No sé si conocen el concepto de “Security Theater”, y permítanme que no traduzca la expresión. La idea, acuñada por Bruce Schneier, viene a representar la presencia de medidas de seguridad que aportan poca o nula protección, pero por contra son publicitadas ostensiblemente dando una falsa sensación de seguridad. De ahí la combinación de “seguridad” con “teatro”. Por ejemplo, hace unos días Bruce Schneier puso en su blog un caso que estoy seguro de que se repite en otros lugares: nadie vigila las 178 cámaras de seguridad de San Francisco, y en varios casos en los que diversos crímenes se realizaron frente a ellas, estaban incorrectamente orientadas. Por si esto no fuese suficiente, al parecer la visión “nocturna” es de ínfima calidad, lo que resta validez a las grabaciones. Por supuesto, como todo, este concepto tiene un efecto positivo, y uno negativo.

Empecemos por el segundo. En el caso mencionado, el ciudadano mira, y más allá de consideraciones de privacidad, ve las cámaras que le observan y en cierto modo, se siente seguro, protegido. Sin embargo, su sensación es simplemente una ilusión. Y eso le puede llevar a realizar acciones y correr riesgos que de otro modo no correría; no cambiarse de acera al cruzarse con alguien “sospechoso”, por ejemplo. Otro efecto negativo de estas instalaciones, sobre todo a partir del 11S, es la limitación de la libertad de las personas, sobre todo al otro lado del charco; con toda probabilidad muchas de las medidas de seguridad que se aplican en los aeropuertos contra ataques terroristas son inútiles, a causa de la complejidad y tamaño de éste, pero sirven como excusa para coartar la libertar y privacidad de las personas, y generar una falsa sensación de miedo en la persona; que esta consecuencia sea intencionada o un producto de la incompetencia administrativa es algo que no voy a entrar a considerar.

Como aspectos positivos, los security theaters tienen la facultad de actuar, siempre que el criminal no conozca la realidad de las medidas de seguridad, como algo parecido a los espantapájaros: al generar esta falsa sensación de seguridad, impiden que los criminales se sientan seguros para llevar a cabo sus planes. Siguiendo con el ejemplo anterior, la presencia de una cámara de vigilancia puede disuadir al delincuente de atracar a alguien. Otro ejemplo, más allá de la seguridad personal, son los sistemas antirrobo que hay a las puertas de muchas tiendas pequeñas; la mayoría hemos visto alguna vez el sistema de alarma sonando mientras alguien sale de la tienda, pero la mayor parte de las veces, no sucede nada. No hay guardas de seguridad, ningún dependiente sale a mirar, nada; la persona se gira, hace una mueca extraña de sorpresa o sonrojo, y sigue su camino sin que nadie le diga nada o le detenga. A pesar de ello, pueden apostar a que mucha gente que se siente tentada a realizar pequeños hurtos abandona la idea a causa de estos sistemas.

En la misma línea, hoy leía en El Economista que el Departamento de Homeland Security (DHS) de los EEUU está desarrollando un nuevo sistema de seguridad a implantar en los aeropuertos, que se basa en estudiar a distancia todos los indicadores corporales de una persona para conseguir “adivinar” si tiene intención de atentar o no; había leído antes sobre esto, pero no recuerdo donde. Hace poco, un niño de siete años y su familia pasaron un mal trago por la simple cuestión de llamarse éste igual que un paquistaní deportado (Javail Iqbal) por los EEUU [elmundo.es]. Y el mes pasado, salió a la luz que el aeropuerto de Phoenix pasaba 4,5 horas totalmente desatendido en materia de seguridad (ver también el comentario de Bruce Schneier, que entra además en otras consideraciones). Así que pienso que hay cuestiones más importantes a considerar —y solucionar— que este tipo de tecnologías invasivas y casi de ciencia ficción.

Aunque por supuesto, en un cierto sentido paranoico, una cuestión adicional a considerar en algunos de estos security theaters que les comentaba es quién y porqué, o en otras palabras, el coste y empresa encargada de la tecnología, y la razón política o económica detrás de ella.

