguridad tan garrafal en una empresa tan grande.

Buscadores web seguros para niños.

Saber qué es lo que pueden estar viendo sus hijos en Internet, o los resultados que les muestran los buscadores es una preocupación constante para los padres.
Por ello hoy os dejamos buscadores web seguros para niños.

Podéis poner esos buscadores como buscadores principales en vuestros dispositivos, en los perfiles de los niños. Así podéis estar seguros que los resultados son adecuados.

Buscadores web seguros para niños.

Os vamos a dejar algunos ejemplos. La mayoría de ellos están basados es Google SafeSearch, con una opción de Google que permite crear buscadores personalizados: Google Custom Search.
En el vídeo os mostramos el uso de alguno de ellos.

Bloquear números en Android sin aplicaciones. Listas negras.

Hace un tiempo os hablamos de aplicaciones para controlar las llamadas y bloquear las que no queremos. Pero esto es para gente que recibe muchas. Los que recibimos menos, podemos usar las listas negras que vienen en Android por defecto.

Esto es perfecto para bloquear números de operadoras de los que nos llaman a la hora de la siesta.

Cómo bloquear un número en Android.

Esto depende porque, si habéis tenido varios teléfonos sabréis que hay muchas versiones de Android y muchas distribuciones diferentes dentro de cada versión. Así que vamos a explicarlo de manera genérica y los pasos pueden variar en cada versión (pero no la lógica).

Bloquear desde el registro de llamadas.

Una vez que has recibido una llamada, puedes ir al registro de llamadas. Ahí, normalmente pulsando encima del número unos segundos, puede ver un menú adicional con más opciones, entre ellas Bloquear.
Pincha ahí, confirma y ya está añadido el número a la lista negra.

Bloquear desde contactos.

Si el número es un contacto, verás que la opción de Bloquear aparece al entrar a ver los detalles del número. O directamente o en Más o Avanzadas.

Desde Ajustes entrando en la lista negra.

Esto seguramente es lo que más cambie entre versiones. En la mía, un Xiaomi, está en Ajustes> Aplicaciones del Sistema>Seguridad>Lista de bloqueo
Ahí te permite activarlo y, en Blocked numbers, añadir o editarlos.

Cómo crear una VPN con OpenVPN en Windows. Parte 1: Servidor

Hace unos días nos han encargado realizar una VPN en un Windows Server 2008 R2. Como los usuarios podían no ser todos Windows (y también para probar), decidimos no usar la VPN de Windows y crearla con OpenVPN.
Os dejamos los pasos.
Puedes seguir el proceso en inglés también aquí. Y este vídeo está muy bien para ver los pasos (yo he hecho modificaciones al proceso, cuidado).

Configurar el servidor.

Primero hay que configurar el servidor al que se van a conectar los clientes, donde están las carpetas que queremos ver. En nuestro caso el Windows Server 2008, pero puede ser cualquier otro Windows (evidentemente mejor el servidor).

Instalar el programa OpenVPN en el servidor.

Vamos a descargarnos el programa de OpenVPN (es el mismo para servidor y para cliente). Puedes hacerlo aquí (la versión community es la gratuita). El programa más sencillo a descargar es el Windows Installer.
Descargamos el instalador, lo ejecutamos y damos a todas las opciones que si marcando la casilla de EasyRSA 2 Certificate…. (la necesitas para generar los certificados).


Cuando te pida instalar el adaptador TAP di que si y marca la opción de confiar en el fabricante.

