BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate

Cuidado con Bizum, tiene una vulnerabilidad que permite dar de alta números ajenos

1
Tinkinaz304
19
Fallo Bizum

Bizum es un sistema de envío de dinero entre particulares, una alternativa a las transferencias bancarias, que miles de personas utilizamos cada día y que utilizamos cómodamente para reemplazar las ya conocidas transferencias bancarias ahorrándonos así poner el IBAN en una transferencia.

Para disponer de Bizum, es necesario que previamente tu número de teléfono esté registrado en una entidad bancaria y te des de alta en el servicio del siguiente modo:

Entra al apartado de Bizum. Introduce tu número de teléfono móvil y pulsa en Continuar. La aplicación te enviará un código de verificación por SMS para comprobar la propiedad del número. Introduce este código en la aplicación, en el apartado correspondiente.

Normalmente este debería ser el método habitual para el registro de un número de teléfono en el servicio de Bizum, como también lo debería de ser cuando te das de alta en cualquier entidad bancaria, red social, servicio de mensajería o cuenta que requiera del uso de un número de teléfono móvil.

Números suplantados en Bizum

Sin embargo el año pasado, un amigo me cuenta que un familiar (que tiene un número algo sencillo de recordar) había sido víctima en varias ocasiones, de un tipo de suplantación en el servicio de Bizum. Ese familiar víctima de la suplantación, nunca utilizó Bizum, pero su número de teléfono misteriosamente un día apareció dado de alta a nombre de otra persona (sin previo aviso ni notificación a su teléfono móvil) lo cual hizo saltar todas las alarmas.

La gente cuando quería pagarle le preguntaba si tenía Bizum y él decía obviamente que no, pero la gente insistía en que le aparecía que sí tenía Bizum ya que les salía un símbolo en los contactos como que sí tenía. Tras contactar con el servicio de ayuda de Bizum y éstos solicitarle una factura del número, Bizum procedió a dar de baja el número de teléfono en su servicio, dejando de constar ya como asociado a la plataforma, e informándole Bizum en aquel entonces que la entidad en la que constaba dado de alta era una llamada "Bankoa".

Al cabo de unos meses se volvió a repetir la misma historia, pero esta vez Bizum ya no informaba qué entidad era la que había dado de alta su número de teléfono, simplemente decían que avisaban a esa entidad y procedían con la baja del servicio, (así hasta en numerosas ocasiones).

Esta persona dispone de un número sencillo de recordar, quizás por este motivo pueda ser más susceptible a que pueda ser utilizado para pruebas o asociado a otras cuentas bancarias de forma accidental o fraudulentamente. El problema es que aunque ésta persona tenga un número sencillo, si el banco dispone de un sistema de verificación por SMS "OTP" y Bizum también, estas cosas no deberían de ocurrir de ningún modo.

Bizum se cubre las espaldas al decir que los encargados en dar de alta el número en su servicio es la entidad bancaria, que si éstos no piden SMS de verificación OTP, es la entidad bancaria la culpable del registro, que se trata de una disputa no comercial y que ellos no pueden hacer nada para solucionarlo.

Mis pruebas

En las pruebas que yo he realizado en distintas entidades bancarias para descubrir el funcionamiento de las mismas, en todas ellas, se me ha pedido verificación por SMS OTP para darme de alta en Bizum, así como para asociar mi número de teléfono a mi cuenta bancaria, excepto en ING, pero Bizum dice que ING no es la culpable del fallo, sin nuevamente indicar qué entidad es la culpable del problema para poder reportarlo.

Todo esto está denunciado, sin que por el momento las autoridades hayan hecho nada al respecto.

A raíz de lo sucedido con esta persona, empecé a utilizar Bizum no para enviar o recibir dinero que viene siendo lo habitual, sino más bien para saber quienes están detrás de algunos números que me llamaban. Cuando recibía una llamada de un número que no conocía, lo metía en Bizum simulando solicitar dinero, y ahí me aparecía el nombre de una persona que si bien era real o no, podía conocer o no conocer, pero al menos podía darme una idea de quién podía estar detrás de un número de teléfono, era un pequeño truco que utilizaba sobretodo cuando compraba o hacía ventas por internet y para saber si trataba con gente lo más fiable posible.

Por otro lado, haciendo mis propias investigaciones y comprobando números inexistentes al azar, podía ver que realmente la vulnerabilidad en el servicio bancario y Bizum como tal sí existe, números sin asignar a ningún operador en la CNMC como el 700000000 (dado de alta en Bizum a nombre de "Jose Calixto P.S.") o el 799999999 (dado de alta en Bizum a nombre de "Rafael Z.C.") me hacen pensar que realmente el problema como tal sigue existiendo y es real, ya sea en Bizum o en la entidad bancaria, y creo que tienen tanta culpa la entidad bancaria como Bizum, por que no se tomaron medidas cuando se les ha avisó en numerosas ocasiones del problema.

Creo que Bizum debería de poner de su parte y exigir un mínimo de responsabilidad con las entidades bancarias que ellos saben que tienen una brecha de seguridad o no verifican los números mediante código OTP que proporcionan sus clientes. Si Bizum sabe que un banco asocia un número sin verificarlo, no deberían de permitir que se pueda dar de alta en Bizum a ninguna entidad sin requerir de forma obligatoria un SMS de verificación, así por lo menos el número se asocia a una entidad bancaria, pero no a un servicio como Bizum, que permite enviar y recibir dinero.