Hace unas cuantas semanas, a raíz del documental de Michael Moore contra el sistema sanitario norteamericano, alguien en Google descubrió que tener un blog en el que representas a tu empresa implica que no siempre puedes decir lo que quieres, y menos si tu blog lleva por descripción “News and Notes from Google’s Health Advertising Team“. En este caso en concreto, Lauren Turner tuvo incluso que dar marcha atrás y matizar sus palabras, aunque a la vista del revuelo que se levantó no parece que las palabras que escogió para hacerlo fuesen las mejores. También es cierto que no deja de ser sospechoso que en un blog que es a todas luces corporativo aparezca algo que parece ser una opinión personal, así que personalmente me inclino más por un globo sonda de Google y una rectificación simulada que por un error real; es decir, una forma de publicitar sus poco populares prácticas sin que tal anuncio parezca venir oficialmente de Google. Recordemos que no estamos hablando del blog de Lauren Turner que casualmente trabaja en Google, sino más bien al contrario: el blog del equipo de Google encargado de publicidad relacionada con cuestiones de salud, en el que casualmente escribe Lauren Turner.

Bien, a estas alturas probablemente estén ustedes desconcertados. Lo anterior puede resultar muy interesante o no, y aunque Google es una mina en asuntos de privacidad con tal de rascar un poco la superficie, lo anterior no viene a tener nada que ver con la seguridad, o al menos no desde ningún punto de vista que yo reconozca. A pesar de ello, me pareció una manera interesante de empezar la entrada con la que presentar esta bitácora, porque si nos hubiesen seguido ustedes desde el principio, se habrían dado cuenta de que no hubo presentación oficial ni inaguración; únicamente una frase en aquella primera entrada que la posponía.

Así pues, he pensado que antes de que se vayan ustedes de vacaciones, no estaría de más hacer esa presentación algo más formal, o al menos informativa, que teníamos pendiente. Para empezar, les diré que sí, que este es un blog de S2 Grupo, en el sentido que todo lo que aquí se expresa se hace en representación de S2 Grupo, yo lo sé y todas las personas que emiten su opinión o sus impresiones lo saben. Pero al mismo tiempo, les aseguro que no, este no es un blog “dirigido” por S2 Grupo, en el sentido de que las entradas no siguen una línea predefinida, estudiada e impuesta desde la dirección, más allá de las temáticas relacionadas con la seguridad o los sistemas de información. En otras palabras, teniendo el debido cuidado, puede hablar uno de lo que quiera; casi de la misma manera que en un blog personal; nadie, excepto algún desaprensivo con demasiadas ansias de publicidad y audiencia, cuelga los trapos sucios de los amigos y la familia a los ojos del mundo, y nosotros no somos ese tipo de gente.

Cuando hace algunos meses se propuso la creación de un blog de seguridad, reconozco que la idea me entusiasmó. Llevo escribiendo en mi blog personal algo menos de cuatro años, y creo, aunque no a pies juntillas y de forma incondicional como mucha gente en esto del dospuntocero, que las bitácoras son una forma fantástica bastante buena no únicamente de darse a conocer, sino también de interactuar con otros profesionales interesados, en este caso, en la seguridad, sea del tipo que sea; quizá esa confianza algo menos que ciega en todo esto, y la experiencia acumulada, fuesen las razones de que se me “nombrase” responsable de esto que están leyendo y la principal de que esté aquí escribiendo esto.

Para acabar, les voy a ahorrar el chorro estadístico de datos, por escaso y tedioso. Sólo les diré que cuando empezamos hace ya casi tres meses no teníamos —lógicamente— ningún lector, más que a mí mismo, que no cuenta. En la actualidad tenemos una media de unos veinte lectores diarios más los veintitantos que entran a través del feed (aunque ambos medios no sean mutuamente excluyentes). Algunos de ustedes son clientes nuestros, otros no. No tengo dudas de que hay muchas cosas por mejorar, empezando por la frecuencia de actualización que quizá no sea la mejor (y esto es un guiño a mis compañeros), pero al menos les prometo que en lo sucesivo intentaremos incrementarla, con la esperanza no sólo de tener nuevos lectores sino de conservar los que ya tenemos.

En cualquier caso, como les dije en aquel primer post, bienvenidos.

En los últimos tiempos hemos encontrado un nuevo culpable para casi todo. Igual que la informática ha sido en las últimas décadas culpable de que los vuelos se retrasen, de que se pierdan las maletas, de que salga mal la cuenta del restaurante e incluso de que nos operen de apendicitis cuando lo que nos duele es un ojo, desde hace ya unos años otro culpable por excelencia de lo que acontece diariamente en el mundo es “el cambio climático”. No creo que sea un problema con el que hacer demasiadas bromas. El asunto es serio. Pero también lo son los problemas relacionados con la seguridad y a menudo tenemos que escuchar muchos comentarios irónicos al respecto.

