BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate
Móvil

Banca electrónica, tokens, ingeniería social y SIMs copiadas. El fin de la seguridad.

1
vukits
1

Doble autenticación y tokens

En el último año, los bancos españoles han estando desechando las tarjetas de coordenadas (usadas para operar desde la banca online), en pos del envío de claves efímeras, ya sea mediante SMS , ya sea mediante APP. Dicho cambio se ha visto motivado para proporcionar una mayor seguridad. Esta técnica viene de lejos, de cuando se usaban aparatos electrónicos llamados 'token'. Sin duda, usar doble autenticación siempre se agradece.

El fallo en una cadena está en…

su eslabón más débil. Que en este caso ha sido Vodafone, la que ha anulado la tarjeta SIM de un usuario legitimo, y ha emitido una tarjeta válida, a un criminal que suplantó su identidad , por vía telefónica y mediante Ingeniería Social. Vodafone sin duda mejorará sus procesos cuanto antes. Pero pregunto ¿y las operadores que no se preocupan de la seguridad? ¿y las que tienen un SAC deficiente, o poco pagado, con mucha rotación? ¿Me quieren decir que la seguridad de mi cuenta bancaria pasa por una operadora con "dos empleados", uno de los cuáles es el CEO?

Últimamente, cuando contratamos unos servicios de Telecomunicaciones, lo único que miramos es el precio (vease la pletora de nuevos proveedores que han aparecido), cuando no es ni de lejos lo más importante

Dejo la pregunta en el aire.

Fuente

BocaDePez
BocaDePez
3

Es el banco quien debe garantizar la seguridad de la operación. Sé que puede parecer absurdo e injusto, pero no lo es.

En este caso se soluciona vinculando la app a las transacciones, algo que debes tener, el móvil con la app, de este modo, el sms no sirve de nada.

En caso de cambio de móvil, el protocolo debe garantizar que ninguna persona se hace con una activación de la app, hay varios modos: verificación a varios niveles: física en oficina, alerta al móvil anterior y tiempo de espera, llamada de control con preguntas de seguridad, etc.

También es cierto que las compañías de telecomunicaciones DEBEN mejorar su seguridad, pero eso, en mi opinión no exime a los bancos, que por comodidad, a día de hoy, permiten claves de acceso de 4-6 números y no hablo solo de las tarjetas, por ejemplo: pibank, ingdirect, bankia...

¿Alguien conoce haveibeenowned.com? Pues hay compañías que lo usan activamente.

De hecho, puede que haya bancos y esto no lo voy a confirmar, que en función del uso de la tarjeta y/o de la app móvil o de la información sobre roaming que podrían contratar a los operadores españoles, determinadas operaciones hechas de X países no permiten realizarlas a los clientes y tendrian un porcentaje de falsos positivos cercano a cero con dicha técnica.

La seguridad no se ve, está ahí y es cierto que debe mejorar más. Pero es sólo una opinión.

🗨️ 19
heffeque
3

100% de acuerdo. Es el banco el que decide no implementar bien la normativa PSD2.

Aun así... personalmente no estoy de acuerdo en que, dentro de poco, para casi cualquier cosa, yo tenga obligatoriamente que tener la aplicación del banco instalada, o lo que es lo mismo: tengo que tener un móvil con Android (Google) o iOS (Apple). ¿Y si quiero un teléfono tonto? ¿Y si no quiero tener móvil? ¿ya no habrá manera de hacer nada simplemente con el ordenador?