Una vez dado de alta en Bizum el número, esto da pie a que se pueda utilizar dicho número para enviar o recibir dinero, todo esto sin la legítima autoridad del propietario del número suplantado. En este caso estamos hablando de números ficticios como el 700000000 o el 799999999 ¿pero qué sucede si hablamos de números reales? Vamos a ello.

Números de atención al cliente de operadoras dados de alta en Bizum

Los números de atención al cliente de Vodafone, Movistar, Yoigo y Digi, dados de alta "presuntamente" fraudulentamente, en el servicio de Bizum.

Adjunto una imagen, donde se puede apreciar que números reales de atención al cliente de las principales compañías de telefonía, están dados de alta en el servicio Bizum. Por supuesto, antes de publicar dicho post, se avisó y consultó a las compañías que menciono, donde todas ellas confirman no disponer del servicio Bizum en ninguno de sus números de atención al cliente, todos estos números sin la posibilidad de poder recibir SMS, son números internos que las compañías sólo utilizan para la recepción de llamadas a sus servicios de atención al cliente. Adjunto captura. Cualquier persona que tenga guardado estos números en la agenda de sus teléfonos o realicen una simulación de enviar o solicitar dinero, podrán comprobar que estos números están dados de alta en Bizum con fecha 27/11/2023.

BizumFraude

Ahora bien, dicho todo esto ¿creéis que a día de hoy podemos fiarnos de cualquier empresa? Pues tristemente no.

Consejo: Revisad bien a quien enviáis dinero, comprobad bien el nombre (hay gente que no lo hace) y si veis cualquier cosa rara, denunciarlo a la guardia civil y avisad a Bizum con denuncia ya puesta y todas las pruebas con capturas. Espero que Bizum y las entidades implicadas solucionen el problema que llevan años sin resolver, por que lo mismo que existe el SIM swapping, Spoofing o los vaciados de cuentas bancarias, también están estos problemas relacionados con Bizum y las entidades bancarias.

lhacc
lhacc
-7
🗨️ 28
lhacc
lhacc
0
lhacc
lhacc
5
🗨️ 1
Weikis
Weikis
2
🗨️ 20
Weikis
Weikis
1
🗨️ 11
lhacc
lhacc
k-lamar
k-lamar
🗨️ 5
k-lamar
k-lamar
🗨️ 3
k-lamar
k-lamar
🗨️ 1
superllo
superllo
🗨️ 2
rbetancor
rbetancor
0
Alexvr
Alexvr
1
🗨️ 6
Alexvr
Alexvr
🗨️ 4
Weikis
Weikis
🗨️ 2
Weikis
Weikis
Policia
Policia
🗨️ 1
lhacc
lhacc
-1
EmuAGR

Menuda vergüenza la ciberseguridad en este país y los métodos de verificación de identidad "alternativos". Me recuerda al bypass de WPS.

🗨️ 3
Tinkinaz304
1

Bizum se lava las manos, la culpa es de la entidad bancaria y se trata de una disputa no comercial. Pero claro, ellos no exigen a la entidad bancaria que pidan obligatoriamente el SMS del registro. Pues así estamos, luego vienen las noticias de que se han vaciado las cuentas y nadie sabe por qué ha sido xD.

🗨️ 1
pjpmosteiro
1

la culpa es de la entidad bancaria y se trata de una disputa no comercial.

Correcto. Por ejemplo, Openbank confirma la alta con su propio sistema de OTP, no con el SMS de Bizum.

Openbank lo detalla en el contrato de Bizum. Ellos solo transfieren tres datos al Directorio Unico: Teléfono, NIF y un alias (nombre y las iniciales de sus dos apellidos). Por ende, el responsable final de transmitir los datos a Bizum son las Entidades.

rbetancor
2

Para que exista la ciberseguridad, primero, más de una empresa/administración pública, tendría que entender que significa seguridad, que significa custodia de datos y sobre todo que significa la palabra RESPONSABILIDAD… ninguno de esos puntos se da en Españistan, lo sabes de sobra. Esto no es un país serio, es un patio de recreo de matones y chulos playas.

Jav9i

No sé otra gente, pero para 4 bizums que hago al mes no me cuesta nada (y ya lo hago) mirar el nombre y que cuadre.

Y si Paco dice que no tiene Bizum, lo mismo Paco no tiene Bizum y no le mandes el Bizum aunque te aparezca como que tiene.

Tinkinaz304
2

A ver lo que duran estos números en Bizum, lo iré revisando a ver cual es la compañía que consigue primero que se lo den de baja. Sólo espero que la noticia llegue a la entidad culpable y lo solucione, ya que por ahora se enfrentan a un problema legal por suplantar los números de atención al cliente de las principales compañías de telefonía. Esto ha sucedido por que no se tomó medidas cuando se les avisó hace tiempo.

nenett
1

Gracias por el post, este hecho ya lo conocía puesto que lo pude comprobar de manera accidental y estoy hablando de hace un año y pico, lo que no imaginaba es que seguiría ocurriendo. Muy interesante las averiguaciones adicionales que has realizado. Gracias por compartir y notificarlo.

🗨️ 2
Tinkinaz304
2

De nada, gracias a ti por corroborar lo que he comentado. Pues sí, lamentablemente sigue ocurriendo. Lo que sí es muy épico es que haya alguien, que tenga en su cuenta bancaria el número 622 622 622 de atención al cliente de Yoigo asociado a su cuenta bancaria y a Bizum. No me quiero ni imaginar si esa persona, la tal Raquel T.D habrá recibido algún Bizum por parte de algún cliente de Yoigo, o lo habrá enviado, desde el número del servicio de atención al cliente de Yoigo xD.