Nuestra sociedad necesita incrementar su productividad. Somos una potencia económica mundial, pero no somos una potencia económica en productividad. Para llegar al puesto que nos corresponde tenemos algunas asignaturas pendientes y no cabe ninguna duda que una de ellas es el uso y la introducción de las tecnologías en la sociedad a todos los niveles: la empresa, el hogar, las instituciones,…

Desde siempre, uno de los inhibidores importantes del uso de las TIC en la sociedad ha sido la desconfianza en el medio, promovida en muchas ocasiones por el desconocimiento, las leyendas urbanas y en definitiva por la falta de formación e información, y es que en mi opinión uno de los puntos débiles de las organizaciones grandes y pequeñas, pero sobre todo de las grandes, es la formación y concienciación en materia de seguridad. Pero no hay manera de que se tome en serio este problema en las organizaciones. Es francamente difícil y cuesta mucho, a pesar de ser la única manera de que podamos avanzar “hacia una cultura de la seguridad”.

Si no abordamos el problema de frente acabaremos, como sociedad, o no haciendo un uso adecuado de los medios disponibles y perdiendo puestos en el ranking de la productividad, o sufriendo incidentes de seguridad. Cualquiera de los dos caminos es malo, muy malo, y no creo que en este caso podamos culpar de sus consecuencias al cambio climático, sino a una falta de visión o de responsabilidad social, o simplemente a una falta de interés o presupuesto.

¿No creen ustedes que es ya el momento de afrontar nuestras responsabilidades como organizaciones y como individuos en la formación y concienciación en materia de seguridad de la información? No podemos seguir mirando hacia otro sitio y culpando al cambio climático o al gobierno por el desconocimiento generalizado en asuntos tan importantes como estos, y les aseguro que no es habitual que una asignatura troncal como esta se aborde con los esfuerzos mínimos necesarios… y como en anteriores casos, a las pruebas me remito.

Pero no se preocupen que volveremos a hablar del cambio climático como culpable por excelencia de (casi) todo…

He de reconocer que en esto de los datos de carácter personal, entre los que podemos incluir fotos, videos o comentarios que pueden dar información sobre ideología, tendencias sexuales o el perfil psicológico propio, Internet da un poco de respeto. Y no me refiero a aquellos casos en los que alguien se convierte, como suele decirse, sin comerlo ni beberlo, en una estrella, con todos los problemas que eso supone. Recientemente una adolescente pertiguista estadounidense —si la memoria no me falla— tuvo el dudoso privilegio de convertirse en un ídolo de masas/sexual no precisamente por sus logros deportivos; saber que millones de personas tienen acceso a tus fotos y que entre ellas seguramente hay más de un tarado hurgando en tu intimidad es algo no demasiado reconfortante.

No obstante, este tipo de cosas vienen a estar fuera del control de la “víctima”, y como en otras muchas situaciones, eso es algo que hay que asumir e intentar evitar en la medida de lo posible. Otro problema muy diferente es cuando es uno mismo el que pone a disposición del ciberespacio fotos, opiniones, o datos personales en lugares sobre los que probablemente no tiene ningún tipo de control, tales como foros, las USENET news, buscadores poco escrupulosos, o incluso Google (recomiendo a título personal el uso de «”META NAME=”ROBOTS” CONTENT=”NOARCHIVE”» en la cabecera de los sitios personales, para evitar el almacenamiento en caché en los buscadores más conocidos), y que en un futuro podría no ser capaz de eliminar. Mucha gente —incluído un servidor— ha vertido datos y opiniones poco reflexionadas y de forma menos que apropiada en diversos lugares de Internet, llevado por las hormonas juveniles —o no tan juveniles—, provocaciones ajenas, la defensa de sus propias ideas más allá de lo lógico para la relevancia del foro en cuestión, la pura y simple diversión, o por el mero hecho de levantarse con el pie izquierdo; conseguir el borrado de todo ese contenido de todos esos sistemas, en caso de ser posible, puede llevar un tiempo y esfuerzo nada despreciables. Quizá alguien piense que a medida que la Red se hace grande, unos contenidos dejarán de existir, que simplemente se borrarán, pero en mi opinión, yo no contaría con ello.