Y para los que dicen "siempre te quedará la oficina", dime tú cómo se lo van a montar algunos, cuando pasa esto cada vez más: merca2.es/banco-santander-cierre-oficinas-ere/

Al final, con tanto paso a lo digital, nos estamos metiendo en un cuello de botella donde cada vez más estamos todos a merced de las empresas (y a día de hoy el poder que ya tienen es bestial). Ejemplo lo de los Suecos, que están dando marcha atrás a su paso a librarse del dinero en efectivo: www.elconfidencial.com/mercados/2018-11-…tal_1652502/

🗨️ 5
BocaDePez
BocaDePez

Yo mismo tengo varias cuentas de banco y ningún móvil Android ni iOS, no los quiero

🗨️ 2
heffeque
1

Pues si PSD2 sigue adelante como en teoría va a seguir... probablemente te tocará en algún momento tener aplicación móvil para poder operar online :-\

🗨️ 1
BocaDePez
BocaDePez
1
BocaDePez
BocaDePez
1

Un segundo factor correcto se basa en:

  • Algo que tienes. (Smartphone)
  • Algo que sabes. (Contraseña)
  • Algo que eres. (Huella dactilar)

Con los tres factores, se puede asegurar la seguridad a un mayor nivel, pero para ello, es evidente que se requiere de ciertas "infraestructuras".

🗨️ 1
heffeque
2

Yo no me fío de lo biométrico.

Si te roban la contraseña, la cambias.

Si te roban/hackean la huella dactilar... dime tú qué puedes hacer de ahí en adelante.

En China un hombre utilizó la cabeza de su esposa recién asesinada para intentar sacar dinero mediante reconocimiento facial.

BocaDePez
BocaDePez
2

Y yo que no quiero usar un smartphone qué hago? Me quedo sin banco? Paso de regalarle toda mi vida digital a Google/Apple o quién sea para poder tener un servicio básico.

🗨️ 11
rbetancor
1

Hasta que no decidan hacer desaparecer del todo los cajeros y las tarjetas de crédito, tienes ese otro canal de comunicación con tu eslavizador, digo ... con tu banco.

🗨️ 10
BocaDePez
BocaDePez
2

Hombre, con que me garanticen que con sms me vale...

🗨️ 9
rbetancor
1
🗨️ 7
NetSpot
1
🗨️ 6
rbetancor
🗨️ 5
NetSpot
🗨️ 4
rbetancor
🗨️ 3
NetSpot
🗨️ 2
rbetancor
🗨️ 1
NetSpot
BocaDePez
BocaDePez
BocaDePez
BocaDePez

Hace poco a una persona cercana le limpiaron 400€ (de a poquitos),se dió cuenta gracias a los mensajes de texto seguidos al móvil,ahora a esperar que el banco pague,es una putada.

rbetancor
2

Hombre ... eso de "en el último año" ... yo que he tenido y tengo cuentas en varios bancos, te puedo asegurar que el BBVA quitó lo de las tarjetas de cordenadas como a los dos años de implartarlo, porque se dieron cuenta de lo inútil que era el método, y quitaron ese método, puff ... por lo menos sería 2008 cuando dejaron de usarlo.

ING Direct, les siguió poco después, también las diferentes cajas que luego acabaron siendo Bankia.

La CAM (cuando existía), también lo quito al poco tiempo.

Creo que los único IMBÉCILES (porque hay que ser IMBÉCIL para pensar que la tarjeta de coordenadas es un método "seguro"), que lo siguen usando a día de hoy, son, como nó, los ladrones a cara descubierta de La Caixa, porque hasta el Popular (ahora Santander), lo quitó hace unos años, aunque fue de los últimos.

El tema de "lo fácil" que es metersela doblada a una operadora, no tiene ni nombre, desde hacer gestiones por teléfono a nombre de otro, pedir altas nuevas online sin ningún tipo de verificación de los datos, etc.

Si sumamos la "facilidad" para modificar/clonar/hijackear servicios de telecomunicaciones, con la creciente manía de todo dios, de usar el Smarphone para todo (normal, todo el mundo tiene uno en el bolsillo y se preocupan más de tenerlo cargado y con cobertura, que de que sus hijos no los atropelle un coche), pues tenemos un caldo de cultivo perfecto para redes mafiosas que cometen todo tipo de tropelias ... y eso ya lo he visto en diferentes noticias.

🗨️ 29
NetSpot

Explícate en cuanto a la seguridad de las tarjetas de coordenadas, porque, a excepción del phising, teniendo en cuenta que son tarjetas aleatorias, son bastante más seguras, a mi modo de ver.