A ver como explican esto los listillos de Bizum, que son los que han permitido dar de alta en su plataforma estos números sin verificación por SMS.

🗨️ 1
ElRaitan

Imaginate la cantidad de pagos que ha recibido esta tal Raquel T.D desde SMS fraulentos enviandos a numeros Yoigo, suplantando a dicha empresa y diciendo que tiene una factura pendiente y que haga el pronto pago por Bizum a dicho numero…

Cuando fui a una feria y vi que los cocheschocones, las colchonetas hinchables ponia se acepta pago por Bizum…y cambian el numero cada cierto tiempo…ya te hace que pensar.

Jean-Claude

Lo de que te salgan datos poniendo el número a mi me pone los pelos de punta. ¿No podría meterles mano la AEPD por eso?

🗨️ 21
Tinkinaz304

¿Te refieres al nombre y las iniciales de los apellidos? Seguramente no, la AEPD solo mete mano a quien le interesa, como dicen por aquí, esto es un patio de recreo con matones y chulos playas.

Todavía estoy esperando a ver la multa que le van a poner a PTV Telecom por la filtración de datos que han tenido donde hay muchos datos algunos de ellos de tarjetas bancarias y todo.

🗨️ 19
CMOr
1

Solo se considera dato personal al dato o conjunto de datos que permiten identificar a una persona concreta, y con el nombre y las iniciales del apellido no puedes identificar a nadie.

🗨️ 18
lhacc

Los datos que tienes son número + nombre + iniciales. Yo creo que sí es ilegal.

🗨️ 16
CMOr
CMOr
🗨️ 10
lhacc
lhacc
🗨️ 8
CMOr
CMOr
🗨️ 6
lhacc
lhacc
🗨️ 5
CMOr
CMOr
🗨️ 4
lhacc
lhacc
🗨️ 3
CMOr
CMOr
🗨️ 2
lhacc
lhacc
🗨️ 1
rbetancor
rbetancor
lhacc
lhacc
-2
🗨️ 3
lhacc
lhacc
rbetancor
rbetancor
1
garzacorp
1

Que se lo digan a un tal M. Rajoy y una cierta caja B que nunca consiguieron identificar a quien era 🤣

pjpmosteiro

No, está en los términos y condiciones que OBLIGATORIAMENTE tienes que aceptar para darte de alta desde tu banco.

Openbank lo detalla en el contrato de Bizum. Ellos solo transfieren tres datos al Directorio Unico: Teléfono, NIF y un alias (nombre y las iniciales de sus dos apellidos).

Wonder

Muy buen artículo, si señor!

De esos que, cuestan su trabajo hacer y dan una buena info.

Resto de comentarios ya repartidos por el hilo, pero el artículo / análisis en si, chapeau!

pjpmosteiro
5

Yo creo que, como ya he comentado, tenemos un problema en este país: No leemos antes de firmar.

Antes de todo hay que saber que es Bizum: Un procesador de pagos, como lo son Visa, Mastercard o Paypal. Su trabajo es procesar pagos, y ya. A que Visa o Mastercard no os piden el OTP en las compras? No, es vuestro banco a través del sistema 3DS de Redsys/Ceca. Por eso, aunque esteis comprando en una web china, al poner vuestra tarjeta española, Visa o Mastercard pasan la petición de cobro al banco, que luego es quien le dice a Visa/MC "Hey! Falta la confirmación!" y es cuando se nos redirige a la pasarela de Redsys de nuestro banco para autorizar ante nuestro banco, no Visa/MC la transacción.

Por eso Bizum se lava las manos en temas de RGPD, al igual que Visa/MC ellos reciben la info de las entidades participantes, no es su trabajo verificar esa info (de hecho en mis tarjetas a veces aparece mi nombre completo o solo mis apellidos, depende de lo que quiera el banco). Pero otra cosa es temas de disputas de pago, ahí si que Bizum debe y tiene que intervenir al ser parte de la transacción, igual que Visa/MC.

Con esto claro, vamos con Bizum. Bizum es un sistema creado por los bancos para pagos instantáneos. Igual que para que dos bancos puedan hacer una transferencia via Banco de España tienen que tener caja ambos allí, para operar en Bizum los bancos tienen que estar adheridos al sistema. Para eso, existe algo que llaman Directorio en Bizum, donde se inscribe al número de teléfono, NIF y alias (normalmente el nombre) para que, cuando alguien quiera iniciar una transacción, el banco pida info al Directorio sobre el teléfono y este le vuelque el NIF (no se muestra por RGPD pero el banco lo registra en sus sistemas para saber a quien manda el dinero, regulacion del BDE) y el alias de ese número. Reitero que ese alias es cosa de la entidad que inscribió al cliente.

Las Entidades ya han previsto esto en sus contratos, delegando en el cliente la responsabilidad de que el número proporcionado en el alta sea correcto. Otra cosa muy distinta es que la entidad no cumpla con las diligencias previstas en la normativa PSD2 que les obliga a tener el número de móvil del cliente actualizado para envio de OTP y contacto. Pero si el cliente no comunica el cambio de número, la entidad no puede hacer nada.

Asi que, no, no es obligatorio que recibas un OTP para darte de alta en Bizum, al igual que no lo es para otras muchas operaciones si el banco te tiene identificado de forma segura. El proceso de alta en Bizum es el mismo que solicitar una tarjeta o contratar un servicio, depende enteramente de la política de la entidad para esa clase de operaciones.

