Ayer una teoría, hoy una herramienta de ladrones: el ataque «fish and chips»

Por Arturo Quirantes, el 27 octubre, 2015. Categoría(s): Criptografia ✎ 12
Ladrones de tarjetas
Un ataque teórico… sí, guapito, lo que tú quieras

En 2011 una banda de ladrones logró un botín estimado en unos 600.000 euros gracias a tarjetas trucadas. Un equipo francés realizó un análisis forense y la semana pasada se publicaron los detalles. Resulta que los ladrones aprovecharon un fallo descubierto en 2010 en el sistema de pagos usado por las nuevas tarjetas equipadas con chips, supuestamente más seguras que las de banda magnética. Los representantes de los bancos se apresuraron a afirmar que el ataque era ya conocido, que no era tan grave y que no comprometería la seguridad del sistema de pago con tarjeta.

Es evidente que los ladrones modernos siguen muy de cerca los avances en seguridad de la información. Lo más inquietante, parece que los ladrones encontraron el fallo de manera independiente a los investigadores académicos que revelaron el problema en 2011. La banca calla sobre el asunto. Yo no. He aquí una descripción de cómo se llevó a cabo el ataque. Lo escribí en 2012 para mi libro Cuando la Criptografía Falla y lo llamé «ataque Fish and Chips.» No se llama así oficialmente, pero lo descubrió un equipo de criptólogos británicos y me inventé ese nombre. Se llame como se llame, aquí tienen los detalles.

 

7) EL ATAQUE “FISH AND CHIPS”

…A estas alturas no les sorprenderá si les digo que en febrero de 2010 [Ross Anderson y su grupo de criptólogos de la Universidad de Cambridge] presentaron el estudio más demoledor sobre la seguridad del sistema. En este caso no se trató de tarjetas con banda magnética clonada sino de verdaderos agujeros de seguridad en el protocolo EMV. Su título lo dice todo: “Chip y PIN está roto” [55]. Veamos en qué consiste exactamente, y juzgue usted si exageraban o no.

En los sistemas complejos el fallo, como el diablo, suele estar en los detalles, y este caso no fue una excepción. El detalle se oculta en la fase dos, la de verificación del cliente. Antes dije que el cliente inserta el PIN y la tarjeta lo contrasta con el que debería ser. Así es el método estándar, pero no es el único posible. En realidad, el protocolo EMV permite que el terminal escoja el método de verificación más adecuado para cada ocasión. No es lo mismo pagar una cena en un restaurante que un Bugatti Veyron en el concesionario, de forma que a veces habrá que usar el PIN, otras veces la firma manuscrita, o bien ambas. También hay que regular qué pasa si el proceso de autenticación falla. ¿Qué hacemos: interrumpir la transacción, comenzar otra nueva o avisar a la policía?

Cada terminal establece sus condiciones de verificación por medio de un archivo incorporado llamado CVM (Método de Verificación del Cliente). Esto no sólo resulta cómodo para establecer los límites de riesgo del cajero o la empresa que tiene el terminal con el lector de la tarjeta, sino que permite ofrecerlo como servicio a los clientes. Por ejemplo, un cliente con problemas de visión o de memoria puede tener problemas con el PIN, de forma que hay tarjetas en las que la verificación se realiza mediante firma manuscrita. O puede permitir que, si falla la verificación mediante PIN, se intente por segunda vez mediante una firma manuscrita. Cada entidad o banco puede establecer las condiciones que desee para cada tarjeta de cada cliente en particular, y así el sistema gana mucho en flexibilidad.

Veamos un ejemplo del funcionamiento de la fase dos. Hoy es mi cumpleaños, así que he invitado a mi familia a un buen asador. Tras una excelente velada con chuletones y doradas a la sal, pido la cuenta. El camarero toma el lector de tarjetas portátil, me lo acerca a la mesa y yo introduzco mi tarjeta. El CVM de su lector dice que admite todos los tipos de verificación (PIN o firma manuscrita), pero como la cuenta ha excedido de cierto límite exige la introducción del PIN. Lo tecleo en el terminal, y éste lo envía a la tarjeta. Ahora la tarjeta lo compara con el que tiene guardado en el chip.

