BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate

Posibles fallos de seguridad en la app de BBVA y la biometría

HackFreak

A un familiar le han estafado: Una persona se hace con tus datos, desde otro móvil consigue entrar en tu área de usuario de la app, activa la huella digital (biometría), extrae 1.500 euros y sólo te notifican en tu móvil la operación una vez realizada.

Llamas al BBVA, cancelas tarjeta, bloqueas todo tipo de acceso, etc. y te devuelven momentáneamente el dinero pero después de unas horas deciden confirmar el cobro.

El SAC y el Defensor deciden que tu caso es uno de esos que no se devuelve y reclamas ante el Banco de España. El BBVA presenta un tocho de folios donde lo más relevante es que confirman con sus datos de trazabilidad biométrica que no coincide el modelo de móvil, ni la IP donde se conecta este familiar (la suya es wifi y ellos aportan una de 4G) y que el operador de ambos es distinto.

Mi intención es intentar "demostrar" que las medidas de seguridad existentes del BBVA tienen fallos y que carecen de otras medidas relevantes. No tengo ni idea del tema de seguridad y lo mismo algo de lo que pongo es una bobada, perdón de antemano. Estas son las ideas, por si alguien puede darme alguna pista:

  • El id para acceder es el NIF del propietario de la cuenta y no se puede cambiar.
  • La app puede instalarse en varios dispositivos sin ningún tipo de confirmación del cliente. Además se asocia a un número pero no a un modelo de dispositivo.
  • El BBVA no informa a través de ningún canal ajeno a la app de los inicios de sesión realizados en la app. Tampoco informa de la activación de la huella digital (biometría).
  • La firma biométrica la configuras en cualquier dispositivo, no se guarda en BBVA.
  • Entiendo que la huella digital para "firmar/autorizar" operaciones evita la necesidad de SMS y código de confirmación. ¿No sería más seguro que mantuvieran también las otras dos como requisito?
  • No hay una clave de firma diferente a la clave de acceso a la hora de usar la huella digital.
  • Hay una alternativa a la biometría y al envío de SMS y código de confirmación que es igual de insegura: confirmar una operación sólamente a través de una llamada de teléfono.
  • Tampoco disponen de una medida que analice, antes de las operaciones, la IP desde donde se opera. Entiendo que si dispusieran de un rango habitual de IP podrían bloquear toda operativa y el acceso temporalmente hasta poder confirmar la identidad.
  • No incluyen entre las medidas la tarjeta de coordenadas física del cliente.
P B Fierro
1

El uso de aplicaciones bancarias desde el móvil no me parece seguro, ni recomendable.

La clonación de tarjetas telefónicas, los troyanos y malwares bancarios…

Creo que no deberíamos usar estas aplicaciones mientras no sean suficientemente seguras y los bancos no ofrezcan garantías claras de devolución del dinero.

Ahora que el mal ya está hecho, presentaría una denuncia en la policía y a continuación acudiría a alguna asociación como la de consumidores para asesorarme con las reclamaciones

🗨️ 5
PezDeRedes

El uso de aplicaciones bancarias desde el móvil no me parece seguro, ni recomendable.

Hmm discrepo. En mi caso, tengo que verificar todas las operaciones con un código que recibo por SMS y me aporta notificaciones inmediatas sobre movilientos en la cuenta.

Teniendo en cuenta que la web de mi banco es una auténtica basura, la app creo que me aporta bastante.

🗨️ 4
naveganteperdido

por tanto si te clonan la tarjeta del movil estas jodido, que es precisamente de lo que se queja el OP

🗨️ 3
Weikis
1

Lo que tiene ir por ahí con el NFC activo. Yo únicamente lo habilitó al pagar y desactivo despues del pago.

🗨️ 1
pepejil
pepejil
PezDeRedes

Soy de Movistar, no de Digi y sus locutorios… Y, de todas formas, para las operaciones por la web también necesito SMS.

superllo

Necesitas un hacker (especialista en seguridad informática), no un informático a secas.

Bramante
2

La firma biométrica la configuras en cualquier dispositivo, no se guarda en BBVA.

Esto es por propio diseño, basado en seguridad. La muestra nunca abandona el terminal ni la aplicación es capaz de conocerla, solo puede usar los métodos que la API le permite y es dicha API la que responde con un valor u otro dependiendo si la muestra detectada es correcta o no.

La app puede instalarse en varios dispositivos sin ningun tipo de confirmación del cliente. Además se asocia a un numero pero no a un modelo de dispositivo.