Abre un terminal (cmd) y ve a la carpeta C:\Program Files\OpenVPN\easy-rsa  
Pon init-config y pulsa Enter.
Después haz copy vars.bat.sample vars.bat


Edita el fichero creado con notepad vars.bat
Ve a las líneas siguientes y modifica la información con tus datos. Voy a poner unos de ejemplo:

set KEY_COUNTRY=US 
set KEY_PROVINCE=CA
set KEY_CITY=SanFrancisco
set KEY_ORG=OpenVPN
set KEY_EMAIL=mail@host.domain

Lo modificamos por

set KEY_COUNTRY=ES
set KEY_PROVINCE=MD
set KEY_CITY=Madrid
set KEY_ORG=TUEMPRESA (tb puedes dejarlo como OPenVPN)
set KEY_EMAIL=tucorreo@tucorreo.com

Guarda el fichero y ejecuta (Enter después de cada comando):
vars.bat
clean-all



Generar las claves y certificados del servidor.

  • Ahora vamos a generar las claves y certificados que necesita el servidor. En la misma carpeta de Easy-rsa ejecutamos el comando para crear la entidad certificadora:
    build-ca

Va a preguntar unos valores pero son los anteriores que has puesto en el fichero. Así que con que des a Enter se quedan esos valores.
Salvo cuando pregunte: Common Name (eg, your name or your server’s hostname) [] que yo suelo poner el nombre completo del servidor (aunque OpenVPN lo deja como OpenVPN-CA).

  • Creemos las claves con:
    build-key-server server

Vuelve a preguntar los mismos datos, das como antes a Enter salvo cuando pregunte “Common Name” pones server. Responde y a las dos preguntas y ya está.

  • Ahora genera la encriptación con
    build-dh

Configuración del servidor.

  • Ahora copia el fichero server.ovpn de la carpeta C:\Program Files\OpenVPN\sample-config al directorio C:\Program Files\OpenVPN\config
  • Edita el fichero server.ovpn. Recomiendo Notepad++ o, en Windows Server, Wordpad (“abrir con”, elegir programa, Wordpad). No uses notepad, te va a descolocar las líneas.

Vamos a modificar las siguientes secciones:

  • Poner el túnel como dev tap. No hace falta hacer la parte de Bridge (puente) en los interfaz de red que dice el vídeo mencionado arriba. Pero por lo que leo tap admite más protocolos que tun (aunque tun requiere menos recursos). Tu elijes, nosotros usamos tap pero sin modo bridge.
  • Donde pone:
ca ca.crt 
cert server.crt
key server.key

Pon (las dobles contrabarras y las comillas son importantes):

ca "C:\\Program Files\\OpenVPN\\config\\ca.crt" 
cert "C:\\Program Files\\OpenVPN\\config\\server.crt" 
key "C:\\Program Files\\OpenVPN\\config\\server.key"
  • Donde pone: dh dh1024.pem pon: dh "C:\\Program Files\\OpenVPN\\config\\dh2048.pem"

Nota: en la generación de mis certificados me creó el fichero dh2048.pem en
C:\Program Files\OpenVPN\easy-rsa\ La cifra puede variar y podéis tener dh4096.pem, verifícalo.

  • Donde pone server 10.8.0.0 255.255.255.0 elije la red de tu VPN. Puedes poner cualquier red privada pero te recomiendo que no uses las de telefónica típicas (192.168.1.X ni 192.168.0.X). Yo suelo usar las 10, como la que viene en el fichero por ejemplo, o 192.168.2.X, 192.168.3.X etc). También, por lo tanto, puedes dejar la red que viene por defecto. Esto quiere decir que tu servidor VPN tendrá IP de VPN 10.8.0.1 y tus clientes tendrán la 10.8.0.X (según la máscara que elijas).
  • Verifica que la línea tls-auth ta.key 0 pone 0 en el servidor. Quita lo de # This file is kept secret de detrás. En los clientes tiene que ser: tls-auth ta.key 1.
  • Salva el fichero.
  • Copia los ficheros de clave. Ve a C:\Program Files\OpenVPN\easy-rsa\keys\ y copia los ficheros siguientes a C:\Program Files\OpenVPN\config\
ca.crt 
dh1024.pem
server.crt
server.key
server.ovpn
  • En la misma carpeta easy-rsa pon openvpn --genkey --secret ta.key  y copia ese fichero también a la carpeta C:\Program Files\OpenVPN\config\

El servidor ya está. Sólo tendrías que abrir el puerto 1194 UDP en el router apuntando a la IP (fija) de tu servidor. Recomiendo también abrir el firewall de Windows, si está activado, para ese puerto.