Por ejemplo, Abanca no pide OTP para operaciones hechas desde la banca móvil, porque te impide tener la app en más de dos dispositivos y te verifica la primera vez que entras, entre otras medidas. Para Bizum si piden OTP, pero porque es una contratación, no por otra cosa.

Openbank no pide SMS para contratar Bizum, sino que te pide Clave de firma y OTP recibido por la app (dependiendo de tu configuración de seguridad para contrataciones).

Así que lamento deciros que no, Bizum no está infringiendo ninguna ley, y las entidades tampoco (al leer la info del Directorio, digo). Si a tu familiar le apareció el número dado de alta, eso es porque una entidad lo ha registrado. Lo que tu familiar debe hacer es interponer denuncia en la Policia para que se abran diligencias y ellos puedan pedir info a Bizum sobre los detalles del alta, y a su vez pregunten a la entidad que lo dio de alta de donde sacaron el número. Bizum no te va a decir quien lo dio de alta porque entonces si que les meten un puro por RGPD.

Reitero: el responsable de enviar el número a Bizum es la entidad, y es esta última la responsable de que los datos sean ciertos y correctos, en caso contrario la Entidad está infringiendo la ley de protección de datos y, posiblemente, la ley del sector bancario que les obliga a verificar a sus clientes.

Yo cambiaría el título del post. La vulnerabilidad la tienen los bancos que permiten esto sin verificar al cliente, no Bizum en sí. A ver si verificamos un poco la información que mandamos a portada porque este titular y el contenido lleva a malentendidos.

PD: Bankoa se extinguió hace 2 años. Desde 2021 se ha integrado en Abanca, y conozco muy bien sus protocolos de seguridad, para empezar NO se puede cambiar el movil por banca electrónica, solo por teléfono u oficina.

🗨️ 4
Cryptoeconomy21
1

Saludos , Abanca si te deja instalar la app en más de 1 dispositivo ,yo de hecho tengo varias.

Lo que puede ser es que no deje en otra dirección,eso ya no lo sé ,olomejor tú lo sabes mejor ,sería interesante saberlo.

🗨️ 3
pjpmosteiro

Cierto, si que lo permite, con la anterior versión nunca me dejó. Es cierto que te tira la sesión si entras desde otro dispositivo, pero permite asociarlo sin problemas.

Una para aprender, gracias, lo corrijo ahora mismo.

🗨️ 2
Cryptoeconomy21
1

Nada hombre, gracias a ti y a los que aportáis info tan útil .

Eso sí te avisa al momento al correo x SMS no recuerdo bien

🗨️ 1
baldio

En 2019 BIZUM enviaba un SMS a tu número "NOMBRE, actualmente estas dado de alta en BIZUM con BANCO1. Introduce 123456 para darte de baja y registrarte con BANCO2". Y era BIZUM porque lo tengo en la misma conversación que los SMS de "Has recibido un BIZUM de XX EUR de Fulatino por Concepto".

Pero puede que actualmente hayan cambiado y lo haga el banco.

🗨️ 4
Tinkinaz304
2

Bizum lo sigue enviando, lo digo yo más arriba con remitente BIZUM. A mí no me sirve eso de que la entidad bancaria únicamente tenga la culpa y asocie números inventados a sus clientes, o sean los propios clientes los que asocien los números que les den la gana y luego puedan darse de alta en Bizum.

¿No os parece demasiada casualidad que la misma entidad bancaria que permite asociar el número de teléfono en cuestión sin verificación por SMS OTP sea la misma que también permite el alta en el servicio Bizum también sin código SMS OTP de verificación? Esto es muy raro.

Si bien Bizum sabe que una entidad bancaria tiene un problema y ya está notificada del problema desde hace años (que tengo pruebas, y muchas) ¿por qué a día de hoy esto sigue sucediendo?

Ah ya sé, no me lo digáis, por que nunca se hizo nada por solucionarlo, y por que Bizum tampoco vetó a esa entidad que tiene el problema, hasta que se solucione, simplemente aquí lo que mueve el mundo es la pasta y ya está. Por eso insisto, espero que este fraude salga a la luz y se descubra qué entidad o entidades bancarias tienen el problema.

De momento os voy a decir una, en ING, podéis cambiar el número de teléfono de vuestra cuenta bancaria por el que os dé la gana, ponéis vuestra clave de validación móvil y se hace el cambio, ING no envía código OTP para verificar que el número asociado es correcto. Luego en 48 horas, podéis daros de alta en Bizum con dicho número de teléfono inventado y a tomar por culo, aquí no pasa nada. Lo mismo sucede al crear una cuenta en ING, no verifican que el número sea vuestro.

"Ya se le avisó a ING en mayo de 2023 del problema a sus correos: , y .

La respuesta de ING sólo del DPO y meses después es:

Actualmente, estamos trabajando en la posibilidad de incluir un bloqueo automático en la contratación pero dado que se requieren ciertos desarrollos y análisis técnico todavía no ha sido posible. Sin embargo, como le informamos en nuestra comunicación anterior, ING está trabajando en la implementación de medidas oportunas para que no ocurran incidencias similares en el futuro."

Como podéis imaginaros, yo no soy cliente de este banco desde febrero por lo menos.

CAJARURAL es otro banco del que no podéis fiaros. También asocia números ajenos a las cuentas bancarias de sus clientes. Tal y como adjunto en la siguiente imagen:

CAJARURALSMS
🗨️ 3
pjpmosteiro

Si bien Bizum sabe que una entidad bancaria tiene un problema

Es que a Bizum se la pela legal y técnicamente los problemas que tengan las entidades, allá ellos con sus clientes. La responsabilidad en este caso es de ING, no de Bizum.