Si es porque el vector es cliente, que es un .... que mete datos donde no debe (que sí, que ya sabemos por qué), no veo el problema de seguridad.

Que, por cierto, ya que mencionas al BBVA, tengo oído que este mes van a implementar ellos los SMS o apps o algo.

Personalmente, la seguridad en dos pasos me parece absurda. Entre el regalo de datos que hace la gente por ahí y que los servidores de algunas compañías parecen un colador..., ¡qué más da el SMS! Porque esto, en EEUU, vale, pero como se empiece a hacer popular por aquí... ozú.

Tan difícil sería como obligar a reclamar cualquier incidencia en la SIM en tienda física pero, claro, como estamos quitando hasta las tiendas físicas de las operadoras para ahorrar costes...

¡Ay!, pues se usa certificado digital (FNMT, DNIe) y se hace online. ¡Ay!, que no, que la gente no sabe usarlo :-/

(¿Hay ya algún método nativo estándar en los navegadores para firmar, o aún hay que tirar de Java o implementaciones varias?)

Estamos jodidos.

Que no me pase, una por una :-/

🗨️ 15
elcompartidor
1

Autofirma autofirmaja y el propio administrador de certificados del navegador, a mí me van a la perfección hasta en Linux, ahora. Eso sí. No cualquiera sabe instalarlo y configurarlo, h el hecho de que los propios certificados de la fmnt no estén autencitados en los sistemas operativos ...

🗨️ 6
NetSpot
1

Aja, ya veo.

Hace tiempo que no firmo nada con certificado. Parece que en el W3C aún no se ha puesto de acuerdo con aquella crypto API (yo es que uso un navegador "viejo", preguntaba más por los que estéis más "actualizados").

El otro día me tocaba renovar el de la FNMT y cuando vi que había que instalar Java y poner Autofirma dije, anda y que le den (un paquete ya preparado por ellos de ciento no se cuantos megas). Así que, prefiero tirar de DNIe para autenticación mientras. Con lo limpito que tenía el sistema lo iba a enguarrar... y hasta hoy :D

Con lo bien que iba por JavaScript en versiones anteriores de los navegadores Mozilla y derivados.

🗨️ 5
elcompartidor
🗨️ 4
NetSpot
1
🗨️ 3
elcompartidor
1
🗨️ 2
NetSpot
1
BocaDePez
BocaDePez
rbetancor
1

Explícate en cuanto a la seguridad de las tarjetas de coordenadas, porque, a excepción del phising, teniendo en cuenta que son tarjetas aleatorias, son bastante más seguras, a mi modo de ver

De aleatorias tienen poco, recuerdo un artículo de una CCC que explicaban con pelos y señales que algoritmo de generación usaba una conocida firma financiera. Rebuscado, pero predecible. Evidentemente no todas eran así.

El tema de inutilidad de las tarjetas de coordenadas, es que 1, son incómodas de utilizar, cuando ibas a hacer una operación a buscar la dichosa tarjetita y a ponerte a jugar al hundir la flota. La gente quiere comodidad, aunque sea a costa de seguridad. 2, se perdían con una facilidad flipante ... y para sacar una nueva te podías pegar 20 días, lo que para mucha gente era inadmisible, lo que llevaba a el habitual método de "la fotocopia", ampliamente utilizado en las empresas, lo que reducía la seguridad del método a 0

Que, por cierto, ya que mencionas al BBVA, tengo oído que este mes van a implementar ellos los SMS o apps o algo.

El BBVA lleva con SMSs el sistema de clave de entrada+clave de operación+sms de confirmación, desde el 2008. Lo que van a implementar a partir del 14 de Octubre, es la nueva normativa europea de seguridad sobre las transacciones electrónicas. Añadiendo un generador de tokens en la APP, ya se usaba desde hace años en BBVANetCash empresas y ahora lo van a extender a todos los clientes). El Santander también ha avisado ya que van a implementar la nueva normativa.

Creo que la normativa es de obligado cumplimiento a partir del año de viene, pero los bancos Españoles suelen ser los primeros en Europa en implementar medidas de este tipo.