Si tienes IP dinámica tendrás que activar un servicio de DNS dinámicon tipo DYNDNS.

Puedes probar a ejecutar el icono de OpenVPN que te ha creado en el escritorio y darle botón derecho>Connect para que se empieze a ejecutar el servidor VPN.

Si todo va bien está preparado para recibir llamadas. Queda configurar a los clientes (en otro artículo).

Nota: si quieres que los clientes remotos vean los clientes de la oficina tienes que activar la opción client-to-client en el fichero de configuración del servidor.
Nota2: si quieres dirigir todo el tráfico del cliente por la VPN activa la opción push “redirect-gateway def1 bypass-dhcp” en el fichero de configuración del servidor.

Nosotros encontramos un error en Windows Server 2008 R2, que al arrancar la primera vez funcionaba, pero si reiniciábamos la GUI el TAP no cogía IP en Windows (OpenVPN decía que si). Y no sabía enrutar. Lo arreglamos instalando OpenVPN como servicio (otro artículo) y, si ocurre (que no debería al ser un servicio) con desactivar el TAP un momento y volver a activarlo cogía IP de nuevo.

Comprueba si te han hackeado la cuenta. Más de 772 millones de correos.

Hace unos días, el fundador de la página Have I been Pwned anunció que ha descubierto una colección de contraseñas e e-mails hackeados enorme. Supone la segunda mayor filtración de datos de la historia.

Estamos hablando de 772,904,991 correos, 21,222,975 contraseñas únicas y
1,160,253,228 combinaciones de contraseñas y correos. En total ¡¡más de 87Gb de datos!!

La colección la ha descubierto en MEGA, gracias comentarios de lectores de su página. La ha llamado Collection #1. Su tamaño impresiona, aunque contiene recopilaciones de filtraciones anteriores.
Ya la ha subido a su página (que es una base de datos pública de filtraciones).

¿Cómo compruebo si mi cuenta está ahí?

Para eso es para lo que esta persona creó la página Have I Been Pwned. Entra en esta página, pon tu e-mail para comprobar si está ahí.

  • Si no está no te preocupes, estás a salvo.
  • Si está significa que alguna página en la que estuviera tu correo ha sido hackeada y tus datos son públicos. Esta página te dirá dónde. Pero aún así recomendamos que cambies la contraseña en todos los servicios que usen ese correo.

No sólo puedes comprobar si tu correo se ha filtrado, sino que también puedes comprobar tu contraseña en esta página. Al comprobar tu contraseña verás si está en la lista. Si está, no la uses….es una de las que comprobarán automáticamente (con robots) al intentar acceder a un servicio.

Si tienes una página web DEBES mantenerla actualizada. Es muy importante.

Lo hemos visto cientos de veces. La gente pide una página web un año, y está muy contenta con ella. Cuando se la das al cliente está al día…
Un año más tarde ellos no han entrado ni una vez para actualizarla, y eso es una granja de malware y virus.

Cuando les contactas para indicárselo, o se enteran porque les sale un aviso de Google, se sorprenden y responden “¿por qué? ¡Si yo no he hecho nada!” PRECISAMENTE, por eso, porque no has hecho nada.

Hay que actualizar los gestores contenidos y plugins de las páginas web.

Lo que creo que muchos no se dan cuenta es que las páginas web se hacen ahora con unos “programas” que se llaman gestores de contenidos (WordPress, Prestashop, Magento, etc). Como en cualquier otro programa, se van descubriendo fallos de seguridad por el que pueden entrar hackers o se va volviendo el código obsoleto (y deja de funcionar).