En la actualidad, salta un escándalo cuando algún periodista con mejor o peor intención rastrea entre los archivos históricos buscando algo que alguien dijo sobre algo que tal o cual personaje público hizo, dijo, o dijo que hizo hace veinte años. Quizá en el futuro no haga falta rastrear tanto, sino dedicar diez minutos en un par de buscadores, y ver que el propio interesado lo dijo en un foro de Internet, lo repitió en diez más, escribió un blog y lo comento en un centenar más, y para colmo de males, colgó una docena de videos donde sale él mismo haciéndolo. Así que, si me aceptan un consejo, tengan cuidado con lo que dicen o muestran por ahí. Como dice el título de esta entrada, todo lo que digan podrá ser utilizado en su contra…

Cuando hace ya algunos años empecé a trabajar era fácil, muy fácil, determinar la frontera de las redes de la organización donde estaba. Si la empresa era industrial, como es mi caso, a principios de los años 90 la red se circunscribía a la del área financiera y a la de diseño o ingeniería que, por supuesto, en aquella época, eran totalmente independientes sin posibilidad de conexión conocida por mí. Era una red de un sistema 36 y una red de un sistema de CAD/CAM bastante grande del sector Naval, FORAN, que funcionaba sobre máquinas DIGITAL y con una LAN basada en el difunto DECNET.

Unos pocos años han pasado, 17, -tampoco son tantos- y ya en su día participé en la unión de las dos redes referidas, la red del entonces AS400 con la red del DIGITAL y la red del incipiente “Windows para trabajo en grupo”. Sin saberlo, asistí, desde un lugar preferente, a mi primera caída formal de una frontera digital, la frontera que separaba el mundo contable del técnico en una organización industrial. Las caídas de fronteras digitales se han sucedido desde entonces hasta llegar al punto en el que estamos en el que realmente creo que ya casi no quedan fronteras digitales, salvo que las que nosotros mismos creamos con nuestras políticas de seguridad.

Si el mundo real se ha convertido en un mundo global es principalmente porque el mundo digital nos lo ha facilitado y, para eso y, por eso, han tenido que desaparecer las fronteras. La caída de las fronteras digitales es uno de los aspectos que justifican la importancia actual del diseño de políticas de seguridad globales, hoilísticas.

Seguro que la mayor parte de ustedes, directa o indirectamente, han asistido, en primera línea, a la caída de una frontera digital natural. En mi opinión “todas” las caídas de fronteras tienen alguna lección oculta que, los que trabajamos en seguridad, debemos aprender.

Les animo a ustedes a compartir su experiencia particular en la caída de una frontera digital que hayan presenciado. Creo sinceramente que compartir y comentar con terceros estas experiencias puede hacer que todos juntos aprendamos alguna lección oculta.

Un día cualquiera, te levantas, te lavas la cara y te dispones, como todas las mañanas, a ir al “tajo”. Cuando llegas observas que tu bonita oficina, está en llamas. Dios, te preguntas: ¿Sigo dormido? ¿O de verdad ha funcionado ese deseo estúpido que pedí en San Juan mientras como un cangurito saltaba las olas?

Pero señores, como de algún sitio hemos de sacar ese dinerillo para hacernos con esos objetos tan indispensables en nuestras vidas como PowerBalls, Gadgets lanzamisiles o tazas USB, es necesario que las contingencias o situaciones de emergencia estén previstas, si no se quiere sufrir pérdidas importantes en el negocio. Desastres naturales, operacionales, o humanos son sólo algunos de los aspectos que un buen gestor de continuidad debe prever. Es por eso que surge la necesidad de planificar, en cierta manera, una solución que nos aporte un mínimo nivel de operatividad en nuestros negocios. De esta necesidad surge el concepto de Continuidad de Negocio y Recuperación ante desastres. Ambos conceptos pueden parecer similares pero detrás de ellos se esconden propósitos muy diferentes. Mientras que el primero estaría orientado a los procesos de negocio que la empresa maneja, el otro estaría dirigido a la recuperación de los servicios de TI. Ambos conceptos podrían ser cubiertos mediante lo que sería un plan de contingencias. Pero, ¿de qué consta este plan? Pues bien, básicamente de un fabuloso Plan de Continuidad de Negocio (PCN) y de un magnífico Plan de Recuperación ante Desastres (PRD). Aunque ambos proyectos pueden ser emprendidos de forma independiente, en la mayoría de los casos se opta por una solución integral.