La autenticación en 2 pasos, se usa de muchísimos años para la validación de la firma de las operaciones.

El tema de los certificados digitales/DNIe, etc. ... es un puro problema de comodidad, como mismo era un problema las tarjetas de coordenadas.

Todo esto se arregla el día que te obliguen a meter un chip por el culo, que te haga un análisis de ADN cada vez que quieras hacer una operación ... ¡ya verás que cómodo y seguro! ... XDD

La gente quiere seguridad y comodidad ... y está históricamente demostrado, que cuanto más comodidad, menos seguridad.

🗨️ 7
PercebesBenz
1

Yo uso la App de sabadell y es un infierno. No es sólo que sea penosa en UX, vaya lenta y no funcione más del 2/3 de las veces, es que la deben usar para sacar métricas y mierdas porque el móvil se calienta una barbaridad.

Es tan insoportable que uso otro banco para cualquier operación que no sea sacar del cajero simplemente porque usan sms y pista.

🗨️ 4
rbetancor
1
🗨️ 3
PercebesBenz
1
🗨️ 2
rbetancor
1
🗨️ 1
NetSpot
1

Entonces, no eran tan inútiles las tarjetas de coordenadas. Cumplían perfectamente su función.

Y si eso resultaba incómodo..., tendrán que meter un chip por el culo, sí. Tal vez así...

🗨️ 1
rbetancor
1
CMov
1

Creo que los único IMBÉCILES (porque hay que ser IMBÉCIL para pensar que la tarjeta de coordenadas es un método "seguro"), que lo siguen usando a día de hoy, son, como nó, los ladrones a cara descubierta de La Caixa, porque hasta el Popular (ahora Santander), lo quitó hace unos años, aunque fue de los últimos.

Yo llevo un tiempo trabajando con la APP de firma en el móvil de La Caixa... Y cuando cambié de móvil (ni siquiera de SIM) la APP lo detectó y estuve obligado a ir a la oficina para autorizar el cambio.

Una cosa con la que hay que gastar cuidado es no usar nunca la contraseña de nuestra cuenta gmail o apple como contraseña para servicios de terceros. Es ahí donde se están centrando ciberdelincuentes de tres al cuarto ahora, ya que es relativamente fácil cambiar las contraseñas por SMS una vez sustituida la SIM.

BocaDePez
BocaDePez
1

Infórmate mejor. CaixaBank también ha prescindido de tarjeta de coordenadas, tiene una app que la sustituye.

🗨️ 3
rbetancor
2

Mejora tu comprensión lectora, el párrafo que nombra lo de La Caixa empieza por un "Creo que ...", lo que implica que no tengo la certeza y por lo tanto NO ESTOY afirmando que La Caixa siga usando el sistema de tarjetas de coordenadas.

🗨️ 1
calanor

Pues si que las sigue usando en entorno web pero va siempre acompañado de una confirmación por sms.

BocaDePez
BocaDePez

Mi padre tiene La Caixa y usa la tarjeta de coordenadas

dakotabcn
2

tu lo dices de imbeciles, pero para mi es mejor ese sistema que una aplicacion movil que puede ser hackeada o suplantada

las tarjetas contactless que llevo piden pin desde 1ct, tengo tarjeta de codigos ... las tarjetas son algo muy codiciado y cuanto mas trabas ponga mejor, la app de la caixa lleva tiempo diciendome que deje de usar la tarjetad e codigos y vincule el movil a las tarjetas... y mira... soy MUY reacio a esto, sera pq soy informatico y me fio poco?

🗨️ 5
rbetancor
2

Si las cosas se hacen bien, la app, ni puede ser suplantada, ni hackeada ... pero claro, hay que hacer las cosas "BIEN" ... y eso es CARO, aunque viendo lo que he visto de pasta que se gastan los bancos en ciertas cosas de IT ... creo que en esto también se lo han gastado.

Por ahora, todos los hackeos de los que se tiene conocimiento de apps de banca, se han basado exclusivamente en ingenería social ... que dicho sea de paso, es un vector mucho más simple de explotar.

