BNP Paribas

Bueno, eso de que no hacen caso está por ver.

De momento, yo estoy guardando todas las comunicaciones que les envío.  Y cualquier escrito de grado superior a la sugerencia ( digamos ya claramente "queja" ) escrito al SAC de BNP Paribas P.I. puede trasladarse al Banco de España y también a la Comisión Nacional del Mercado de Valores.

Creo que es injusto calificar de "chiringuito" a la sede de este bróker en Madrid, no creo que sus intenciones sean aviesas. Pero sin querer hacer mal, existe la imprudencia temeraria.

Ojalá que se pongan las pilas ( creo que se las están poniendo ya, pero van a contratiempo o a contrarreloj ) y que no pase nada feo mientras tanto.

Un saludo,

Precisar, únicamente, aunque no es materia de este hilo el mundo Bitcoin, que aunque se dice ( y yo mismo lo he escrito ) que los bitcoines están en las carteras, lo cierto es que es un abuso de lenguaje.

Los bitcoins están en la cadena de bloques, allí se crean y allí se verifican. Lo que está en las carteras de cada quisque con las claves privadas para poder gastar los bitcoins. Eso es la madre del cordero, y es lo que hay que manejar con mucho cuidado para no perder los bitcoins ( perder la clave privada supone la imposibilidad de acceder a la dirección de tus bitcoins en la cadena de bloques ).

Sólo quería aclararlo en aras del rigor.

Saludos,

Eso es simplemente una encriptación cifrada de la información (HTTPS), y el certificado lo emite Verisign, eso es todo. Todas las páginas los tienen hoy en día, incluso Rankia. Mira en la barra y verás que rankia también es https. En el caso de Rankia el certificado lo emite Comodo en lugar de Verisign, eso es todo. Dicho de otra manera, eso es que tu clave viaja encriptada de tu ordenador al servidor, igual que con cualquier página de hoy en día. De hecho Google Chrome marcará como no segura cualquier página que no trabaje con SSL.

Un saludo,

Hola compañeros, a ver si cuando podáis me comentáis si lo que me han dicho es cierto o no...

Tal y como leo lo que comentáis vosotros, parece que el cambio es ya definitivo, pero tal y como me lo han explicado ellos parece que no

Gracias!

Hola, en cuanto al "nuevo código de seguridad para transferencias" emitieron la comunicación el día 3 de Marzo, anunciando su próxima implantación. Yo no he probado a hacer transferencias, no sé si funciona o no aún. Me he limitado a fijar como favorito un número de móvil y a grabar los datos, tal y como pedían.

Yo les escribí poco después y, en lo concerniente a la seguridad, me contestaron escuetamente que los departamentos de seguridad de BNP Paribas P.I. están trabajando para mejorar la seguridad de su Web.

Saludos,

Es cierto que a BNP les falta bastante por desarrollar tanto en su plataforma como en su seguridad y que son lentos en el desarrollo. Lo de que te permitan cambiar el móvil y el email mandando código al nuevo para el cambio... una temeridad y nada lógico. Pero tampoco sería lógico la alternativa que entiendo das de que te lo enviaran al viejo, pues puede ser que precisamente se te perdiera el móvil, bloqearan el número o hackearan el antiguo mail, etc... y por eso lo quieres modificar para poder seguir operando en BNP ese mismo día. Quizás lo suyo sería que los cambios se solicitaran vía impreso firmado (se retrasa el cambio), o vía telefónica con conversación grabada y tarjeta de cordenadas por ej., o no se que otra opción recomendarían ustedes de momento para que fuera más agil el cambio y que no le supusiera demasiado "esfuerzo" a BNP...quizás que se enviara el codigo sólo de manera cruzada del nuevo móvil sólo al mail de siempre y del nuevo mail sólo al móvil de siempre, etc... Por cierto, si el hacker que comentas pusiera su móvil y su email, también es cierto que en breve le estaría llamando la patrulla canina, así que también se debe agenciar o hackear un email y un móvil, que no le detectaran su IP, una nueva cuenta a donde transferir que no deje rastro de sus datos, etc... para que no se crean los pseudohackers que te leen que les será tan fácil ;-)

Respecto a la seguridad de R4 está bien si lo tienes como tú con la doble seguridad, pero ojo para quien lo tenga normal por defecto (porque no se haya enterado de la posibilidad de doble seguridad o porque no use tablet y tenga miedo a perder el movil y quedarse sin poder operar por no conocer las 3 opciones para poder operar, o porque tiene avanzada edad y no se ve capaz de instalar la app Google Authenticator y activar el servicio, etc, etc..). Porque en esos casos si encima tiene la pésima idea de meterse en R4 desde un cybercafé...ojito que el hacker ahí no necesita sino la contraseña, porque el usuario y dni se quedan memorizados en el navegador sino se meten de incognito y como sea encima tan torpe de guardar contraseña, ya no digamos un hacker...quién puede meterse es un crio de 3 años como hablamos por aquí: https://www.rankia.com/foros/fondos-inversion/temas/2898634-seguridad-para-operar-renta4?page=2

Luego sólo te podrá trastear, pero igual siempre debe tener acceso al móvil a donde se envía el sms para transferencias, etc...