Además, a estos gestores se les añaden módulos, plugins o addons, que son pequeños programas a los que les pasa lo mismo (vulnerabilidades y código obsoleto).

Hasta aquí es lo mismo que un Windows, un Mac o los programas dentro de estos. Y ya sería lógico actualizar por seguridad.

PERO, la gran diferencia en una página web es que está en Internet 24 horas al día, disponible para hackers, robots, curiosos o aspirantes a hackers.
No sabéis la de ataques que hay por segundo. Os pongo un ejemplo. Coge un servidor web, conéctalo a Internet y mira los registros (logs). A los pocos segundos ya tienes intentos de entrada por segundo.

Y los atacantes (hackers, robots etc), tienen un listado de las versiones de los gestores, de los plugins y los posibles ataques que pueden hacer en cada versión. Así que sólo tienen que comprobar qué tienes, y probar cosas de su lista hasta que una entra. Es MUY sencillo.

Una vez dentro pueden hacer varias cosas:
– llenarte la web de malware para que cada visitante que entre reciba pop-ups, les redirijan a otras webs o se infecten. Es decir convertirte en un foco de infección.
– romperte la web.
– sacar datos de ella.
Nota: ahora con la nueva RGPD, si te hackean la web (caso 3), tienes obligación de notificarlo a las autoridades (porque han conseguido datos personales de tus clientes).

Resumen: las webs son vulnerables. Son vuestra imagen y vuestra responsabilidad.
TENÉIS que mantenerlas actualizadas. Si no sabéis, contratad a alguna empresa que os haga un mantenimiento cada cierto tiempo. Si no… en poco tiempo la tendréis infectada, o inservible.

Consejos para comprar por Internet con tarjeta de manera segura

Es época de compras y, cada día más usuarios usan Internet para realizar sus pedidos. Pero la web está lleno de sitios preparados para timar a la gente que no toma las mínimas precauciones. Os dejamos algunos consejos para evitar que os engañen cuando uséis la tarjeta de crédito en Internet.

Consejos para comprar por Internet con tarjeta de manera segura.

Podéis ver los consejos en el vídeo y os los dejamos de manera resumida debajo.

Cosas que tener en cuenta en las tiendas online.

  • Comprado sólo en sitios conocidos. Desconfiad de los que no conozcáis.
  • Desconfiad de chollos. Suelen ser el cebo para que piquen los incautos.
  • Comprad sólo en tiendas con https. Se ve porque la dirección de Internet empieza con https, y tiene un candado gris o verde al lado.
  • No deis vuestros datos de tarjeta para que guarde ninguna tienda. Se suele hacer en Amazon, por ejemplo, pero no es recomendable y, bajo ningún concepto, en las menos conocidas.
  • Cuando vayáis a pagar, que sea a través de pasarela de pago o banco. Es decir que tengáis vosotros que poner los datos en la web de la pasarela o del banco, y no la tienda por vosotros.
  • NUNCA deis la clave PIN o el código CVV (de tres dígitos detrás).

Consejos para la tarjeta.

  • No deis PIN ni código CVV a nadie. Con el CVV, la numeración de la tarjeta y la fecha de caducidad pueden realizar pagos por vosotros. Es como si les dierais la tarjeta y la clave.
  • Activad doble autenticación en todas las tarjetas. El banco lo puede hacer por vosotros.
  • Hay gente que tiene una tarjeta sólo para compras por Internet. Esto permite activar y desactivarla de manera rápida.
  • Esta tarjeta especial podéis limitarla en cantidad de gasto que se puede realizar con ella.
  • También es buena idea limitarla para que no compre en el extranjero.
  • Si la tarjeta es contactless compra una funda para evitar pagos a distancia (en menos de 20€ no pide confirmación).

Consejos al navegar cuando compres.

  • No compres en redes públicas. Puede haber gente espiando tus datos. Es más habitual de lo que piensas.
  • No compréis a través de correos. Pueden ser fraudulentos.