Staging ::: VER CORREOS
Acceder
  1. Inicio
  2. Perfil de andreagonzalez2k
  3. Participaciones

Participaciones del usuario andreagonzalez2k - Bancos

Foro:
Consumo (2) | Bancos (56) | Planes Amigo (36) | Hipotecas (9) | ADSL (1) | Depósitos (16) | Bolsa (11)
andreagonzalez2k 22/09/19 23:42
Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)
Eso de que se está hackeando el SMS cada vez más lo dices tú. Por cada caso de esos hay 100 móviles no actualizados (con lo cual tampoco su navegador está actualizado y tiene bugs) hackeados.En el PC puedes instalar muchísimas más medidas de seguridad para que no te lo hackeen. Empezando porque está actualizado al día. Puedes instalar una sandbox adicional para el navegador (Chrome ya tiene una por sí mismo) y así cualquier "zero day vulnerability" del navegador no afectaría a tu sistema. Y si el navegador es seguro y no instalas "cosas raras" pues tienes bastante fiabilidad.Si te duplican la SIM TÚ TE ENTERAS porque tu móvil no coge cobertura. Así que con una simple llamada a tu operadora y que corte la SIM duplicada le dejas sin conexión al atacante. Si te hackean el móvil TÚ NO TE ENTERAS.ING no valida en ningún caso que tú tengas la SIM con ese número de teléfono en el dispositivo donde esté instalada la app. Más que nada porque varios usuarios han dicho que han podido instalarla en tabletas sin SIM. Sólo envía un SMS (sí, el tan denostado SMS, ese que es tan fácil de hackear según tú) para validar la app.
Ir a respuesta
andreagonzalez2k 22/09/19 23:28
Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)
Me fío más de mi compañía telefónica porque su negocio está en la cuota mensual que le pago. Google te da todo "gratis", gmail, buscador, youtube... y ahí el negocio lo saca con tus datos, el negocio eres tú. Además mi compañía telefónica tiene que responder ante el Gobierno de España a través de la Oficina de Atención al Usuario de Telecomunicaciones de las posibles vulneraciones que cometa ante los usuarios, tanto económicas como de privacidad. Google no responde ante nadie en España. El dinero de las multas que le pone la Comisión Europea no son por temas de privacidad sino por su posición dominante.
Ir a respuesta
andreagonzalez2k 22/09/19 15:17
Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)
No sé dónde ves tú un segundo canal diferente si, ya que te obligan a usar la app para validar las operaciones, usas también la app para acceder al banco. Y si usas el PC para acceder y la app para validar dime qué diferencia hay entre eso y usar el PC para acceder y el SMS para validar. Como te han dicho en el mensaje anterior es mucho más difícil hackear el SMS que hackear el móvil con la app. Y prefiro no usar aplicaciones de validación de Google que, visto lo que hace con Android, a saber qué datos se quedan. Me fío mucho más de mi compañía teléfonica que de Google.
Ir a respuesta
andreagonzalez2k 19/09/19 03:21
Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)
Yo puedo operar de momento como siempre. Lo que tengo claro es que en el momento que no me deje seguir operando sin instalar ninguna app pondré una reclamación al Servicio de Defensa del Cliente de ING ([email protected]) y, dependiendo de lo que me contesten, al Servicio de Reclamaciones del Banco de España (se puede hacer online si tienes certificado digital instalado). No les pediré que no implanten la obligatoriedad de la app, sino que me habiliten el acceso por sms y tarjeta de coordenadas durante un par de meses para que cambie domiciliaciones y vacíe la cuenta.Pueden cambiar al sistema que quieran pero no pueden hacerlo en un mes. Es como si tu banco cambia de la noche a la mañana su única oficina al fondo del mar y te obligan a aprender buceo para sacar tu dinero...
Ir a respuesta
andreagonzalez2k 10/09/19 17:17
Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)
El sistema SMS no es seguro 100%. Eso ya lo sabemos. La pregunta importante es si es más seguro que la app o no. Con el sistema actual, aparte de clonarte la sim (o hackear el SS7 o descifrar GSM estando en la misma antena que el atacado) tienen que averiguar tu clave de acceso y hacerse con tu tarjeta de coordenadas. Con el sistema de la app, al instalarla, la aplicación verifica que eres tú ENVIÁNDOTE UN SMS. Así que si te han clonado la sim la pueden instalar y verificar sin problemas. Sólo tendrían que averiguar tu clave de acceso.Resumiendo:- Sistema actual: clonar sim, averiguar clave de acceso, hacerse con tu tarjeta de coordenadas- Sitema app:  clonar sim, averiguar clave de accesoNo tengo la app instalada, por lo que no sé si la app permite guardar la clave de acceso, cosa que sería nefasto para la seguridad, pues robándote el móvil ya lo tendrían todo para dejarte la cuenta a cero.Si ING ha montado todo este follón para ahorrarse el coste de los SMS no daría muy buena impresión sobre su solvencia.