Muy bien pues, ya estamos motivados, sabemos lo que queremos y vamos comenzar con el plan, pero… ¿Qué ocurre con el jefe? Es fundamental que obtengamos apoyo total por parte de la gerencia de la empresa o en otro caso todo el proyecto no servirá más que de falca en la mesa de reuniones.

Obtenido el beneplácito del todopoderoso, debemos comenzar a estudiar al paciente. El análisis y comprensión del negocio es el primer escalón de la larga escalera de la continuidad. Empleados clave, logística utilizada, unidades de negocio que se manejan, herramientas de trabajo utilizadas, conforman el comienzo del PCN. Por otra parte, condiciones del entorno, equipos, servidores, herramientas de respaldo y backup, elementos de comunicación y estaciones de trabajo, formarían la estructura del PRD. Muy bien, ya hemos realizado una cantidad de trabajo considerable, y ahora le toca el turno a analizar el impacto que una contingencia tendría en nuestro negocio. Criticidad de operaciones (estableciendo tiempos máximos de recuperación o RTO’s), equipos y servicios, así como una identificación de los posibles riesgos a tener en cuenta.

El siguiente paso es pues, el Análisis de Riesgos. Es entonces cuando nos preocupamos de cómo administrar estos riesgos y su posible mitigación si una eliminación total no es posible. Superado con éxito lo realizado hasta el momento, estamos dispuestos a evaluar las diferentes estrategias a seguir para ofrecer una garantía de continuidad y recuperación. No cabe decir que todo lo dicho hasta el momento debe estar claramente documentado.

Estamos dispuestos en este momento a generar un plan que se ciña a la estrategia elegida. Personal responsable de aplicar el plan, procedimientos a seguir. Cabe destacar el hecho de que existan varios planes, dependiendo de la magnitud del negocio, donde se recojan soluciones a las diferentes líneas de negocio.

Es fundamental que tanto el PRD como el PCN sean probados como mínimo una vez al año. Así pues, estas pruebas conceden al personal la asimilación de un aspecto clave en el éxito del BCM, la conciencia de BCM. Hemos hecho las maletas, puesto en marcha el plan estratégicamente preparado, todo ha funcionado a la perfección (menos ese cd de Windows que no lee), pero ahora ¿cómo volvemos a casa? Efectivamente necesitamos un nuevo plan que nos estructure como realizamos ese proceso de vuelta a casa.

En fin, como mi buen amigo Charly decía, “Las llonganas no son lombrices” es por eso que no hay que confundir Plan de Continuidad de Negocio, con Plan de Recuperación ante Desastres.

(Para mucha más información, ver PAS56, BS 25999, Revista Hackin9 edición Marzo 2007, y The Business Continuity Institute)

Hace unos días, ví en Computing (nº 514, 9 de mayo) una viñeta en la que un tipo pensaba: “¿Pero el Windows Vista es totalmente nuevo, o han tuneado el XP?”. Eso me recordó la primera impresión que me produjo ver (hace ya algunos meses) el nuevo sistema operativo de Microsoft cuando instalé la beta en el PC de casa. Desde luego parece un XP tuneado, empezando por el diseño más llamativo y el hecho de incluir características de la versión Windows XP Media Center (era la versión Ultimate).

Sin embargo, desde el punto de vista de la seguridad, ¿qué había de nuevo? Evidentemente, puedes pasarte horas dando palos de ciego tocando aquí y allá. Así es que con la Windows Vista Security Guide en mano me puse a explorar.

Como parte del Centro de Seguridad, Windows Vista incorpora varias herramientas de serie (descargables para XP) que se centran en la lucha contra el malware.

• Windows Defender: con el objetivo de combatir el spyware.
• Malicious Software Removal Tool: como respaldo al sistema antivirus.
• Mejoras de seguridad en IE7: que ayuda a neutralizar actividades como el Phising.

Por otro lado, en el ámbito de la protección de los datos, presenta la herramienta BitLocker Drive Encryption, en las versiones Enterprise y Ultimate (pero no en la Business, una lástima). BitLocker es la forma que nos ofrece Vista de proteger una estación de trabajo mediante un PIN o con una clave en una memoria USB, por lo que parece un mecanismo interesante para los usuarios móviles, más vulnerables a sufrir sustracciones.

Además de lo enumerado anteriormente, existen otras herramientas mejoradas en el ámbito de la seguridad, como el hecho de soporte para IPSEC en el Windows Firewall, etc.

