Participaciones del usuario andreagonzalez2k - Bancos

Foro:

andreagonzalez2k 04/09/19 17:55

Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)

Normalmente las tarjetas de coordenadas deben venir envueltas en plástico (de ese que al abrirse se rompe) y la parte donde están las coordenadas tapada con un cartón, de modo que sólo se puede ver la parte anterior de la tarjeta sin quitar el plástico. Así que añade una plastificadora para el hacker (si la recibes pegada con cello preocúpate). Y para activar dicha nueva tarjeta de coordenadas te envían un sms también por lo que igualmente tiene que tener acceso a un operador de telecomunicaciones para hackear el sistema SS7 y que le envíen el sms al móvil que el elija. Si no tiene acceso a ese operador puede ir a tu zona (que coja cobertura con la misma antena de telefonía que tú) y escuchando el tráfico GSM al final descifrar el sms que te envía el banco. Aunque esto no impediría que el sms te llegara a tí también y, hombre, si ves un sms de confirmación de una operación que tú no has pedido algo te mosquearía, ¿no?. Ah, y aún así tiene que hackearte el PC de alguna manera para saber tu clave de acceso, porque sin ella tú me dirás qué hace... Ahora compárame eso con una "supuesta" doble verificación donde introduces tu clave de acceso, de firma y recibes la coordenada de verificación en el mismo sitio todo: tu móvil DESACTUALIZADO con múltiples bugs de seguridad que NUNCA se van a corregir. Y si el móvil es chino además te puede venir con troyano de fábrica gratis. Si el hacker es de tu familia lo mismo te da tener el sistema actual que el de la app, aunque con el sistema actual tendría que saber donde guardas la tarjeta de coordenadas, ¿no?. Así que con esconderla bien...

andreagonzalez2k 01/09/19 22:32

Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)

Que no te haya ocurrido hasta ahora no quiere decir que no te vaya a ocurrir a partir de ahora. Léete noticias como ésta (móviles chinos con troyano de fábrica): https://cincodias.elpais.com/cincodias/2018/03/05/smartphones/1520270622_276781.html no por meterte miedo si no por hacerte ver que un smartphone es lo más inseguro que puedes tener para acceder a cosas que tengan que ver con el dinero. Es igual de inseguro que aquellos que usan "activadores piratas de Windows" para PCs en vez de comprar una licencia, que se están metiendo el troyano ellos mismos.

andreagonzalez2k 31/08/19 22:56

Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)

Date cuenta que la tarjeta de coordenadas tiene 50 posiciones. Si el algoritmo que elige la coordenada está bien implementado debería elegir una coordenada no usada antes de repetir ninguna y así en cada ciclo de 50. Así que el atacante tiene que esperar 50 transferencias para poder hacer él la suya y robarnos el dinero. Eso aparte de hackearnos el PC para la clave de acceso y el SS7 o GSM para mensaje SMS. También se puede mejorar la seguridad de la tarjeta de coordenadas haciendo que ING, a medida que vamos usando coordenadas nos la vaya cambiando por otra nueva para evitar repeticiones. O que pongan una tarjeta con 250 posiciones...

andreagonzalez2k 31/08/19 22:47

Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)

Con OTP al final dependes de una app, que si está en el móvil es igualmente hackeable, por ejemplo con un troyano que tengas en el móvil y que ejecute la app a distancia cuando el atacante quiera obtener esa clave de un solo uso. Con los pinchos usb ya es distinto, pues el atacante no puede conectarlo físicamente a tu dispositivo a distancia cuando él quiera. Tiene que robártelo o tomártelo prestado (sin que te enteres a ser posible). Te compro que los SMS son hackeables, más cuando esta tarde he estado viendo que hay hackers que han vulnerado la doble verificación accediendo al sistema SS7 de las telecos y desviando tanto llamadas como datos a sus terminales, sin necesidar de "esnifar" y descifrar los datos gsm. Pero aún así tendrían que acceder físicamente a tu tarjeta de coordenadas, al igual que sudece con los yubikeys que mencionas. O eso o hackear el banco donde éste verifica que la coordenada de la tarjeta que has puesto es correcta y robar allí todas las claves de la misma. Ambas cosas son más difíciles que hackear un móvil DESACTUALIZADO, que son la mayoría. Conclusión: es mucho más inseguro que toda la seguridad esté en un único sitio, por ejemplo tu móvil como pretende ING. Es mejor tener algo físico (yubikeys o tarjeta de coordenadas) que sólo tú poseas porque tienen que robártelo físicamente (o el caso de la tarjeta al menos fotografiártela).