Pueden pasar dos cosas. Si el PIN es el correcto, la tarjeta devuelve al terminal el código 0x9000, que es la forma que tiene de decir “de acuerdo, adelante.” Pero puedo haberme equivocado al introducir el PIN, en cuyo caso la tarjeta responde con el código 0x63Cv, donde v es el número de intentos que me permite antes de cerrar el proceso y llamar a la policía. En este caso estoy algo achispado, y me salta el primer aviso. Felizmente, mi segundo intento tiene éxito. El camarero me da el recibo, donde aparecerá probablemente la frase “verificado con PIN,” me invita a un chupito de cortesía y me desea buenas noches. Y feliz cumpleaños, por supuesto.

¿Dónde está aquí el problema? Pues en el hecho de que ese código intercambiado entre el terminal y la tarjeta no está autenticado, lo que significa que podemos alterarlo impunemente. Para ello, insertamos lo que en lenguaje criptográfico se llama un “hombre interpuesto” (man-in-the-middle), una especie de metomentodo que se ha introducido dentro del sistema para subvertirlo. Se supone que su intrusión debería ser detectada, pero como veremos, resulta que la detección falla.

Nuestro metomentodo viene equipado con un lector de tarjetas, un PC y una tarjeta falsa, así como la capacidad de robar (o tomar prestada sin que su dueño se entere) una tarjeta legítima. El proceso comienza cuando se inserte la tarjeta falsa en el terminal de venta. Lo primero que hacemos es teclear un PIN cualquiera. El terminal interroga a la tarjeta falsa sobre la validez del número, y ésta pasa la solicitud al PC. El ordenador, a su vez, pregunta a la tarjeta robada si autoriza la transacción. No importa cuál sea la respuesta de dicha tarjeta, solamente el hecho de que se le ha preguntado.

A continuación, el PC envía a la tarjeta falsa el código 0x9000, indicativo de “sí, este es el PIN correcto” Ese código llega hasta la tarjeta falsa, que le dice al terminal “sí este es el PIN correcto.” En otras palabras, hemos logrado interceptar la comunicación entre el terminal y la tarjeta, de forma que cuando aquél diga “¿es este el PIN correcto?,” siempre oiga la respuesta “sí, lo es.” Ya está. La verificación está hecha, a pesar de que la tarjeta legítima es robada y no sabemos su PIN. Ahora, a comprar a manos llenas, que el titular de la tarjeta paga.

Pero espere un poco, me dirá usted, no puede ser tan fácil. ¿Es que no hay mecanismos para detectar esta jugarreta? Lo cierto es que sí los hay, pero son hábilmente sorteados. Como en la película La Gran Evasión, los guardias son engañados para ver lo que los prisioneros quieren que vean. En primer lugar, la tarjeta legítima robada. Uno de los mecanismos que lleva es un dispositivo que cuenta cuántas veces se ha introducido el PIN. De ese modo puede, entre otras cosas, contabilizar cuántas veces ha intentado el cliente entrar el número correcto.

Pero como la verificación no está autenticada, el PC del metomentodo puede engañar a la tarjeta legítima y hacerle creer que el proceso de verificación no necesita PIN. Si fuese humana, la tarjeta se encogería de hombros y murmuraría algo como “de acuerdo, terminal, tú mismo,” y lo autorizaría. Puesto que la petición del PC indica “verificación sin PIN,” no se activa el contador que indica el número de veces que se ha utilizado el PIN. En lo que a la tarjeta concierne, la verificación con PIN nunca ha tenido lugar, y si le preguntasen solamente podría responder algo como “no me consta haber autorizado transacciones con PIN, así que por eliminación debe de haber sido con firma manuscrita.”

En segundo lugar, el banco. Supuestamente, tras la fase de verificación, el terminal y el banco intercambiarán información. Entonces debería detectarse el ataque, porque el terminal ha comenzado una verificación con PIN pero la tarjeta ha llevado a cabo una verificación sin PIN. ¡Pues tampoco se detecta! El motivo es que, cuando una verificación ha fallado, el terminal indica rápidamente al banco que ha habido un fallo y le da indicación de cuál ha sido este fallo: el PIN se introdujo mal más veces de lo autorizado, o bien se solicitó y no hubo respuesta; pero cuando la verificación ha tenido éxito ¡el banco no tiene forma de saber qué método se ha utilizado!