Luego, esos SMS de RURALVIA… Tu estás seguro que son legítimos y no un intento de colártela? Lo digo porque RURALVIA no envía SMS en francés…

ya está notificada del problema desde hace años (que tengo pruebas, y muchas)

Pues entonces por favor, interpon reclamacion ante la AEPD y el Banco de España (pero también te digo, ING se unió a Bizum en 2020 y hasta hace apenas un año se requeria SMS para firmar operaciones por Bizum, ahora se hace con huella)

elperiodico.com/es/economia/20230322/anu…-dv-84995400

¿No os parece demasiada casualidad que la misma entidad bancaria que permite asociar el número de teléfono en cuestión sin verificación por SMS OTP sea la misma que también permite el alta en el servicio Bizum también sin código SMS OTP de verificación?

Estas mezclando conceptos. El número que te identifica en Bizum NO tiene que ser el mismo que tienes de contacto en tu banco. Usando como usas a ING como ejemplo, ellos solo permiten cambiar el móvil sin controles adicionales desde uno de los dos dispositivos seguros que tengas, y para convertir un terminal movil en dispositivo seguro tienes que meter si o si el OTP que te llega al móvil, por lo tanto es imposible cambiar tu móvil así como así, ING como mínimo te ha verificado la identidad una vez previamente.

Por si acaso lo pensabas, no, no puede haber dos clientes con el mismo móvil, ING no lo permite (y lo digo por propia experiencia). Si alguien cambia tu número de móvil asociado a tu NIF en ING, amigo mio tienes un serio problema de seguridad por tu parte, porque eso es que te han comprometido el terminal.

en ING, podéis cambiar el número de teléfono de vuestra cuenta bancaria por el que os dé la gana, ponéis vuestra clave de validación móvil y se hace el cambio, ING no envía código OTP para verificar que el número asociado es correcto.

Ese número al que luego mandan las claves OTP para firmar operaciones por web o banca telefónica? Hombre, se da por hecho que al cliente le interesa tenerlo correcto por la cuenta que le trae, y reitero, para llegar a esa parte te tienes que haber identificado con tu DNI, fecha de nacimiento y contraseña de banca electrónica. En caso de denuncia, el banco sabe quien se ha asignado que número, es cuestión de denunciarlo ante las autoridades.

🗨️ 2
Tinkinaz304

¿Cómo sabes que RURALVIA no envía SMS en francés? si entre algunos de esos SMS se ha colado alguno fraudulento con remitente falsificaso eso ya no lo sé, pero tras el aviso a RURALVIA ellos confirmaron el problema:

"En ese sentido, hemos detectado que se trata de un error informático y estamos trabajando para evitar que esta situación se vuelva a producir en un futuro.

Lamentamos enormemente las molestias ocasionadas y le agradecemos que nos haya informado al respecto."

Y qué casualidad que tras el aviso, ya no ha llegado ni un SMS más a esa línea…

Y ya está visto que a Bizum se la pela los problemas de las entidades, no debería darle igual, ya que luego son ellos los que recepcionan las quejas de los afectados y quieras o no es su servicio el que se está viendo involucrado en el fraude, por decirlo de otra manera, Bizum en el ajo.

🗨️ 1
Tinkinaz304
-1

Y estos quieren extenderse al extranjero jajaja. Ya incluso hay bancos que admiten poner números internacionales… en un futuro no muy lejanos vamos a ver vaciados de cuentas mediante números usurpados en Bizum, ya no hará falta hacer un duplicado de SIM, los delincuentes cambiarán el número de teléfono asociado a la cuenta bancaria y a Bizum y enviarán la pasta a números internacionales. Tiempo al tiempo, todo esto está podrido.

🗨️ 38
Alexvr

Desactivando la banca digital te ahorras todo este sufrimientos.

🗨️ 7
Tinkinaz304

Si le dices a tu jefe que te ingrese la nómina en efectivo y eso, pues claro!!

🗨️ 6
Alexvr

Que te la domicilie con el iban

pepejil

No sé qué clase de empresa es esa que te ingresa la nómina usando Bizum.

🗨️ 4
Alexvr
Alexvr
🗨️ 1
pepejil

en un futuro no muy lejanos vamos a ver vaciados de cuentas mediante números usurpados en Bizum

Bizum no "vacía" la cuenta de un tercero sin permiso. El sistema permite o enviar dinero o generar peticiones de envío de dinero. Nada más.

Que alguien use numeraciones sin uso para activar el servicio no lo veo un problema. El problema sería si se empieza a ver técnicas de "swipping" donde un número activo pasa al control de un tercero sin permiso del dueño original… Y eso será exclusivamente por negligencia del propio banco.

Bizum no permite un alta con otro banco sobre el mismo número si no se libera el servicio en donde esté dado de alta. Ya otra historia será cómo de fácil es suplantar la identidad de un tercero para dar de baja Bizum.

🗨️ 29
Tinkinaz304
-1

Veo que no has entendido nada de lo que digo. Si un delincuente en vez de acceder a una cuenta y hacer una transferencia utiliza Bizum con un número falso para sacar el dinero utilizando un bug de este estilo, claro que se puede vaciar una cuenta bancaria, lo que pasa que Bizum tiene un límite, quizás no se puede vaciar totalmente pero pueda dar lugar a aprovecharse el problema para hacer el fraude utilizando Bizum.