Evidentemente, a efectos estéticos el Vista ha quedado más tuneado que el XP, pero a efectos de seguridad, se ve que el esfuerzo realizado para proteger el sistema es mayor y que hace adquirir una mayor conciencia al usuario y administrador del sistema de la importancia de mantener un sistema protegido y actualizado.

Hace un par de semanas, contraté para mi dominio personal (“.org”) un nuevo servicio que me ofrecía GoDaddy.com cuya finalidad es ocultar los datos de carácter personal que aparecen en una consulta Whois. Como saben, ICANN exige que los datos que aparecen en las consultas Whois a un determinado dominio sean verdaderos [ICANN Whois Data Reminder Policy], so pena de la cancelación de éste. Aunque este es un tema que presumiblemente va a cambiar en un futuro cercano, actualmente esa es la política actual.

Por supuesto, y aunque estoy adivinando, con cerca de sesenta millones de dominios “.com” (más los “.net” y “.org”) en el mundo, esto es con toda probabilidad una formalidad que se aplicará cuando haya por medio un litigio por algún dominio, un delito, o alguna situación similar. No obstante, en última instancia, esto significa que su nombre y apellidos, teléfono, fax, y dirección personal, aunque no sean requeridos activamente por ninguna entidad oficial, están disponibles al público; todo muy en la línea de la aproximación a la protección de los datos de carácter personal que existe al otro lado del charco.

La cuestión es que no me siento especialmente cómodo exponiendo mi teléfono y dirección personal a unos cuantos millones de personas (ya saben, manías mías), así que, aunque tenía la posibilidad de poner la dirección de S2 Grupo en los diferentes contactos, decidí contratar este servicio. Ni que decir tiene que tampoco me resulta del todo agradable cederles mis datos a una empresa extranjera que no está sometida a ninguna ley análoga a la LOPD, pero al parecer esta es la única y mejor alternativa de momento. Bien, aunque el servicio que les comento es ofrecido por GoDaddy.com, lo hacen a través de una segunda empresa, DomainsByProxy.com (DBP), “propiedad” -permítanme ser laxo en términos de propiedad- de GoDaddy. Brevemente, el servicio funciona como una especie de “delegación de registro”, por lo que al hacer una consulta Whois, en lugar de tus datos aparecen los de DBP, y ellos actúan de proxy de correo electrónico en caso de que alguien desee ponerse en contacto con el propietario del dominio. Para la gestión y modificación de los datos reales del dominio y otros parámetros básicos, el servicio dispone de una interfaz web a la que se accede -lógicamente- mediante usuario y contraseña.

Al parecer, GoDaddy no es el único registrador que proporciona esta funcionalidad [de pago], por lo que si no desean ustedes estar expuestos a la fauna de Internet -que es mucha y de variadas intenciones, y no es por meter miedo- de una manera que en mi opinión es excesiva y carece de sentido, y no disponen de algún tipo de alternativa, les recomiendo personalmente moverse al “.es” (algo que estoy valorando seriamente), que *en teoría* debería aportar mucha mayor protección, o contratar un servicio de este tipo.

Y por si alguien es tan desconfiado como yo, les aseguro que por nada de esto cobramos comisión.

Hace un par de días recibí una carta del banco donde tengo domiciliada la hipoteca, ofreciéndome un nuevo servicio. No sé que harán ustedes, pero les confieso que yo no suelo hacer mucho caso a estas ofertas. Bueno, en realidad, ni mucho ni poco; van directamente a la papelera, como virtualmente el resto de la publicidad que recibo. Sin embargo en este caso una cosa me llamó la atención: la firma del director al final de la carta. Sí, ya sé que esto es también habitual y no supone ninguna novedad, pero déjenme explicarles.

¿Saben ustedes lo que pone detrás de mi tarjeta de crédito, debajo de la banda magnética?

Puede apostar a que pone algo parecido detrás de la suya. Al parecer, esa firma sirve para dos cosas. La primera, y más obvia, para que el vendedor pueda comprobar que la firma del recibo es la misma que la que hay detrás de la tarjeta de crédito (Quick steps to Visa Card acceptance: 6. Check the signature. Be sure that the signature on the card matches the one the transaction receipt. [usa.visa.com]). La segunda, según indica Museum of Hoaxes (no he podido localizar una fuente oficial), para indicar que estás de acuerdo con los términos de uso de la tarjeta. Respecto a esta última, tengo serias dudas, aunque luego se las cuento.

[Read more…]