Como en una comedia de enredo, nuestro atacante metomentodo ha logrado sembrar la confusión generando un diálogo de besugos. La tarjeta legítima cree haber autorizado una transacción mediante firma manuscrita; el terminal cree haber autorizado una transacción mediante PIN; y el banco no tiene idea de qué tipo de verificación se ha hecho, ni le importa lo más mínimo. En cuanto al dueño de la tienda donde el terminal estaba instalado, sólo recordará (si es que lo recuerda) que alguien insertó un PIN.

Imagínense el jaleo cuando llegue el inevitable cara a cara. La transacción ha sido autorizada, y según la tarjeta no se ha producido una verificación con PIN, así que el banco concluirá que se ha usado la banda magnética y la firma. Si el titular de la tarjeta legítima no denunció a tiempo su desaparición, el banco puede hacerle responsable; y si lo hizo, puede culpar al dueño de la tienda. El enredo está servido, y mientras tanto el metomentodo se ha quitado de en medio, listo para probar fortuna con otra tarjeta robada.

Los investigadores de Cambridge se arriesgaron mucho al afirmar lapidariamente que “Chip y PIN está roto.” Su razonamiento, con el que por supuesto podemos estar de acuerdo o no, es que:

Nosotros medimos el éxito de Chip+PIN por sus dos objetivos fundamentales: primero, evitar la falsificación de tarjetas que incorporen el chip, y segundo evitar que se puedan usar tarjetas perdidas y robadas sin el PIN. Como pueden usarse tarjetas robadas sin necesidad de saber el PIN, según nuestra definición Chip+PIN está roto.

Este ataque, al que yo llamo “fish and chips” (no me pregunten por que, soy así de raro), es mucho peor que el que vimos en el apartado anterior por dos motivos. En primer lugar, ahora el ataque funciona incluso si el terminal se encuentra online; y en segundo, la solución dada para resolver el ataque anterior (pasar a autenticación DDA) no resuelve el problema actual. Existen algunas soluciones, pero son parches y de eficacia no clara.

Cuando los autores escribieron su artículo, lo hicieron circular entre responsables de la industria y las entidades reguladoras durante tres meses antes de darle publicidad. No recibieron ninguna respuesta [56]. Puesto que la industria no estaba por la labor, decidieron hacer una prueba en vivo y en directo, en condiciones reales tales que nadie pudiese ponerlo en duda o utilizar la típica excusa de “es un ataque teórico, no tiene consecuencias prácticas.” Para ello, organizaron una prueba ante un equipo de reporteros de la BBC, quienes proporcionaron las tarjetas “robadas,” dos de débito y dos de crédito, todas de bancos distintos. Saar Drimel, uno de los firmantes del artículo, escondió todo el “equipo de metomentodo” en una mochila. Un cable salía de ésta, atravesaba la manga del “defraudador” y se conectaba mediante un cable con la tarjeta fraudulenta que éste llevaba en la mano.

La prueba se hizo en la propia cafetería de la Universidad de Cambridge. Drimel insertó la tarjeta falsa en el terminal, tecleó el PIN 0000, y la transacción fue autorizada sin problemas. Funcionó, y el recibo indicaba claramente “verificado por PIN.” Ahora Saar Drimel era el ilegítimo propietario de una pequeña botella de agua con cargo a una tarjeta supuestamente protegida por el sistema Chip+PIN. Por supuesto, la Universidad de Cambridge autorizó el intento de fraude, y suponemos que el señor Drimel reembolsó los seis euros de la compra al legítimo propietario de la tarjeta.