En mi caso, tengo la aplicación de BBVA instalada en dos terminales, con diferentes números de teléfono (no sé si era esto a lo que te referías).

No incluyen entre las medidas la tarjeta de coordenadas física del cliente.

Se considera una medida obsoleta.

El BBVA no informa a través de ningun canal ajeno a la app de los inicios de sesion realizados en la app.

Sí:

Tampoco informa de la activacion de la huella digital (biometría).

Sí, también:

Para esta operativa, no lo conservo, lo siento, también se avisa vía SMS.

Para lograr lo que buscas, vas a necesitar tiempo, esfuerzo y dinero. Necesitarás obligar a BBVA a dar detalles de su operativa, peritos que confirmen las sospechas, etc.

Saludos.

🗨️ 10
Porteus

Viendo tu información me ha sorprendido que muestres un pantallazo de la aplicación en la que te avisa de un inicio de sesión en la app de BBVA. A mí no me avisa cuando se inicia la sesión de ninguna manera. He estado mirando en todas las opciones de configuración de avisos pero solamente vienen los tipo cuando se realiza un cargo superior a…, cuando se hace tal transferencia, cuando el saldo es inferior a X pero nada de que te avise cuando se inicia sesión. ¿Podrías mirar si tienes una opción para ello? Gracias por adelantado.

🗨️ 3
Bramante

Hola, sí, Android,

Son correos electrónicos. Al menos a mí, me llegan cuando inicio sesión en un nuevo dispositivo.

Si quieres, cuando tenga un momento le pego un vistazo a las opciones de la aplicación y cómo lo tengo configurado.

🗨️ 2
Porteus

Has sido rápido, jeje. Estaba editando la pregunta ya que he visto el modelo de móvil. ¿Pero es cuando se inicia sesión solamente en un dispositivo que HASTA AHORA no tenías autorizado, o es, pongamos por caso, cuando te llega al móvil que, desde otro móvil que ya tienes autorizado también, inicias otra sesión? Si es lo segundo te agradecería, cuando puedas, mires la configuración a ver dónde está la opción porque sería francamente interesante esa opción. Gracias.

🗨️ 1
HackFreak

mil gracias! Dos dudas, ya que la persona desinstaló la app y no quiere saber nada de ella:

* Si quieres cambiar el número de móvil receptor de notificaciones, ¿lo puedes hacer desde la app?

* Para activar la huella digital (biometría) se hace desde la propia app, con el deslizador ¿no?

🗨️ 3
Bramante

Hola,

Si quieres cambiar el número de móvil receptor de notificaciones, ¿lo puedes hacer desde la app?

Efectivamente:

Para activar la huella digital (biometría) se hace desde la propia app, con el deslizador ¿no?

Exacto, también desde la propia aplicación:

En este caso, hay que diferenciar las dos opciones existentes:

  • 1: Con ella simplemente estás configurando el acceso a la aplicación mediante muestra biométrica, no confirmaciones de operaciones y/o firmas.
  • 2: En este caso sí estamos usando la muestra biométrica para la confirmación de operaciones (dejamos de recibir codígos 2FA vía SMS). Para activar esta opción, tenemos dos caminos: Tener a mano una tarjeta de débito/crédito física y que el terminal sea capaz de leer el tag NFC de dicha tarjeta (la aplicación nos pedirá que aproximemos la tarjeta al lector NFC del terminal) o acudir a un cajero de la entidad bancaria donde la activación se realizará vía lectura de un código QR.
🗨️ 2
HackFreak

Tres dudas más, perdona que abuse de tu tiempo:

* Me dejas a cuadros, me habían dicho que para cambiar el número del móvil en la app sucede lo mismo que con la biometría: que te pide que acudas a un cajero (imagino que para el tema del QR) o a una oficina. Vamos, que no puedes finalizar el cambio a otro número de móvil sólo indicándolo en la app…

*Cuando acudes al cajero, ¿cómo es el proceso del QR? ¿Metes tu tarjeta y luego aproximas el móvil a la pantalla del cajero?

*El método del QR en el cajero, ¿es reciente? Quiero decir, ¿lleva desde enero de este año siendo así?

Mil gracias, valiosísimo lo que me cuentas!

🗨️ 1
HackFreak

Con "la app puede instalarse en varios dispositivos sin ningun tipo de confirmación del cliente" me refiero a si, antes de instalarla en un segundo lugar, te informa de ello en la app/e-mail del primero. Deduzco que no dicen nada(avisos) cuando lo instalas en otro móvil que tiene otro número de teléfono… Vamos, que para ellos es irrelevante que esté en dos dispositivos con números de móvil distintos.