A medio plazo, el objetivo de los bancos es muy simple, el cierre de todas las sucursales físicas y que todo lo hagas por el móvil o por internet y que básicamente les pagues comisiones por hacer de intermediarios en el movimiento de bits.

🗨️ 4
BocaDePez
BocaDePez
1

aunque viendo lo que he visto de pasta que se gastan los bancos en ciertas cosas de IT ... creo que en esto también se lo han gastado

Díselo a los clientes del TSB Bank en el Reino Unido, subsidiaria del Sabadell, cuando hicieron la migración de plataforma, y fue un maldito caos, con clientes viendo la información de las cuentas de otros clientes, transferencias perdidas en el limbo, errores en las bases de datos, particulares y empresas sin poder acceder a su dinero, etc etc.

Fue tal la magnitud del desastre montado que llegó al parlamento británico e incluso se planteó suspenderle la autorización para operar como banco en el Reino Unido.

Encima luego te enteras por canales "alternativos" que ya se había retrasado una vez la migración hacia meses, y que la orden en ese momento fue algo del estilo: "Esto se migra ahora, SI o SI"

🗨️ 1
rbetancor
1
lordman

Te puedes gastar todos los millones de euros que te de la gana pero si resulta que al final acaba haciendo lo que sea la subcontrata, de la subcontrata de la subcontrata.... de la subcontata.... que a saber el CV y la experiencia de quienes estan haciendo las cosas.... pues ya te digo, si te gastas 10 millones como si te gastas 100.... y 1000 por que no creo que los den por que si los dieran tambien los fundian para nada. Mientras poco mas o menos de cada millon de euros el 99% se vayan en intermediarios, comisionistas, enchufados, asesores, parejas, amantes.... y el 1% en chavales mileuristas puteados, no hay nada que hacer.

Hasta que no se obligue a la empresa que se encargue de todo a con personal propio, y previa validación de cada CV, que se encargue de la chapuza en cuestión, no va a funcionar nada bien nunca.

Ah, se me olvidaba, fundamental, y de ese 99% tambien se tiene que ir dinero a cenas, fiestas, alcohol, coca y putas.

BocaDePez
BocaDePez

Yo taladro las tarjetas nfc con una broca muy fina para cortar la antena

BocaDePez
BocaDePez
2

Las tarjetas de coordenadas este mes de septiembre seguramente desaparezcan en todos lados por la directiva de PSD2.

🗨️ 1
rbetancor
1

Me he encontrado el aviso al entrar en los bancos online, lo que no me he parado a leer la normativa nueva, pero en el aviso decían que a partir de el 14 de septiembre, todo acceso a la banca online, tenía que ser autenticado con la app del banco.

Supongo que usarán algún sistema de 2FA con un token software integrado en las apps.

Bramante
2

por vía telefónica y mediante Ingeniería Social

Que se lo digan a Jack Dorsey.

Él, el más reciente, pero ni muchos el único al que han logrado suplantar ante su operadora y hacer un SIM swap y barra libre.

Yo activo 2FA en todo aquel servicio que me lo permite. Si el servicio me permite elegir, siempre 2FA TOTP sin fallback a móvil.

🗨️ 1
BocaDePez
BocaDePez
1

Respecto a la clonacion de sim por parte de VF , recuerdo que una vez tuve que hacer un duplicado en una sim propia pq no se pq , no la leia mi terminal, pues tuve que presentar DNI y firmar un papel conforme me han hecho el duplicado (la sim vieja la cortaron delante mia).

El de VF que hizo eso se ha lucido pq se ha pasado los estándares mínimos de seguridad por el forro de los h****s , de todas maneras la ingeniería social es el mejor hack del mundo y seguirá siéndolo.