El reportaje se emitió el 11 de febrero de 2010 en el programa Newsnight del canal BBC2 [57]. Los bancos cuyas tarjetas de crédito habían sido trucadas publicaron comunicados en los que indicaban que el problema era común al sistema EMV y no tenía nada que ver con las prácticas de un banco en particular; lo cual era rigurosamente cierto. En cuanto a la UK Cards Association (representante de la banca en temas de sistemas de pago), conocida antes como APACS, si bien reconocía la existencia del ataque como poco más que una variante de un ataque anterior, negaba que ese fuese el final de Chip+PIN y afirmaba que “ni la industria bancaria ni la policía tienen evidencia alguna de que algún criminal tenga la capacidad de desplegar ataques tan sofisticados” [58].

Al parecer, el término “sofisticado” tiene un significado muy particular para ellos. Como prueba de lo que digo, permítanme compartir con ustedes un pequeño cotilleo. Cuando Ross Anderson publicó una entrada en su blog explicando el ataque [59], apareció un comentario negativo de un tal Scrutineer; su opinión era que el artículo dejaba mucho que desear, la técnica subyacente no era gran cosa, no había pruebas concluyentes [59, comentario 19]. Evidentemente, no sabía con quién se la estaba jugando. Ross Anderson tardó poco en descubrir que la IP usada por Scrutineer correspondía a una dirección de APACS [59, comentario 22]. Anderson no quiso dar muchos detalles sobre la identidad de Scrutineer, pero si tiene usted curiosidad, pásese por [62]. Ah, casi se me olvida decirlo: APACS es un nombre antiguo de la actual … UK Cards Association. Sutileza en acción [63].

 



12 Comentarios

  1. Evidentemente, sera que soy un paranoico (?), detras del interes y la fortisima campaña que los bancos y otras entidades llevan a cabo ultimamente para que dejemos de usar las ventanillas y hagamos todas nuestras transacciones por medio de la red y de aparatitos — cada vez mas sensibles a todo tipo de ataques — y que dejemos de usar el dinero.
    Destras de todo eso, esta una intencion nada clara.
    Cualquiera al que le timen por la tarjeta, por una venta fraudulenta por la red, o por los cientos de mini estafas telefonicas hoy existentes, sabe que es extremadamente dificil la reclamacion. cuando no inutil, y que muy a menudo, no vuelves a ver el dinero.
    O mejor dicho, los bit virtuales que representan tu dinero.
    Yo no dudo en comprar a reembolso aunque me cueste unos euros, jamas uso la «comoda» tarjeta para mis compras habituales — tampoco me gusta que mis habitos de consumo sean carne de mineria de datos —, y no uso el telefono, punto.
    Ni para «amables sugerencias de consumo» ni par anada de nada. Si hay algo tan urgente como para exigirme hacer una gestion por la red y en el telefono, algo se me ha olvidado o he hecho algo mal.

    Sere un fanatico paranoico, pero cada dia me sorprende mas la cantidad de «tonto pegado a un movil» que hay.
    SI todo ellos se preguntaran si de verdad necesitan o les es simplemente util lo que hacen con estos medios, incluidas las tarjetas, probablemente el gran negocio de las telefonias y los medios virtuales de dinero, no lo seria tanto.

    Eviedentemente, al igual que el paso al euro fue una maniobra para modificar el precio de las cosas, hay que haber vivido en otro planeta para creer que no hubo una inflaccion galopante en aquella epoca, el intento de «eliminar» la calderilla tiene le mismo objetivo; una medida para «combatir» la crisis.
    Y la proliferacion de nada seguros sistemas virtuales de dinero tiene, a mi entender, como objetivo controlar nuestra economia.
    SI llega un dia en el que el dinero solamente exista en los ordenadores y en los medios electronicos de transaccion, sera muy sencillo controlar a la pobalcion, simplemente negandoles el acceso a su dinero.
    ¿Paranoyas?
    Tal vez, pero hay que tener memoria historica.
    En los setenta y ochenta, hubo la «inseguridad ciudadana» con muy publicitadas olas de robos a ciudadanos.
    Si uno consulta los informes anulaes de la policia, tal ola no fue lo que los medios decian.
    Pero paralelamente se produjo la popularizacion de las tarjetas como «medios seguros de llevar dinero».
    ¿Casualidad? Es posible.
    Hoy nos bombardean por todos lados con los «novedosos» sistema selectrónicos. Que tales cosas dejen definitivamente fuera de la sociedad a todos aquellos que no pueden acceder a tales medios no importa, por lo que parece. Inlcuidos esos nuevos partidos de redes sociales que dejan fuera a los que no participan electronicamente.
    Si les dices que no tienes telefono ya no saben que hacer.
    SI no tienes telefono no puedes «concertar» citas en el medico, por ejemplo y es «obligatorio tener un telefono».
    Algo funciona muy mal cuando tienen que haber sentencias que dicen que un trabajdor no tiene porque tener un telefono o una conexion a internet para ser contratado.
    No quieren convencer de lo utiles que son los medios, siempre de pago a su favor, pero no ponen medios para evitar lso timos telefonicos, porque «como son cantidades muy pequeñas no constituyen delito», ¡Claro, si timeas 100.000 euros a un banco es un delito, pero si timas 10 euros a un 1.000.000 de personas, no!
    Que las telefonicas lleven comision de esos delitos nadie parece darse cuenta.
    Y que te pidan constantemente que pagues con la tarjeta o el telefono pero no garanticen la seguridad y propiedad de tu dinero, es exactamente el mismo caso, pero eso no importa.