🗨️ 1
Bramante
1

Vamos, que para ellos es irrelevante que esté en dos dispositivos con números de móvil distintos.

Correcto.

Pero siempre recibirás un aviso informativo de que un nuevo dispositivo ha iniciado sesión.

CuloDePez

Lo que creo que puedo ayudarte:

El id para acceder es el NIF del propietario de la cuenta y no se puede cambiar.

De los bancos que he visto todos lo hacen asi, asi que imagino que es algo o que estan obligados, o que es tan estandar que no vas a poder rascar nada. ¿Seria mejor que pudieran definir un usuario que no sea extraible como tu DNI? Quizas, pero por diseño se considera que el usuario puede ser publico sin mayor problema, lo secreto es la clave de acceso. De eso no vas a rascar nada.

La app puede instalarse en varios dispositivos sin ningun tipo de confirmación del cliente. Además se asocia a un numero pero no a un modelo de dispositivo.

El modelo no sirve de mucho. Alguien que se dedique a esto puede decirle a las apps que es el modelo de movil que el quiera, no te habria evitado el problema. No esta en los estandares y regulaciones ademas. Parecido con las ips y las localizaciones. ¿Tienen la obligación de intentar detectar comportamientos "raros"? Si, pero tienen margenes y nadie espera que detecten todos los casos incorrectos, porque bloquearian continuamente operaciones poco habituales, pero legitimas. Y sobre todo, si aun siendo algo "raro" pidieron la clave y un doble factor, cumplieron. El doble factor puede ser la huella si asi se autorizo. Eso deberías indagar, como pudieron hacer login en otro movil (como consiguieron la clave + que factor de autenticación usaron y como tenian acceso a el).

La firma biométrica la configuras en cualquier dispositivo, no se guarda en BBVA.

Esto es asi y esta bien hecho, hacerlo de otra manera hoy por hoy, dejando de lado de si es mejor o no, es hasta complicado, porque cada movil toma la muestra a su manera. Y no solo eso, ademas los moviles impiden a las aplicaciones sacar ese dato y manejarlo autonomamente. Se accede a través de una API que solo confirma que el dueño del telefono,esta usando el telefono y no es otra persona.

No incluyen entre las medidas la tarjeta de coordenadas física del cliente.

Estan prohibidas por la PSD2. Asi que de eso no puedes rascar nada. Quien sabe si te habría salvado a ti, pero planteaban problemas y al igual que evitaban algunos robos, facilitaban otros. Esto realmente aplica a todo. El numero de telefono nos aplica seguridad a casi todos, pero al que le duplican la SIM, lo tiene crudo…

Lo mas importante para que te podamos decir algo mas es que nos digas como se hicieron con los datos del familiar:

  • Tuvieron por un lado que hacerse con su clave personal ¿como lo hicieron?
  • La primera vez que el atacante entro en la app lo haría sin huella, introduciendo la clave. ¿No llego un SMS de confirmación? ¿Tenian un duplicado de su SIM?
🗨️ 4
HackFreak

Mil gracias por todo lo que cuentas y tu tiempo!

No soy experto, tenlo en consideración por si meto la pata al hablar.

Yo creo que es vox populi (en grandes foros de este país hay hilos hablando de ello) que hay terceros involucrados en la venta de datos para que se cometan estafas. Y hablo de teleoperadores/informáticos o personal en tiendas de los ISP. ¿Puede ser también personal de la entidades bancarias? Pues por poder ser…

La clave personal entiendo que es el dato más sensible. Por supuesto la tiene tu banco, pero imagino que si alguien se hace con bastantes datos personales tuyos y usas es clave en varios sitios… Tengo que volver a preguntar si usaba esa clave en algún sitio más, pero tengo entendido que no.

Respecto a lo segundo, entiendo que lo más probable es lo que apuntas (duplicado de SIM) porque nunca ha recibido un SMS de inicio que no fuera por sus propias acciones. Como esto no está judicializado, sólo por Banco de España, pues no hay investigaciones. ¿Crees que si llama a Atención al Cliente tendrán esa información del posible duplicado en tienda? ¿Y si lo ha ordenado algún operador/informático, pueden hacerlo sin dejar rastro o siempre hay una prueba?

La verdad, llevamos con esto desde enero y son tantas cosas que he leído que se me olvidan los pormenores de las posibilidades.

🗨️ 2
CuloDePez

No te preocupes, nadie sabe de todo.

