Ciberseguridad | Artículos | 20 JUL 2017

Paypal: cuando la seguridad hace el sistema inseguro

El proceso de Paypal para acceder a una cuenta desde el extranjero, obliga a los usuarios a tomar medidas inseguras, las mismas que recomendamos nunca hacer
leccion de ciberseguridad con paypal
Marlon Molina

Un tema que he comentado en muchas ocasiones, es el error recurrente cuando se busca crear un sistema seguro y lo que se hace es obligar al usuario a operar o trabajar de forma insegura, o arriesgando la seguridad. 

Dicho de otra forma, cuando una empresa realiza actividades buscando tener un sistema más seguro y lo que consigue es el efecto contrario. 

 

Estando fuera de España intenté acceder a mi cuenta de Paypal y no me fue posible, aun cuando tengo una contraseña bastante fuerte, el sistema de Paypal bloqueó la cuenta "por mi seguridad". Es evidente que este tipo de acciones son efectivas en la lucha contra el fraude, ya que estoy accediendo desde otro continente, podría ser otra persona. Lo que sí me sorprendió, es que a partir de ahí, lo que he descubierto me deja son ideas, quizá algún día alguien usaría a Paypal como un ejemplo de Fintech o de competencia contra los bancos... y hoy lo dudo mucho. 

Me resulta posible entrar a los portales de los bancos cuando estoy de viaje, pero he descubierto que en el caso de Paypal no es así, tienes que acceder desde un ordenador en tu propio país: ridículo. 

No existe una forma de validación de identidad alternativa a un supuesto SMS que nunca recibí. Mi siguiente paso fue escribir a soporte pidiendo ayuda, y lo que recibí fue un correo electrónico triste y yo diría que automático que me explicaba cómo recuperar mi contraseña, pese a que la respuesta no estaba relacionada con mi pregunta.

Al intentar llamar me encuentro con que el número de soporte solo es posible marcarlo desde un teléfono fijo en España, y el teléfono internacional es un número en Irlanda. Después de varios intentos conseguí hablar con alguien que confirmó que si no estoy en España no puedo acceder a la cuenta de Paypal, y que nada más podía hacer.

La parte triste de la historia

El operador en el teléfono hizo su trabajo, intentó ayudarme, incluyendo el hecho de consultar a sus superiores. De forma muy atenta me sugirió dos opciones para poder acceder a mi cuenta de Paypal y poder hacer la transacción que necesitaba, dos opciones que seguramente serán las que un usuario realizará cuando se encuentre en una situación similar. Me gustaría compartir la primera, puesto que es un caso de estudio en sí mismo, un ejemplo de lo que hay que asegurarse de no hacer jamás.

"Conoce usted alguien en España a quien le pueda enviar su contraseña para que acceda a la cuenta y realice la transacción que necesita".

Esta fue la primera sugerencia, y asumo que sería lo más normal por hacer. Un caos de opción, incluye no solo revelar información importante de una contraseña, incluyendo  no solo la contraseña, sino además cómo haces las contraseñas, cómo las escribes, dónde, etc. Adicionalmente incluye el hecho de escribir la contraseña quizá en WhatsApp, o en un correo electrónico. 

Como hecho añadido, podríamos hacer referencia al hecho de que la contraseña no sería posible cambiarla hasta regresar al país, dejando la cuenta totalmente al descubierto hasta el regreso, asumiendo que no esté relacionada con otras cuentas.

Como puedes ver, pregunté por Twitter y tuve la confirmación que comparto aquí, un procedimiento para "hacer más seguro" el proceso para acceder a una cuenta, obliga a los usuarios a tomar medidas inseguras.

Por último, piensa como un ciberdelincuente. Si sabes que alguien está de viaje y tiene una cuenta de Paypal, es un gran momento para atacarle, insentivarle a usar su cuenta, y sabes que a continuación tendrá que "abrir" su seguridad, y con suerte no solo Paypal, quizá incluso tiene la misma clave para otras cuentas y ahora tenemos la puerta abierta, y el usuario con pocas opciones hasta que regrese a su país.

Marlon Molina

Marlon Molina

Colaborador experto en educación, formación, gestión de servicios TI y Gestión de Proyectos. Certificado ITIL, PRINCE2, ISO/IEC20000, SAM, y otros. Actualmente es el director de Computerworld University y de la Cátedra UDIMA-IDG para la Transformación Digital. Madrid, España.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información