    Soy un paranoico antitecnologico.

    Ya. Alguno lo habra dicho. Puede ser.

    Uno es paranoico cuando cree que le persigue alguien. Pero si te vuelves y hay efectivamente alguien que te persigue ¿es paranoya?

    Como soy muy pobre, no me cuesta nada tener mi dinero — analogico — bajo un ladrillo, y no usar tarjetas o telefonos no me produce mas molestia que pasarme el dia diciendo a la gente que NO TENGO OBLIGACION DE HACERLO.
    Si algun día, resulta que estoy equivocado, pues nada, lo asumire y supongo que me sentire muy avergonzado. Pero si como suele ocurrir con los prudentes «pesimistas» resulta que un dia ocurre, no lo se, un fallo catastrofico y desaparecen los saldos, o hay un chantaje politico con corraliuto como con los griegos.
    Que los que alegre y despreocupadamente dependen de lo electronico no me quieran cortar la cabeza por agorero o cenizo cuando yo tenga para comer y ellos no.

    No se quejen porque los bancos abusen con las cuotas y comisiones, o porque le stimen con productos «ventajosos», o porque les estafen con el telefono o porque comercien con los datos de uso de su tarjeta.
    Quien juega con fuego a veces se quema.
    Deberian ser mas prudentes y cautelosos, si no lo son es problema suyo.

    Atentamente.

    P.D.: ¡Por favor, que nadie caiga en la chorridez de decir que quiero vivir en una caverna y tonterias sobre el «progreso» similares!
    Una cosa es el progreso y otra muy distinta la carrera hacia el precipicio.

    1. Menos en la parte de que todo el dinero se acabe volviendo virtual -casos como este demuestran que es una muy mala idea, por no hablar de los destrozos que podría traer que alguien con recursos (apoyado por un país enemigo) se metiera en los ordenadores donde está todo el dinero de una nación como bits-, que dudo que llegue a pasar, totalmente de acuerdo en lo demás.

      Estoy cansado de los borregos que pagan hasta el pan con tarjeta y usan el smartphone para todo sin darse cuenta de lo que están alimentando -y eso que al principio era solo porque se tarda más que pagando en metálico, sobre todo cuando falla-. Con el banco tengo lo justo porque no queda otra, y el teléfono es el más sencillo (no smartphone) que encontré y de tarjeta. A los bancos y gente similar, ni agua y más sabiendo todo lo que hay detrás de ellos.

      Excelente artículo; supongo que la banca callará, no vaya a ser que a alguien le acaben estafando así, sepa que es por un agujero de seguridad, y decida denunciar.

