Que no te haya ocurrido hasta ahora no quiere decir que no te vaya a ocurrir a partir de ahora. Léete noticias como ésta (móviles chinos con troyano de fábrica): https://cincodias.elpais.com/cincodias/2018/03/05/smartphones/1520270622_276781.html no por meterte miedo si no por hacerte ver que un smartphone es lo más inseguro que puedes tener para acceder a cosas que tengan que ver con el dinero. Es igual de inseguro que aquellos que usan "activadores piratas de Windows" para PCs en vez de comprar una licencia, que se están metiendo el troyano ellos mismos.
Date cuenta que la tarjeta de coordenadas tiene 50 posiciones. Si el algoritmo que elige la coordenada está bien implementado debería elegir una coordenada no usada antes de repetir ninguna y así en cada ciclo de 50. Así que el atacante tiene que esperar 50 transferencias para poder hacer él la suya y robarnos el dinero. Eso aparte de hackearnos el PC para la clave de acceso y el SS7 o GSM para mensaje SMS.
También se puede mejorar la seguridad de la tarjeta de coordenadas haciendo que ING, a medida que vamos usando coordenadas nos la vaya cambiando por otra nueva para evitar repeticiones. O que pongan una tarjeta con 250 posiciones...
Con OTP al final dependes de una app, que si está en el móvil es igualmente hackeable, por ejemplo con un troyano que tengas en el móvil y que ejecute la app a distancia cuando el atacante quiera obtener esa clave de un solo uso.
Con los pinchos usb ya es distinto, pues el atacante no puede conectarlo físicamente a tu dispositivo a distancia cuando él quiera. Tiene que robártelo o tomártelo prestado (sin que te enteres a ser posible).
Te compro que los SMS son hackeables, más cuando esta tarde he estado viendo que hay hackers que han vulnerado la doble verificación accediendo al sistema SS7 de las telecos y desviando tanto llamadas como datos a sus terminales, sin necesidar de "esnifar" y descifrar los datos gsm. Pero aún así tendrían que acceder físicamente a tu tarjeta de coordenadas, al igual que sudece con los yubikeys que mencionas. O eso o hackear el banco donde éste verifica que la coordenada de la tarjeta que has puesto es correcta y robar allí todas las claves de la misma. Ambas cosas son más difíciles que hackear un móvil DESACTUALIZADO, que son la mayoría.
Conclusión: es mucho más inseguro que toda la seguridad esté en un único sitio, por ejemplo tu móvil como pretende ING. Es mejor tener algo físico (yubikeys o tarjeta de coordenadas) que sólo tú poseas porque tienen que robártelo físicamente (o el caso de la tarjeta al menos fotografiártela).
¿Podrías argumentarme un poco más por qué los SMS son menos seguros?. Por lo que he podido ver la única forma de hacer un ataque MIM contra los SMS es que el móvil en cuestión tenga un troyano que intercepte los SMS legítimos y los reenvíe al atacante. Si el usuario en cuestión tiene un móvil que no es smartphone, ¿cómo le vas a instalar un troyano?. Hoy en día la red GSM se puede descifrar. Tanto voz como datos (sms). Compras una antena usb para ver la TV con determinado chip y, después de pasarle unos cuantos programas a la información "esnifada", puedes sacar el texto en claro, incluso modificarlo y reenviarlo. Pero antes de eso el hacker tendría que conocer la clave de acceso a tu cuenta y la de tu tarjeta de coordenadas si estás operando. O sea, te tendría que meter un troyano en el PC y, de alguna manera (phising, hacer una foto física de ella...), conocer todas las claves de tu tarjeta de coordenadas (pues conociendo sólo una posición no vas a poder operar). Mucho curro para él. Ahora compárame eso con el escenario 2 donde todo le llega al móvil y todo lo teclea en el móvil. Troyano a un móvil ya de por sí desactualizado y LO TIENES TODO. No necesitas descifrar HTTPS ni nada pues accedes al texto en claro ya descifrado en el móvil.
El jueves hice un par de transferencias vía web. La primera fue bien. Código de la tarjeta y sms al móvil. Fui a realizar la segunda de la misma manera y falló. Me decía que no tenía informado el número de móvil. Curioso. Tuve que salir de la sesión, borrar caché del navegador, cerrarlo, abrirlo de nuevo, entrar otra vez ya pude realizar la segunda transferencia de la manera normal.
Una vez más intentas confundir a base de mezclar todo. Yo por OPERAR entiendo que es realizar TODO EL PROCESO desde el PC. Si quiero realizar una transferencia a Alemania desde el PC, que pueda realizarla sin necesidad de tener que tener instalada NINGUNA APP para confirmar nada. Que me valga con tarjeta de cooordenadas o clave de firma y SMS normalito (a mi móvil QUE NO ES SMARTPHONE), nada de notificaciones a apps.