Dejo la guía de uso del doble nivel de seguridad de R4, por si alguno no la conocía:

https://www.r4.com/pdf/2fa/doble_nivel_clientes.pdf

Por cierto, al final te dan la opción de enviarte al mail el código de emergencia y no se si se avanzó demasiado, aunque siempre es una barrera más que se genere un código operativo para el que deban tener minimo el mail y teniendo siempre igual que enviarse el sms para transferrir, etc.. ;-)

Vamos, que IMO al final la seguridad depende igual en gran medida de los usuarios!! 

S2

Brave, como dijo Jack... por partes: Como auditor de Seguridad Informática que se pasa la vida auditando los sistemas informáticos de la industria bancaria te digo que:

1) Enviar el SMS de confirmación al móvil antiguo es el standard en la industria. El banco sabe que ese móvil es tuyo porque lo pones en el proceso de alta. Si lo has perdido es TÚ responsabilidad contactar con el proveedor de telefonía y que inhabiliten el número inmediatamente, pero en ningún caso será del banco. Lo que el banco sí que no sabe es si el nuevo número te pertenece o es el de alguien que está hackeando tu cuenta. Por lo tanto, pueden haber muchísimos sistemas más seguros que enviar el SMS con el código de confirmación al número antiguo, pero te repito que es el standard en la industria. Por lo tanto, el SMS al móvil que ellos tiene actualmente registrado como tuyo, y si se pierde, asegúrate de reportarlo a la compañía de telefonía.

2) El hacker va a poner un número nuevo que no está registrado a su nombre, y un email que no dejará rastro alguno. Para ellos esto es un juego de niños.

3) Respecto a Renta4, yo no cuestiono lo que haga el usuario. Yo sé que Renta4 pone a disposición de los usuarios una serie de herramientas de seguridad que el usuario es libre de utilizar o no. Por ejemplo, hay mucha gente que para acceder a su banco arranca con una distribución de linux con un cdrom (para que no grabe información) y así no correr riesgos de virus, troyanos y keyloggers. Yo no lo hago, pero gente que yo conozco sí. Por lo tanto, es probable que esa persona estime que activar google authenticator en Renta4 sea para ellos una molestia no necesaria.

Sin embargo, la utilidad está ahí para que la utilices, y sino pues es tu propia decisión el no hacerlo, y como somos todos mayores de edad, debemos asumir las consecuencias de nuestras propias decisiones.

Por lo tanto, juzgar ls malas prácticas de los usuarios que no hacen uso de las herramientas de seguridad, o se conectan desde un cibercafé es algo que se escapa de mi ámbito. Lo único que quiero es que las herramientas de seguridad estén disponibles para poder utilizarlas, y en BNP no están.

Finalizo diciéndote algo que resume todo fácilmente. Si mañana te hackean la cuenta de BNP y te quitan tu dinero, el juez condenará a BNP por no poner las medidas de seguridad razonables que la tecnología actual permite a disposición del usuario, y será BNP quien asuma dicha pérdida (hay jurisprudencia al respecto). En el caso de Renta4, te aseguro que no será el caso.

Un saludo,

Gracias por la información.

1) Por lo que yo se, y corrigeme si me equivoco porque yo no lo digo por profesión sino por experiencia personal propia, lo que comentas de que "es el standard de la industria" el que te lo envíen al antiguo móvil... lo es pero para la banca tradicional, donde te dan igual la opción de que acudas a una de sus numerosas oficinas que no deberían quedarte muy lejos para que lo hagas de manera presencial en caso de no tener acceso a tu antiguo móvil. 