    2. «… y que dejemos de usar el dinero…»
      Es que les conviene a los bancos, porque los pagos sin billetes (con tarjetas, cheques, vales vista, etc.), dado que achican el saldo de una cuenta solo para agrandar el saldo de otra, hacen que no exista variación del » dinero depositado» dentro del ámbito bancario (no salen billetes hacia fuera del ámbito bancario), y eso les ahorra toda la gestión de conseguir depósitos para cubrir salidas que les exige la Ley de Encaje … También cuando los clientes usando tarjetas ocupan crédito (préstamos) para salvar sus pagos, ese dinero prestado es depositado en la cuenta del cliente antes de ser usado, por lo tanto » cada préstamo es convertido inmediatamente en un depósito» y aplicando la ley de encaje <> resulta que el banco queda inmediatamente autorizado para ofrecer más préstamos al público ( por cada préstamo realizado, queda autorizado a más; es decir, cobrará más intereses, sin necesidad ni costo de aumentar billetes reales en bóveda).. todo eso es Negocio Redondo.

  2. Hace escasas dos semanas, detuvieron en Mérida seis personas, acusadas de fraude con tarjetas, que consistía según explicaron en hacerse pasar por «empresas» y negocios de cara a los bancos y conseguir datafonos (no se si es el nombre exacto), me imagino, que con ellos en su poder, la parte del cable dentro de la manga conectado a un pc, se vuelve más cómodo al calor de una estufa en casa…

    Saludos, y muy buen artículo.

  3. «Nuestro metomentodo viene equipado con un lector de tarjetas, un PC y una tarjeta falsa, así como la capacidad de robar (o tomar prestada sin que su dueño se entere) una tarjeta legítima. El proceso comienza cuando se inserte la tarjeta falsa en el terminal de venta».

    Me imagino que yo meto mi tarjeta falsa en mi propio terminal de ventas que tengo conectado a mi PC. Todavía no estoy en ninguna tienda, porque en las tiendas no dejan hacer eso.

    «Lo primero que hacemos es teclear un PIN cualquiera. El terminal interroga a la tarjeta falsa sobre la validez del número, y ésta pasa la solicitud al PC».

    Me imagino que la tarjeta falsa está capacitada para no responder al terminal sino para pasarle la pregunta al PC conectado al terminal de ventas. ¿De la tienda?

    «El ordenador, a su vez, pregunta a la tarjeta robada si autoriza la transacción».

    Imagino que el PC está conectado a la tarjeta robada.

    «No importa cuál sea la respuesta de dicha tarjeta, solamente el hecho de que se le ha preguntado.
    A continuación, el PC envía a la tarjeta falsa el código 0x9000, indicativo de “sí, este es el PIN correcto” Ese código llega hasta la tarjeta falsa, que le dice al terminal “sí este es el PIN correcto.”

    Vale, ya nuestro terminal de ventas ha recibido el ok de la tarjeta falsa.

    «En otras palabras, hemos logrado interceptar la comunicación entre el terminal y la tarjeta, de forma que cuando aquél diga “¿es este el PIN correcto?,” siempre oiga la respuesta “sí, lo es.” Ya está. La verificación está hecha, a pesar de que la tarjeta legítima es robada y no sabemos su PIN».

    No sé para qué el ordenador le pregunta nada a la tarjeta robada, ya que siempre le va a decir a la tarjeta falsa que el pin está bien.

    «Ahora, a comprar a manos llenas, que el titular de la tarjeta paga».

    Sí claro, yo voy a comprar a una tienda y le digo al dependiente que me deje conectar su terminal de ventas a mi ordenador. O que voy a pagar pero con mi propio terminal…
    Es todo muy confuso. No sé para qué sirve la tarjeta robada. Me parece entender que tengo que ir a comprar con la tarjeta falsa y la robada conectando las dos a mi ordenador y al terminal de ventas de la tienda sin que nadie se dé cuenta. ¿Cómo conecto el terminal de ventas de la tienda a mi ordenador sin que el dependiente se de cuenta?. En fin, que si vas a explicar algo, tienes que hacerlo bien, si no, mejor que no lo hagas. Te sugiero que después de escribir tus entradas, al menos, vuelvas a leerlas, a ver si se entienden.

  4. ¿Alguien cree que los bancos van a crear un sistema para las tarjetas que les cause pérdidas, o seguirán cobrando comisiones hasta de los robos que les sucedan a los clientes?.
    No olvidemos que todos los bancos en España por lo menos están reteniendo el dinero de las cláusulas suelo de millones de afectados contradiciendo al tribunal supremo, así se ve la preocupación que tienen por los intereses del cliente.
    Se aprovecharán del esnobismo de la masa aborregada como siempre.
    Interesante artículo.