Por otro lado se está mezclando el tema tarjeta de coordenadas con validación a través de la app, que yo creo que no tienen nada que ver. Como ya puse en un mensaje anterior (en la página 4) PSD2 obliga a la doble identificación y los bancos tienen que escoger DOS de entre estos métodos:
- Elemento inherente: huella dactilar, iris o reconocimiento facial, sistemas habituales en los dispositivos móviles.
- Elemento poseído: algo físico como una tarjeta, un certificado digital o un teléfono móvil.
- Elemento conocido: un número PIN o contraseña.
La tarjeta de coordenadas estaría entre los "elementos conocidos", al igual que si se usa una clave de firma. Mientras que la clave que te envíen a la app sería un "elemento poseído", al igual que si se envía un sms (debes "poseer" el móvil para poder recibir tanto la notificación como el sms). Aunque ya hemos visto que con la app se pueden hacer trapicheos para instalarla hasta en PC con emuladores, lo cual es mucho menos seguro que un sms.
Según leo en la página de ING dice: "Al tratarse de una doble validación desde nuestra aplicación, la seguridad aumenta.". No sé cómo va a ser esa doble verificación en ING, pero por lo que intuyo igual para hacer una transferencia primero te piden que teclees otra vez la clave de acceso (lo que anteriormente era la tarjeta de coordenadas, o una clave de firma que te tendrían que pedir que crearas antes del 10 de Septiembre) y luego que escribas el código que te envían a la app (lo que anteriormente era el sms).
Si lo hacen así, que está por ver, DISMINUIRÍA la seguridad muchísimo. Con que te hackeen el móvil ya lo tienen todo.
Lo que acabas de poner es lo que estaba recriminando en mi anterior mensaje. Mezclas todo y en el batiburrillo lías a la gente. ¿Hasta ahora puedo hacer transferencias A CUALQUIER CUENTA a través de la web sin tener la app instalada?. Sí. ¿Según lo dicho hasta ahora por ING, a partir del 10 de Septiembre, para hacer transferencias A CUALQUIER CUENTA a través de la web voy a necesitar la APP?. Sí. Y, según parece, van a dar la posibilidad de poder seguir usando la tarjeta de coordenadas si haces la transferencia a través del teléfono, llamándoles. A mí, que no tengo tarifa plana de llamadas, eso me supondría un coste, además de perder el tiempo en algo que ahora por la web tardo 1 minuto.
Yo llevo en ING desde el 2004, y por eso he visto cómo su servicio ha ido empeorando y esto puede ser la puntilla. No quiero cambiar de banco, por eso prefiero que rectifiquen y dejen la validación sms como una opción aparte de la de la app. Y si no rectifican que me dejen al menos 6 meses para cambiar todo, no 1 mes.
Respecto a si la tarjeta de coordenadas es más segura o no que la app habría debate. No todo lo nuevo es más seguro. Dime cómo vas a conseguir la tarjeta de coordenadas de alguien para operar con su cuenta si no es entrando en su casa. El móvil te lo pueden hackear a distancia. Y trabajo en informática...
Yo no sé si son equivocaciones, fanboys de ING o "community managers" a sueldo. Pero en este hilo hay varios usuarios que dejan caer de cuando en cuando que "todos los bancos van a obligar a usar la app", porque "la directiva europea lo exige" o que "las tarjetas de coordenadas son del medievo". "FAKE NEWS" al por mayor. Si quisiera un banco con el que poder operar solo con la app tendría Imaginbank, N26 o Monese. En esos bancos SIEMPRE ha sido obligatorio la app. Pero si no quiero que mi cuenta principal de ING se opere con la app (que no es lo mismo que con un móvil para recibir sms de confirmaciones) deben darme un tiempo prudencial (más de un mes como aquí se pretende) para el cambio.
Eso es MENTIRA. Tengo BBVA y no me obligan a instalar ninguna app. Sólo me obligan a que les informe de mi número de móvil para MANDARME SMS de confirmación. El ÚNICO banco que me obliga a instalar la app (y tengo cuentas en bastantes bancos) es ING.
Es curioso como a la mayoría de las personas no les preocupa su privacidad lo más mínimo. Cuanto más jóvenes menos les preocupa. Todos esos despreocupados pueden hacer una cosa: entrar en su cuenta de Google (la cuenta asociada a Android en el móvil) en un navegador y luego ir a los controles de actividad (el enlace es https://myaccount.google.com/intro/activitycontrols?hl=es-ES ). Ahí pueden ver lo que guarda Google en su móvil sobre ellos si no lo desactivn (viene activado por defecto): toda vuestra navegación web, historial de ubicaciones, voz y audio, historial youtube...
Y eso ocurre en todos los móviles Android, sin avisarte. Al menos en un PC, al activar Windows, te va poniendo lo que quieres que te puedan controlar y lo que no. Y con Linux directamente no te controlan.
Totalmente de acuerdo, por favor NO DESINFORMEMOS. Una cosa es tener que tener informado el número de móvil (para que te envíen sms de confirmación, sin tener que usar la app para nada) a que TE OBLIGUEN A USAR LA APP para confirmar las operaciones en vez del sms. No tiene NADA QUE VER una cosa con la otra.
España