Pero que yo sepa para la banca online hay otras opciones, y lo digo porque yo lo tuve que hacer con varios presencialmente y por ej. con Openbank (que creo has nombrado y lo puedes comprobar fácil) que llamando y dando clave puedes cambiar nº de móvil, en coinc sólo se editan datos personales y lo puedes cambiar poniendo la contraseña, en ING lo cambias igual en datos personales confirmando el número actual (que aparece en la web sólo parcialmente encriptado con los ***), etc..., igual llamando al servicio de banca telefónica en Evo Banco, etc... Vamos, que en la banca online si suelen dar otras alternativas al carecer de una red de oficinas que te permiten hacerlo presencialmente cuando no tienes disponible tu anterior móvil. Luego creo recordar la mayoría me mandaron carta por correo ordinario informandome de que había realizado el cambio. Creo que todos lo pueden comprobar como modifican sus datos personales (en este caso nº de móvil) contactando con su SAC de su banca online.

2) Hombre, partamos de la premisa que para un muy buen hacker casi todos los sistemas de seguridad será un juego de niños, que se lo digan a Hillary Clinton y sus mails, al de Wikileaks, etc... Los sistemas de seguridad siempre van al rebufo de ellos y por otro lado gracias a ellos se han ido mejorando estos sistemas.

3) Tampoco es mi intención juzgar a ningún usuario almaxx, faltaría más!!..al contrario, sólo pretendí advertir y tratar de exponer lo que yo se sobre lo que son buenas prácticas de usuario para intentar protegernos primero nosotros mismos (que ni mucho menos es todo y a buen seguro se mucho menos que tú si es tu profesión).

Y por supuesto estoy contigo a muerte en tu lucha por tratar de que se mejoren los servicios y la seguridad ya sean de BNP o de cualquier otra entidad.

S2

1) Agree

2) Agree

3) Y es muy buena idea!

Lo de estar conmigo todavía es mejor idea, LMAO. A ver en que queda la cosa, yo creo que al final terminarán montando algo decente... Sé de buena tinta que nos leen, así que... MONTAD ALGO DECENTE!!

Para completar brevemente lo que se ha dicho ( y mis disculpas si alguien lo ha mencionado ), creo que sería muy tranquilizador que BNP Paribas P.I. nos ofreciese a todos los inversores un servicio de SMS o de email que nos alertase de cualquier movimiento efectuado en la cuenta de efectivo o en la cuenta de valores.

Obviamente, lo deseable es que tales alertas sean esperadas y confirmaciones de lo que cada inversor honesto y legal sabe que ha hecho. Es decir, nos dirán lo que ya sabemos. Sin embargo, al mismo tiempo, nos protegen ante eventuales ataques piratas ( siempre me gustaron los piratas de niño, pero los de la Edad de Oro de la piratería; en Informática, ni verlos, por mucho que contribuyan al desarrollo de las defensas tecnológicas ), dándonos oportunidad, tiempo, para neutralizar sus acciones.

Sin ánimo de hacer publicidad, estoy hablando exactamente del servicio o implementación que nos proporciona Renta 4.

Tal vez esto sea mucho más sencillo de implementar y menos costoso que una cuenta asociada con verificación de titularidad para transferencias al exterior, como tiene Coinc.

Coincido plenamente con el tertuliano Almax cuando dice que toda entidad crediticia o toda agencia de valores debe proveernos de los medios de seguridad que ofrece la tecnología actual. Usarlos bien o no usarlos ya depende del cliente y será su responsabilidad. Pero mientras no se instauren en la plataforma, la responsabilidad recae en la parte no inversora.

Muchas gracias y un saludo.

En una línea similar a las alertas que comentas, hay una medida que creo bastante sencilla, y que he visto que utilizan diversas webs (aunque sólo una de ellas es financiera), y es la de enviar un email cada vez que me identifico en su servicio. Tal vez a algunas personas les puede resultar "molesto" recibir tantos emails (la funcionalidad podría ser opcional), pero a mí me deja tranquilo saber que cualquier acceso por parte de un tercero sería inmediatamente detectado, y personalmente no me "cuesta nada" borrar el mensaje cuando son mis propios accesos.

Buenas tardes

Utilizo la herramienta de Morningstar "Mi cartera" para hacer un seguimiento de los fondos que tengo, registrando las transacciones de compra y visualizando la rentabilidad acumulada y la rentabilidad personal.

En los últimos días, me aparece un mensaje al entrar en la herramienta que reza que la conexión no es segura. Pinchando en la información del navegador, esto significa que no está cifrada y que puede ser pública la información.

¿ A algún participante le ha pasado también ?

No creo que tenga mayor relevancia, pues es algo que uso a título informativo, pero quería saber si también a otros les ha aparecido el mensaje.

Gracias y un saludo.

Significa que no tienen lo que puse en el mensaje 498 de este mismo hilo.

Un saludo,

Gracias por su respuesta, Almax. Suponía que era por la inexistencia de https, pero no había reparado en ello hasta ahora.

Saludos