Respecto a ING Direct , seguimos conm tarjetas de coordenadas,imagino que en breves pondrán lo otro etc etc , de todas maneras soy de los que cada día veo las cuentas que tengo en los bancos pq 1 : no me fio de ellos 2: el gran problema de las subsubsubsub contrataciones (que no del empleado de la cárnica que seguramente tenga conocimientos suficientes , sino de que tenga que hacer 30 cosas a la vez para mantener su puesto con sus posibles "olvidos")

BocaDePez
BocaDePez
1

¿No hay ningún caso similar en Orange, Movistar, OMV's...?

Pregunto.

BocaDePez
BocaDePez
2

Que pesaitos con las APP, no no uso android ni similares, me gusta la tarjeta de coordenadas lo veo seguro que esta generada aleatoria realmente

🗨️ 2
BocaDePez
BocaDePez
2

O que a los clientes nos proporcionen un dispositivo de estos que generan códigos de autenticación. Que le den por culo a las apps.

abetancort
1

Y seguro que apuntas tú usuario y clave en la tarjetita de marras para tenerlo a mano siempre.

BocaDePez
BocaDePez
2

Yo vería bien que los bancos empleasen 2FA con software token y que cada usuario utilice la app que más le guste (Authy, por ejemplo). Me parece un método bastante seguro. También es cierto que en general la gente es demasiado cazurra como para saber utilizar esas cosas. Pero vamos, a mí me gustaría tener la opción; hasta los "bancos" más cutres de criptomonedas tienen esto implementado.

🗨️ 1
BocaDePez
BocaDePez
1

Me gusta Authy, creo que entre la contraseña, la huella y authy, se quitarían de enmedio muchos SMS y problemas.

+1

BocaDePez
BocaDePez
1

cash is king

abetancort
2

Menos exagerar.

Los bancos mínimamente seguros usan una clave de firma (que tú tienes) y el token que ellos generan y te envían por sms. Pero sin la clave de firma por mucho sim que clonen no van a ningún lado. Si usasen el mismo sistema que usa Apple para darte el segundo factor (token) sería un sistema muchísimo más seguro, ya que te la envían directamente por datos cifrados a los dispositivos que tu tienes autorizados en cada momento y por si fuera poca la seguridad además te avisan en todos tus dispositivos autorizados de la solicitud y desde donde se ha producido esta... Pero no le pidas tanto a la banca española y la mayoría de la extranjera.

En cualquier caso la obligación de aumentar de seguridad usando un sistema de dos factores proviene de la normativa de UE para la armonización de los sistemas financieros en la Europa, que si no algunos seguirían con la puñetera tarjeta de coordenadas.

🗨️ 2
vukits
1

¿Tú no estabas baneado? xD

🗨️ 1
abetancort
1

Me perdonarían, supongo.

BocaDePez
BocaDePez
1

no se que problema le veis a la tarjeta de coordenadas, yo la tengo en google drive encriptada por si algun dia la necesito por ahi, cosa que dudo, y aunque el algoritmo de generacion aleatoria sea una castaña si el atacante no sabe que numero de tarjeta tengo o unos cuantos numeros existentes no puede hacer nada, y esta informacion solo la puede conseguir con ingenieria social o entrando en mi casa, y con cualquiera de estos dos metodos se puede petar la seguridad de otros sistemas 2fa, asi que ....

BocaDePez
BocaDePez

Lo ideal seria con un sms y con el dni por nfc firmar... pero de momento el punto debil es el sms,

Con los bancos seguramente recuperes el dinero pero ya se han dado caso con hackeo de cuentas en webs de intercambio bitcoin. ahi si que no vuelves a ver el dinero , te cambian la password del gmail y si usabas la misma password en algun foro de esos que han sido hackeados y la almacenaban en md5: adiós.

Walid

El tema de que hayan muchos distribuidores de Digi en locutorios me da intranquilidad, el hecho de que a mis 12 años de den una tarjeta Lycamobile sin dni y con datos inventados me preocupa, todo en un locutorio que a día de hoy sigue activo. Hace 2 días hice duplicado en un locutorio para mi tarjeta Digi y ni dni me pidieron, solo nombre y apellidos y listo. Cuidado con los locutorios, os pueden hacer algún duplicado y joderos como ya he visto que le han hecho a algunos del foro.

1