andreagonzalez2k 31/08/19 20:18

Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)

¿Podrías argumentarme un poco más por qué los SMS son menos seguros?. Por lo que he podido ver la única forma de hacer un ataque MIM contra los SMS es que el móvil en cuestión tenga un troyano que intercepte los SMS legítimos y los reenvíe al atacante. Si el usuario en cuestión tiene un móvil que no es smartphone, ¿cómo le vas a instalar un troyano?. Hoy en día la red GSM se puede descifrar. Tanto voz como datos (sms). Compras una antena usb para ver la TV con determinado chip y, después de pasarle unos cuantos programas a la información "esnifada", puedes sacar el texto en claro, incluso modificarlo y reenviarlo. Pero antes de eso el hacker tendría que conocer la clave de acceso a tu cuenta y la de tu tarjeta de coordenadas si estás operando. O sea, te tendría que meter un troyano en el PC y, de alguna manera (phising, hacer una foto física de ella...), conocer todas las claves de tu tarjeta de coordenadas (pues conociendo sólo una posición no vas a poder operar). Mucho curro para él. Ahora compárame eso con el escenario 2 donde todo le llega al móvil y todo lo teclea en el móvil. Troyano a un móvil ya de por sí desactualizado y LO TIENES TODO. No necesitas descifrar HTTPS ni nada pues accedes al texto en claro ya descifrado en el móvil. El jueves hice un par de transferencias vía web. La primera fue bien. Código de la tarjeta y sms al móvil. Fui a realizar la segunda de la misma manera y falló. Me decía que no tenía informado el número de móvil. Curioso. Tuve que salir de la sesión, borrar caché del navegador, cerrarlo, abrirlo de nuevo, entrar otra vez ya pude realizar la segunda transferencia de la manera normal.

andreagonzalez2k 23/08/19 16:58

Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)

Una vez más intentas confundir a base de mezclar todo. Yo por OPERAR entiendo que es realizar TODO EL PROCESO desde el PC. Si quiero realizar una transferencia a Alemania desde el PC, que pueda realizarla sin necesidad de tener que tener instalada NINGUNA APP para confirmar nada. Que me valga con tarjeta de cooordenadas o clave de firma y SMS normalito (a mi móvil QUE NO ES SMARTPHONE), nada de notificaciones a apps. Por otro lado se está mezclando el tema tarjeta de coordenadas con validación a través de la app, que yo creo que no tienen nada que ver. Como ya puse en un mensaje anterior (en la página 4) PSD2 obliga a la doble identificación y los bancos tienen que escoger DOS de entre estos métodos: - Elemento inherente: huella dactilar, iris o reconocimiento facial, sistemas habituales en los dispositivos móviles. - Elemento poseído: algo físico como una tarjeta, un certificado digital o un teléfono móvil. - Elemento conocido: un número PIN o contraseña. La tarjeta de coordenadas estaría entre los "elementos conocidos", al igual que si se usa una clave de firma. Mientras que la clave que te envíen a la app sería un "elemento poseído", al igual que si se envía un sms (debes "poseer" el móvil para poder recibir tanto la notificación como el sms). Aunque ya hemos visto que con la app se pueden hacer trapicheos para instalarla hasta en PC con emuladores, lo cual es mucho menos seguro que un sms. Según leo en la página de ING dice: "Al tratarse de una doble validación desde nuestra aplicación, la seguridad aumenta.". No sé cómo va a ser esa doble verificación en ING, pero por lo que intuyo igual para hacer una transferencia primero te piden que teclees otra vez la clave de acceso (lo que anteriormente era la tarjeta de coordenadas, o una clave de firma que te tendrían que pedir que crearas antes del 10 de Septiembre) y luego que escribas el código que te envían a la app (lo que anteriormente era el sms). Si lo hacen así, que está por ver, DISMINUIRÍA la seguridad muchísimo. Con que te hackeen el móvil ya lo tienen todo.