🗨️ 28
pepejil

Pues no sé si yo no te estoy entendiendo o no sabes cómo funciona Bizum.

La única forma en Bizum de que "te vacíen la cuenta" es que alguien genere una petición de pago y tú aceptes. Si tú no aceptas nada, no veo dónde está el problema.

🗨️ 21
pepejil
pepejil
🗨️ 16
pepejil
pepejil
🗨️ 14
pepejil
pepejil
k-lamar
k-lamar
🗨️ 11
Tinkinaz304
Tinkinaz304
🗨️ 10
k-lamar
k-lamar
🗨️ 9
Jean-Claude
Jean-Claude
🗨️ 4
Jean-Claude
Jean-Claude
🗨️ 2
k-lamar
k-lamar
🗨️ 1
rbetancor
rbetancor
k-lamar
k-lamar
Alexvr
Alexvr
🗨️ 1
pepejil
pepejil
1
pjpmosteiro

El que no lo acaba de entender eres tu, me temo.

Ya no sé como explicarte que hay medidas de seguridad para evitar esta clase de acciones. No existe en España (y te reto a desmentirme) ni una sola entidad registrada en el BDE y Bizum que permita enviar dinero por Bizum sin pedirte antes, como mínimo una vez en ese dispositivo, NIF, clave de acceso y clave OTP (me da igual si es para registrar el dispositivo por primera vez o para establecer un método alternativo de autenticación). A nivel bancario, la seguridad requerida para un bizum es equivalente a una transferencia bancaria.

Y esto es innegociable e innegable, porque va implícito en la normativa PSD2: hace falta algo que sepas (clave), algo que tengas (movil) y algo que seas (biometria). Normalmente se sustituye el tercer elemento por un SMS OTP, pero cada vez más se implementa la opción de la biometría.

Ningún banco, repito, ninguno puede permitirte tocar el dinero de tu cuenta sin haber pasado la verificación. La situación que planteas de usar un número falso sólo puede darse si alguien compromete tu dispositivo seguro (movil habitual).

Antes de escribir lo que escribes, deberías informarte bien. El propio ING utiliza la política de dispositivo seguro verificado para que solo desde ese dispositivo puedes hacer operaciones sin el OTP. ing.es/ennaranja/finanzas-personales/con…/psd2-que-es

🗨️ 4
k-lamar
1

Omites el detalle de que para hacer un bizum tienes que acceder a la operativa de la cuenta bancaria, hacer un bizum sería el menos de los problemas.

kafeolé

¿Lo estaran solucionando,no?

🗨️ 3
Tinkinaz304

No creo que la solución a este problema lleve tanto tiempo. No están solucionando nada. El número de atención al cliente de Yoigo ha sido suplantado hace poco, el mes pasado no estaba dado de alta en Bizum, lo sé por que tengo el número guardado en la agenda y el mes pasado no tenía Bizum. Y la primera suplantación si no recuerdo mal fue hace más de 1 año cuando le sucedió a la persona que comento en el post.

rbetancor

Para que lo solucionen, primero tendría que ser un problema REAL, con EFECTOS REALES. Como no se da el caso, da por seguro que no lo van ni a mirar.

pjpmosteiro

No se puede solucionar lo que no es un problema, ya lo he explicado más arriba.

pjpmosteiro
-1

Yo, lo digo en serio y despues de haber leido y discutido en el hilo, no sé como esto ha llegado a Portada. Y me mosquea un poco que este usuario esté soltando lo que suelta tan pancho.

Ya empezamos bien con un

un amigo me cuenta que un familiar

El usuario dice "a un familiar le han dado de alta sin permiso en Bizum desde Bankoa y, aunque le den de baja, siguen dandole de alta" y ya soltamos que hay un agujero de seguridad en un sistema de pagos? En serio? Que somos, AZ ahora?

Este usuario acaso ha contactado a Bankoa en su día (porque fue absorbida por Abanca en 2021 y esta última solo permite cambiar el movil por teléfono u oficina) para pedir explicaciones? Ha siquiera puesto una denuncia en la Policia por un más que evidente caso de suplantación? Que se sepa, NO. Y han pasado mínimo 2 años desde los hechos, tiempo ha tenido. Eso si, aunque Bizum le ha dicho que es cosa de la entidad y no de ellos, ha seguido erre que erre.

Sobre los números de Atención al Cliente registrados, a nadie se le ha pasado por la cabeza que quizá las compañias los tengan registrados a nombre de alguien interno para evitar suplantaciones?

No, es más sencillo y cabal soltar que están dados de alta "presuntamente" de forma fraudulenta, total, todos conocemos a las plantillas de Movistar o Vodafone personalmente… Porque claro, igual, por ejemplo, el 622 622 622 de Yoigo quizá sea para cobrar las facturas por Bizum? Nah, seguro que no. Anda, espera, si que se puede! 2 Anda! Y también se pueden pagar las facturas de Movistar Empresas por Bizum 1! Igual es por eso que tienen registrado el número para poder hacerte la petición de cobro!

El problema no es con Bizum. El problema es con este usuario que no sabe lo que es protegerse y, lejos de pedir explicaciones a Bankoa o a su entidad, directamente la emprendió con Bizum, donde como mucho pueden dar de baja el número y ya, y que no solo no se ha leido la normativa, sino que ahora se va de justiciero dictaminando que es correcto o no a las entidades y a Bizum.

