A un familiar le han estafado: Una persona se hace con tus datos, desde otro móvil consigue entrar en tu área de usuario de la app, activa la huella digital (biometría), extrae 1.500 euros y sólo te notifican en tu móvil la operación una vez realizada.
Llamas al BBVA, cancelas tarjeta, bloqueas todo tipo de acceso, etc. y te devuelven momentáneamente el dinero pero después de unas horas deciden confirmar el cobro.
El SAC y el Defensor deciden que tu caso es uno de esos que no se devuelve y reclamas ante el Banco de España. El BBVA presenta un tocho de folios donde lo más relevante es que confirman con sus datos de trazabilidad biométrica que no coincide el modelo de móvil, ni la IP donde se conecta este familiar (la suya es wifi y ellos aportan una de 4G) y que el operador de ambos es distinto.
Mi intención es intentar "demostrar" que las medidas de seguridad existentes del BBVA tienen fallos y que carecen de otras medidas relevantes. No tengo ni idea del tema de seguridad y lo mismo algo de lo que pongo es una bobada, perdón de antemano. Estas son las ideas, por si alguien puede darme alguna pista:
- El id para acceder es el NIF del propietario de la cuenta y no se puede cambiar.
- La app puede instalarse en varios dispositivos sin ningún tipo de confirmación del cliente. Además se asocia a un número pero no a un modelo de dispositivo.
- El BBVA no informa a través de ningún canal ajeno a la app de los inicios de sesión realizados en la app. Tampoco informa de la activación de la huella digital (biometría).
- La firma biométrica la configuras en cualquier dispositivo, no se guarda en BBVA.
- Entiendo que la huella digital para "firmar/autorizar" operaciones evita la necesidad de SMS y código de confirmación. ¿No sería más seguro que mantuvieran también las otras dos como requisito?
- No hay una clave de firma diferente a la clave de acceso a la hora de usar la huella digital.
- Hay una alternativa a la biometría y al envío de SMS y código de confirmación que es igual de insegura: confirmar una operación sólamente a través de una llamada de teléfono.
- Tampoco disponen de una medida que analice, antes de las operaciones, la IP desde donde se opera. Entiendo que si dispusieran de un rango habitual de IP podrían bloquear toda operativa y el acceso temporalmente hasta poder confirmar la identidad.
- No incluyen entre las medidas la tarjeta de coordenadas física del cliente.