andreagonzalez2k 22/08/19 20:37

Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)

Lo que acabas de poner es lo que estaba recriminando en mi anterior mensaje. Mezclas todo y en el batiburrillo lías a la gente. ¿Hasta ahora puedo hacer transferencias A CUALQUIER CUENTA a través de la web sin tener la app instalada?. Sí. ¿Según lo dicho hasta ahora por ING, a partir del 10 de Septiembre, para hacer transferencias A CUALQUIER CUENTA a través de la web voy a necesitar la APP?. Sí. Y, según parece, van a dar la posibilidad de poder seguir usando la tarjeta de coordenadas si haces la transferencia a través del teléfono, llamándoles. A mí, que no tengo tarifa plana de llamadas, eso me supondría un coste, además de perder el tiempo en algo que ahora por la web tardo 1 minuto. Yo llevo en ING desde el 2004, y por eso he visto cómo su servicio ha ido empeorando y esto puede ser la puntilla. No quiero cambiar de banco, por eso prefiero que rectifiquen y dejen la validación sms como una opción aparte de la de la app. Y si no rectifican que me dejen al menos 6 meses para cambiar todo, no 1 mes. Respecto a si la tarjeta de coordenadas es más segura o no que la app habría debate. No todo lo nuevo es más seguro. Dime cómo vas a conseguir la tarjeta de coordenadas de alguien para operar con su cuenta si no es entrando en su casa. El móvil te lo pueden hackear a distancia. Y trabajo en informática...

andreagonzalez2k 22/08/19 00:31

Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)

Yo no sé si son equivocaciones, fanboys de ING o "community managers" a sueldo. Pero en este hilo hay varios usuarios que dejan caer de cuando en cuando que "todos los bancos van a obligar a usar la app", porque "la directiva europea lo exige" o que "las tarjetas de coordenadas son del medievo". "FAKE NEWS" al por mayor. Si quisiera un banco con el que poder operar solo con la app tendría Imaginbank, N26 o Monese. En esos bancos SIEMPRE ha sido obligatorio la app. Pero si no quiero que mi cuenta principal de ING se opere con la app (que no es lo mismo que con un móvil para recibir sms de confirmaciones) deben darme un tiempo prudencial (más de un mes como aquí se pretende) para el cambio.

andreagonzalez2k 21/08/19 15:37

Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)

Eso es MENTIRA. Tengo BBVA y no me obligan a instalar ninguna app. Sólo me obligan a que les informe de mi número de móvil para MANDARME SMS de confirmación. El ÚNICO banco que me obliga a instalar la app (y tengo cuentas en bastantes bancos) es ING.

andreagonzalez2k 19/08/19 23:54

Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)

Es curioso como a la mayoría de las personas no les preocupa su privacidad lo más mínimo. Cuanto más jóvenes menos les preocupa. Todos esos despreocupados pueden hacer una cosa: entrar en su cuenta de Google (la cuenta asociada a Android en el móvil) en un navegador y luego ir a los controles de actividad (el enlace es https://myaccount.google.com/intro/activitycontrols?hl=es-ES ). Ahí pueden ver lo que guarda Google en su móvil sobre ellos si no lo desactivn (viene activado por defecto): toda vuestra navegación web, historial de ubicaciones, voz y audio, historial youtube... Y eso ocurre en todos los móviles Android, sin avisarte. Al menos en un PC, al activar Windows, te va poniendo lo que quieres que te puedan controlar y lo que no. Y con Linux directamente no te controlan.