  5. ¿Para que solucionar nada? Tanto a los bancos como a las timofonicas les sale rentable ser «complices» de toda esta infraestructura de timos y estafas.
    Recuerde usted que de cada llamada reenviada a un «tarifacion especial» la timofonica tiene comisión, y se cobra por banco.
    Por cierto, yo desactive mi telefono en junio porque fui victima de una nueva modalidad, ya no hace falta descolgar, si tienes activado el contestador, renevian la llamada y 5 euros de clavada.
    ¿Alguien hizo algo? La pasma no acepta denuncias de tan poco importe, y la timofonica no se hace responsable.
    Es solamente un ejemplo de como funciona el tinglado que explica muy bien porque no hacen nada para evitarlo y porque pretenden con tanto ainco que nos convirtamos en seres «conectados».

    Asi nos va.

  6. Los dispositivos electrónicos valen para hacer que el banco ahorre costes. Y el banco no diseña la seguridad de las tarjetas, lo hacen VISA, MasterCard… (¿no?). El banco te pasa el riesgo a ti, sin más. Es decir, que nadie está detrás de nadie. A mí me parece que ves fantasmas.

    1. Todos los «paranoicos» vemos fantasmas.

      A ver, segun tu, nadie es responsabel d ela sestrategias comerciales de esas empresas y no estan «relacionadas entre si» ¿No es eso?

      Vaaaaaleeee.

      Pues date una vuelta, tu trabajo te va a costar, por las interrelaciones que hay entre los consejos de administreacion, los fondos de invesion y los lobis entre todas esas empresas. A escala mundial.

      Lo que vas a descubrir es que en realidad estan mucho mas interrelacionadas de lo que puedes imaginar y si, hay grupos detras, muy escaso y muy poderosos.
      Nada de conspiranoyas.

      ¿Te acuerdas de aquella pelicula de los inmortales? «Solamente puede quedar uno»
      Pues de eso se trata. No hay ningun componente aleatorio o accidental, ahy un esquema maestro para que todo este interrelacionado y controlado por cada vez menos gente.
      Que a pequeña escala no veas «quien» esta detras de cada pequeña maniobra local, no quiere decir que no exitan direcctrices que vienen de arriba y que a gran escala tiene una cierta estrategia de coordinacion.

      ¿La seguridad no la diseña el banco? Ya.
      ¿Los de la starjetas? Ya veo.

      Dime; ¿Quien controla los consejos de administracion de lo bancos y de las empresas de tarjetas? ¿Mmm? ¿Quien controla los grupos de accionistas que tiene voto en ambas «empresas»?
      ¿Es mucha casulidad que sigas el hilo y empiecen a repetirse nombres?

      Es jodido admitir que no tienes ningun control sobre ti mismo y que eres una simple marioneta manejada sin que lo sepas. Pero no hay casualidades, amigo mio.

      Ahora dime que veo fantasmas y soy paranoico, vale.

      Pero si un dia te vuelves tan paranoico como yo y ves tu tambien fantasmas, no me llames cenizo o agorero. ¿Vale?

      P.D.: Todo esto a no ser que tu seas un empelado — fiel — de banca o empresa afin . ¿Eh?

  7. Tres cosillas. La primera, que para robo el cobrar un agua pequeña a seis euros. La segunda, que poco antes del final sí habías recordado mencionar lo del APAC.
    La tercera va para J.Díaz: si crees que cuando todo se vaya al carajo tú vas a comer y los demás no, me gustaría ver tu cara cuando llegues con tus flamantes billetes a cada local desvalijado. Eres muy optimista 🙂 A menos que hables a pequeña escala y no haya cundido el pánico. Que entonces igual sólo te atraca alguien en concreto. Pero puestos a enviar el sistema a la porra, enviémoslo bien. Igual hasta coincide con una erupción solar que tueste todos los sistemas de medio planeta.

Deja un comentario

Por Arturo Quirantes, publicado el 27 octubre, 2015
Categoría(s): Criptografia
Etiqueta(s): , ,