Lo voy a decir por última vez, y quien quiera entenderlo, que lo entienda, y el resto, pues suerte: Bizum es un procesador de pagos, no un banco. No debe ni puede verificar la información que recibe de las entidades. Son las entidades las que están obligadas a verificar que la información del cliente que se transmite a Bizum sea veraz e íntegra. Y las entidades a su vez usan mecanismos para cercionarse de que sólo el cliente y nadie más que el cliente pueda cambiar el número de móvil asociado a su cuenta de Bizum.

Informarse un poco, leches, que ahora parece que cualquiera es detective… bizum.es/seguridad

  1. comunidad.movistar.es/t5/Blog-Te-interes…ba-p/4926533
  2. pago.yoigo.com/collection/index.html
🗨️ 2
Tinkinaz304
1

Antes de publicar el articulo las compañías ya fueron informadas y todas han negado que tengan nada que ver con el servicio. Ya lo tienen reportado al departamento legal y seguramente en poco tiempo estén los números dados de baja en Bizum, tú mismo podrás comprobarlo. Ya no voy a discutir más este asunto, piensa lo que te de la gana, es normal que en un foro haya todo tipo de opiniones.

Si la justicia de este país no fuera una mierda seguramente esto estuviese resuelto y este articulo no estaría ahora aquí. Esto se denunció, y no se hizo nada. Y la AEPD de datos desestimó la denuncia.

Esto no sólo pasa con estas cosas, el otro día vi en la tele a un tío que había abusado de una niña, encadenado a una mujer y el juez lo dejó en libertad. Si no hay justicia que quieres que haga?

Y por cierto, Bankoa como bien sabes que ya desapareció, tampoco hizo nada al respecto. Y si esto sigue suciendo a día de hoy, eso quiere decir que Bankoa no es la culpable solamente, pues como tú dices hay que ir a oficina. Como si eso fuera un método seguro y eficaz, te repito que no hay nada seguro, que a ti lo que parece es que te han vendido siempre la moto, te piensas que un banco o una compañía es segura y luego te viene un empleado entra en tu ficha de cliente y te cambia el teléfono y te hace lo que menos te imaginas.

🗨️ 1
Jean-Claude

Sea como sea, ya nos informarás si tienes noticias de como queda el tema.

sergio8o

Si bien las transferencias SEPAS sean con número de IBAN o número móvil son irrevocables, también es cierto que existe la apropiación indebida en el caso de transferencias recibidas por error.

Bastaría con implementar un sistema interbancario rápido de 24-72 horas para la retención de las cantidades indebidas, con la obligación de presentar denuncia en la Comisaría de Policía a adjuntar al banco.

En caso de fraude, denunciar una falsa apropiación indebida, juicio rápido por delito penal. P.ej. Delito grave: pena de prisión de entre 6 y 12 meses de prisión y multa de entre 12 y 24 meses; que yo transformaba en 6-12 meses de prisión conmutados a 6-12 meses de servicios comunitarios (8 horas diarias, 40 horas semanales); y si no se puede pagar la multa, conmutados en más servicios comunitarios.

El delito de apropiación indebida, tiene sanciones penales menos gravosas: p.ej. si no excede de 400 euros, la pena será de multa de 1 a 3 meses.

Vamos que cuatro casos ejemplarizantes debidamente mediatizados en medios convencionales y redes sociales; y las denuncias falsas serán testimoniales.

En mi opinión, con el fin de perseguir el fraude fiscal, toda transferencia bancaria debería indicar el nombre, apellidos y DNI del persona física receptora, o la razón social y CIF de la persona jurídica receptora. Si no coincide, el sistema informático debería avisar a las personas ordenante y receptora de la transferencia bancaria con SMS, correo-e, notificación en apli del banco y llamada robotizada para su debida subsanación (que puede ser un mero error tipográfico).

🗨️ 6
Tinkinaz304

Nada que ver con el post, pero se agradece tu comentario.

🗨️ 1
sergio8o
1

He hecho fuera de tema (off-topic, hors de sujet).

En el caso concreto la culpa de la entidad bancaria: Bizum cuyos accionistas son todos los bancos asociados, no quiere señalas, pero, tampoco aclara el protocolo.

En mi banco, Bizum está dentro de la aplicación de pagos que es distinta a la aplicación de verificación y la apli de banca en línea. Y tengo que utilizar el verificador para Bizum para confirmarla, igual que para una transferencia ordinaria.

El número móvil es el del contrato, de hecho si cambio, el número de móvil o correo-e, tengo que firmar presencial o digitalmente, a parte de verificar sin enlace que me ha llegado el SMS y correo-e de mi banco. Jamás se verificado por SMS OTP datos personales. Y haces años que sin la aplicación de la autentificación en dos pasos, no se puede hacer nada, ni pagar con la aplicación de pagos, ni acceder a consultar la apli de banca en línea; desechando los SMS de un sólo uso.

De hecho, la apli Bizum oficial no funciona porque no garantiza los mecanismo de seguridad de mi banco.

Y Bizum tiene un error de base: si bien el DNI o CIF deberían ser internos no publicados, es exigible que para personas físicas o jurídicas se exijan el nombre y apellidos o razón social íntegras igual que en cualquier tipo de transferencia bancaria SEPA. Bizum es una transferencia SEPA limitada a a España para importes entre 0,50-500€, autorizada por el Banco de España dentro del Eurosistema del BCE.