Ir a respuesta
andreagonzalez2k 04/09/19 17:55
Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)
Normalmente las tarjetas de coordenadas deben venir envueltas en plástico (de ese que al abrirse se rompe) y la parte donde están las coordenadas tapada con un cartón, de modo que sólo se puede ver la parte anterior de la tarjeta sin quitar el plástico. Así que añade una plastificadora para el hacker (si la recibes pegada con cello preocúpate). Y para activar dicha nueva tarjeta de coordenadas te envían un sms también por lo que igualmente tiene que tener acceso a un operador de telecomunicaciones para hackear el sistema SS7 y que le envíen el sms al móvil que el elija. Si no tiene acceso a ese operador puede ir a tu zona (que coja cobertura con la misma antena de telefonía que tú) y escuchando el tráfico GSM al final descifrar el sms que te envía el banco. Aunque esto no impediría que el sms te llegara a tí también y, hombre, si ves un sms de confirmación de una operación que tú no has pedido algo te mosquearía, ¿no?. Ah, y aún así tiene que hackearte el PC de alguna manera para saber tu clave de acceso, porque sin ella tú me dirás qué hace... Ahora compárame eso con una "supuesta" doble verificación donde introduces tu clave de acceso, de firma y recibes la coordenada de verificación en el mismo sitio todo: tu móvil DESACTUALIZADO con múltiples bugs de seguridad que NUNCA se van a corregir. Y si el móvil es chino además te puede venir con troyano de fábrica gratis. Si el hacker es de tu familia lo mismo te da tener el sistema actual que el de la app, aunque con el sistema actual tendría que saber donde guardas la tarjeta de coordenadas, ¿no?. Así que con esconderla bien...
Ir a respuesta
andreagonzalez2k 01/09/19 22:32
Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)
Que no te haya ocurrido hasta ahora no quiere decir que no te vaya a ocurrir a partir de ahora. Léete noticias como ésta (móviles chinos con troyano de fábrica): https://cincodias.elpais.com/cincodias/2018/03/05/smartphones/1520270622_276781.html no por meterte miedo si no por hacerte ver que un smartphone es lo más inseguro que puedes tener para acceder a cosas que tengan que ver con el dinero. Es igual de inseguro que aquellos que usan "activadores piratas de Windows" para PCs en vez de comprar una licencia, que se están metiendo el troyano ellos mismos.
Ir a respuesta
andreagonzalez2k 31/08/19 22:56
Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)
Date cuenta que la tarjeta de coordenadas tiene 50 posiciones. Si el algoritmo que elige la coordenada está bien implementado debería elegir una coordenada no usada antes de repetir ninguna y así en cada ciclo de 50. Así que el atacante tiene que esperar 50 transferencias para poder hacer él la suya y robarnos el dinero. Eso aparte de hackearnos el PC para la clave de acceso y el SS7 o GSM para mensaje SMS. También se puede mejorar la seguridad de la tarjeta de coordenadas haciendo que ING, a medida que vamos usando coordenadas nos la vaya cambiando por otra nueva para evitar repeticiones. O que pongan una tarjeta con 250 posiciones...
Ir a respuesta
andreagonzalez2k 31/08/19 22:47
Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)
Con OTP al final dependes de una app, que si está en el móvil es igualmente hackeable, por ejemplo con un troyano que tengas en el móvil y que ejecute la app a distancia cuando el atacante quiera obtener esa clave de un solo uso. Con los pinchos usb ya es distinto, pues el atacante no puede conectarlo físicamente a tu dispositivo a distancia cuando él quiera. Tiene que robártelo o tomártelo prestado (sin que te enteres a ser posible). Te compro que los SMS son hackeables, más cuando esta tarde he estado viendo que hay hackers que han vulnerado la doble verificación accediendo al sistema SS7 de las telecos y desviando tanto llamadas como datos a sus terminales, sin necesidar de "esnifar" y descifrar los datos gsm. Pero aún así tendrían que acceder físicamente a tu tarjeta de coordenadas, al igual que sudece con los yubikeys que mencionas. O eso o hackear el banco donde éste verifica que la coordenada de la tarjeta que has puesto es correcta y robar allí todas las claves de la misma. Ambas cosas son más difíciles que hackear un móvil DESACTUALIZADO, que son la mayoría. Conclusión: es mucho más inseguro que toda la seguridad esté en un único sitio, por ejemplo tu móvil como pretende ING. Es mejor tener algo físico (yubikeys o tarjeta de coordenadas) que sólo tú poseas porque tienen que robártelo físicamente (o el caso de la tarjeta al menos fotografiártela).  
Ir a respuesta
andreagonzalez2k 31/08/19 20:18
Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)
¿Podrías argumentarme un poco más por qué los SMS son menos seguros?. Por lo que he podido ver la única forma de hacer un ataque MIM contra los SMS es que el móvil en cuestión tenga un troyano que intercepte los SMS legítimos y los reenvíe al atacante. Si el usuario en cuestión tiene un móvil que no es smartphone, ¿cómo le vas a instalar un troyano?. Hoy en día la red GSM se puede descifrar. Tanto voz como datos (sms). Compras una antena usb para ver la TV con determinado chip y, después de pasarle unos cuantos programas a la información "esnifada", puedes sacar el texto en claro, incluso modificarlo y reenviarlo. Pero antes de eso el hacker tendría que conocer la clave de acceso a tu cuenta y la de tu tarjeta de coordenadas si estás operando. O sea, te tendría que meter un troyano en el PC y, de alguna manera (phising, hacer una foto física de ella...), conocer todas las claves de tu tarjeta de coordenadas (pues conociendo sólo una posición no vas a poder operar). Mucho curro para él. Ahora compárame eso con el escenario 2 donde todo le llega al móvil y todo lo teclea en el móvil. Troyano a un móvil ya de por sí desactualizado y LO TIENES TODO. No necesitas descifrar HTTPS ni nada pues accedes al texto en claro ya descifrado en el móvil. El jueves hice un par de transferencias vía web. La primera fue bien. Código de la tarjeta y sms al móvil. Fui a realizar la segunda de la misma manera y falló. Me decía que no tenía informado el número de móvil. Curioso. Tuve que salir de la sesión, borrar caché del navegador, cerrarlo, abrirlo de nuevo, entrar otra vez ya pude realizar la segunda transferencia de la manera normal.
Ir a respuesta