De lo que me dices ahora solo cuidado a lo siguiente: ellos no tienen tu contraseña, tiene un hash desde el cual no se puede sacar la contraseña. Es dificil de entender y hay matematica algo compleja detras, pero no se guarda la contraseña que tu introduces en el movil. En ese aspecto, no hay opción a que alguien se la robe al banco. O por medio del numero de telefono consiguieron definir una nueva, o de otra manera la consiguieron del propio usuario (ejemplo: un virus que registra todo lo que escribes y lo manda al atacante).

Si, seria conveniente intentar que la operadora del numero os diga si se ha solicitado un duplicado, por descartar cosas. Deberian tener esa informacion, otro tema es que te la den, el operador telefonico de turno sepa hacerlo, etc. Siempre debería haber un rastro de si se hizo por telefono, tienda fisica o que, pero no se decirte, es un poco una loteria.

Es jodido conseguir algo, pero si hay alguna opción yo creo que requiere afinar exactamente si le duplicaron la SIM, le robaron la contraseña, ambas cosas o que paso exactamente.

Eso si, con el banco jodido lo veo. Si le robaron la contraseña, también. Si hay duplicado de SIM de por medio, pues quizas la operadora pueda pringar porque eso si que es algo grave con un culpable definido (Protección de Datos multa a las operadoras con 5,8 millones por permitir el duplicado fraudulento de SIM). Pero ya se me escapa si es complicado reclamarlo, hay que meterse en abogados, cuando tiempo y dinero te puede costar, etc.

Pipovich
2

Si le duplicaron la SIM, tu familiar tuvo que quedarse sin cobertura porque se anula la SIM original. Si no le sucedió, los estafadores tendrían que haberle contratado un servicio multisim en su operadora. Que eche un ojo tu familiar a los servicios contratados, por si acaso.

Lo que ya no sé es si desde un ordenador con la contraseña y la firma digital se mantienen las medidas de seguridad de nuevo dispositivo o no.

Y si han hecho una transferencia, sabrá quién es el receptor de la misma.

HackFreak

Te cuento lo que dicen en el BBVA sobre tu segunda pregunta: cuando instalas la app en otro móvil, sólo se notifica al email ese inicio de sesión. No envían SMS a tu móvil "principal". Es decir, que si no lees ese email, o te va a spam o (más rebuscado) alguien tiene acceso a tu email y borra ese aviso, no se levanta ninguna sospecha. Gracias!!

JGeek00

Soy usuario de BBVA y te confirmo que para activar la firma por biometria hay que ir físicamente a un cajero e introducir la tarjeta, por lo que es imposible que la activen en otro dispositivo sin tu permiso (a menos que te hayan robado la tarjeta). También cuando activas la firma por biometria recibes un email y cuando alguien incia sesión en la app igual. Lo único que le puedo criticar a BBVA en cuando a seguridad es que la contraseña no pueda ser más compleja y que no permita 2FA con una contraseña de un solo uso.

captura-2022-10-16-0-52-39.webpcaptura-2022-10-16-0-53-21.webp
🗨️ 8
Porteus

Pues yo no se qué decirte, pero yo en su día activé la firma por biometría sin necesidad de ir físicamente al cajero. Sin embargo, si quiero cambiar el número de móvil asociado a la cuenta sí que tengo que ir a un cajero y no me lo permite por la app, al contrario que lo que comenta Bramante. Por si acaso, lo miraré otra vez por si hubiera cambiado la operativa pero hasta hace unos meses al menos me obligaba a ir al cajero.

🗨️ 2
Bramante

lo miraré otra vez por si hubiera cambiado la operativa pero hasta hace unos meses al menos me obligaba a ir al cajero

Si realizas el proceso, dime por favor si finalmente has de acudir a un cajero, por saber si hay cambios con este tema.

🗨️ 1
Porteus

Pues acabo de mirarlo y en la aplicación es que ni me da opción a cambiarlo. En la web me da la opción de añadir teléfonos pero para contacto, no para operativa. Qué cosa más rara que a tí sí te deje y a mí no.

Bramante

te confirmo que para activar la firma por biometria hay que ir físicamente a un cajero e introducir la tarjeta

No necesariamente.

Acudir al cajero es una de las dos opciones disponibles. Existe la posibilidad de hacerlo completamente desde la aplicación si se cumplen los requisitos.

🗨️ 4
JGeek00

En mi caso al menos solo le aparece la opción de ir al cajero con la tarjeta. Desconozco si hay alguna opción más

🗨️ 3
electronics

La otra opción es leyendo la tarjeta física con el NFC del móvil (no todos los móviles son capaces).

El texto del OP está lleno de incorrecciones. A mí la app del BBVA me informa de todos y cada uno de los movimientos, y no puedes autorizar la firma con biometría así como así como dice él.

🗨️ 2
Klendathu
Klendathu
🗨️ 1
naveganteperdido

que ha respondido el banco de españa ante el "tocho de folios"?

Weikis
1

Las huellas biométricas se cargan desde una pequeña zona de memoria del dispositivo cifrada.

La IP sería un problema si te conectas por 4G o por una conexión fija con CG-NAT

En imagin bank para autorizar cualquier traspaso, pago y bizum se requiere del SMS para completar la operación.

Siempre me a parecido mas seguro Binance que los chiringuitos de bancos que han montado para las aplicaciones móviles. En Binance te hacen poner un código que recibes en el dispositivo por SMS y otro código en el correo y como adicional puedes asignar 2FA (lo veo súper peligroso por que te puedes quedar fácil sin cuenta, por perdida o robo del terminal)

🗨️ 3
Porteus

Es que los bancos españoles son así de chulos. Tengo una cuenta en otro país porque hay temporadas que tengo que estar una buena temporada en ese país y para acceder a la app del banco puedes hacerlo mediante el uso del usuario y contraseña o mediante biometría. Una vez dentro, para poder realizar cualquier operación tienes que usar un código que te proporciona un token que te dan ellos. Es una especie de llaverito que, cuando te pide el código, lo presionas y te proporciona un código que va cambiando cada X segundos. Con esto evitan el problema de que te dupliquen la SIM, etc. Por supuesto, alguien puede decir que te pueden robar el token… Claro, y también te pueden poner un cuchillo delante y decirte que saques todo el dinero. Yo creo que este sistema es mejor que el de los SMS pero, claro, tienen que gastar dinero. De hecho, creo que BBVA en Argentina usa el token pero en España…

🗨️ 2
Bramante

Es que los bancos españoles son así de chulos.

Se limitan a cumplir con la normativa Europea vigente.

código que te proporciona un token

He pasado varios años usando una entidad bancaria con ese sistema (HSBC UK) y no le he encontrado practicidad ni seguridad adicional.

Es más, dicha entidad, cuando el generador de 2FA se estropea o queda sin pilas, no lo sustituyen, te dicen que pases al móvil.

🗨️ 1
Porteus

Ya, es evidente que cumplen la normativa pero luego pasan las cosas que pasan. En cuanto a lo del token la realidad es que es menos práctico en cuanto a que tienes que llevarlo, pero para mí la seguridad adicional que tienen es que no es posible cosas tipo "duplicado de SIM". En cuanto a lo de que si se queda sin pilas no te lo sustituyen, en mi caso siempre me envían uno cuando ellos consideran que está obsoleto o que se le van a acabar las pilas. Por supuesto, también me sugieren que, en lugar de token, puedo bajarme la aplicación que hace lo mismo que el token pero, claro, mi intención es que no tenga nada que ver con el móvil ese "dato adicional".

vukits

Tendrás que buscarte un perito informático forense, y que te saque una pericial , y toca ir a juicio.

en todo caso, lo de la biometría siempre ha sido un cachondeo. no entiendo que haya gente que lo use.

🗨️ 3
Weikis

Yo la uso es muy cómoda, que problemas puede implicar? Únicamente hago uso de la huella dactilar

🗨️ 2
vukits

autenticación por foto impresa…

gente que ha clonado un dedo a travéz de una huella.

y un largo etc.

por no decir que hay app's que te hacen una foto y luego se la pasan a la app bancaria para autenticarse como tú.,

etc,etc.

🗨️ 1
pepejil

Los bancos serios sólo pueden vincular un dispositivo con huella dactilar por cuenta. En el momento que cambias de móvil y lo vuelves a vincular, el otro dispositivo se desasocia.

Todos los ejemplos igual son factibles (aunque muy difíciles de aplicar en la práctica) pero en todos tienen una dificultad en común: Necesitas acceso al dispositivo físico. Al no ser que te peguen un tiro y luego aprovechen la huella mientras el dedo esté caliente, no veo en absoluto ningún agujero de seguridad como para afirmar que la biometría "es un cachondeo".

La única "pata coja" que tienen los bancos es el seguir usando los SMS para validar las operaciones, teniendo en cuenta el peligro del SIM-swapping. Todo lo demás, nada que no arregle claves fuertes y un acceso fácil a la app y a sus operaciones vía métodos biométricos.