A día de hoy da un poco igual porque las transferencias SEPA no verifican automáticamente la similitud entre nombres y apellidos o razón social con los datos personales del cliente, que por normativa debe coincidir exactamente con el DNI o documento análogo. Es un sistema informático muy fácil de implementar para la detección de errores.

pjpmosteiro

El sistema de retención es un sistema heredado que usan los bancos para tener una hora de sincronización. Algo así como una hora en la cual cierran el libro y mandan las ordenes. Es más tema burocrático que medida de seguridad me temo 😅. Y ahora con las transferencias inmediatas, desaparece ese sistema de retención.

Dicho lo cual, Bizum a ojos del banco es una transferencia. El banco sabe la cuenta y el NIF del destinatario, esto no es como WeChat que opera al margen del sistema bancario, Bizum opera EN el sistema bancario. Es un sistema creado por y para los bancos.

Si alguien hace un bizum de forma fraudulenta, el banco dispone de mecanismos para detectarlo y revertirlo como con las transferencias bancarias (para bien y para mal).

El sistema que propones de verificacion automática no es mala idea, pero no es viable por la actual ley de protección de datos. Un banco no puede tener info de clientes de otros bancos, bizum es la excepción, pero no creo que como clientes os haga gracia que vuestros NIFs e IBANs anden circulando por todas las entidades del Eurosistema.

🗨️ 3
rbetancor

Me parece una soberana estupidez los temas de verificación del receptor … tu haces una operación, bizum, transferencia o le rezaste a santa tecla, me la suda … has idicado un código de destino de la operación, IBAN, número BIZUM, versículo de la biblia, que me da igual … yo (banco) ejecuto la operación que tú (cliente) me has ordenado que haga, tras VERIFICARTE A TÍ, punto pelota … el IBAN ya tiene métodos para verificar que el código es válido … ¿porqué tengo que verificar que no te has equivocado y has seleccionado el contato de tu amante en vez de el de tu abuela? … es RIDICULO.

🗨️ 2
pjpmosteiro
1

Completamente de acuerdo. Sobreproteger al cliente en vez de enseñarle a autoprotegerse no es la solución.

Lo siento, pero no puedo entender que todavía haya quien dé su clave de acceso enterita por teléfono o WhatsApp y aun así se queje al banco de que le han robado el dinero, cuando se cansan de decirnos por activa y por pasiva que no se da la clave a nadie. Y lo mismo con las transferencias, aun ahora menos mal que existen los dos digitos de comprobación del IBAN para que por lo menos la cuenta exista, pero por que se tiene que hacer responsable el banco de que tu no sepas a quien coño mandas el dinero? Que es, tu madre ahora?

🗨️ 1
rbetancor
rbetancor
aliveintheseptictank
1

Yo he conseguido tener bizum con mi número en 2 cuentas distintas simultáneamente. Podía enviar dinero desde ambas pero solo recibir desde una de ellas. Me resultaba práctico para enviar dinero entre las cuentas sin pagar transferencia inmediata, pero ya veo que realmente es una vulnerabilidad y no debería ser posible.

🗨️ 16
pjpmosteiro

Eso es un problema, y deberías notificarlo a Bizum, no deberías poder tener dos entidades con el mismo número (entiendo que son 2 cuentas en entidades distintas, no?). Ahí hay una entidad que no está recibiendo la orden de baja correctamente.

🗨️ 4
aliveintheseptictank

Es su problema, yo aprovecho el bug. Que en 2023 no haya transferencias inmediatas gratuitas, y que si envias dinero un viernes no llegue hasta el lunes, es jodidamente surrealista.

Seguiré enviándome bizums a mi mismo hasta que deje de funcionar, y entonces pillaré otro número en prepago para seguir haciendo lo mismo.

🗨️ 3
pjpmosteiro

Yo tengo dos números para eso, pero igualmente hay entidades como Evo que tienen transferencias inmediatas gratuitas.

🗨️ 1
Lobo Anonimo

Que en 2023 no haya transferencias inmediatas gratuitas, y que si envias dinero un viernes no llegue hasta el lunes, es jodidamente surrealista.

La única razón por la que existe Bizum es para que los bancos puedan seguir ofreciendo transferencias SEPA "gratis" y seguir pidiendo 2 euros por una transferencia instantánea.

Bizum lo introdujeron los bancos tradicionales como alternativa a los bancos fintech, ya que los fintech estaban ofreciendo transferencias instantaneas gratis, y eso le hacia mucho daño a los tradicionales.

Por eso inventaron Bizum que está super limitado, para que no lo uses para mover tu mismo dinero de un banco a otro. (Necesitarias 2 moviles y esta limitado a 500/1000 euros por Bizum, dependiendo del banco.) Por otra parte tampoco querian que las empresas lo usaran para ahorrarse los (hasta) 15 euros que cuesta una transferencia urgente hecha a traves de Banco de España. Y ya por ultimo tampoco quieren que los usen los pequeños comercios, por lo que han puesto limites en la cantidad de bizums que puedes recibir al mes.

Son todas putadas hechas para competir con los fintech, mientras pueden seguir abusando con transferencias normales.

Revolut, siendo ya un banco Español, le va a hacer mucho daño a los bancos tradicionales. No solo ofrecen transferencias instantaneas gratis, pero tambien van a tener Bizum pronto.

Ya no hay razón para no tener una cuenta en Revolut.

rbetancor
rbetancor
🗨️ 9
rbetancor
rbetancor
🗨️ 7
rbetancor
rbetancor
🗨️ 5
Bramante
Bramante
🗨️ 1
rbetancor
rbetancor
🗨️ 1
Lobo Anonimo

Me encantaria poder aprovecharme de este fallo para registrar un numero de Bizum potente para los pagos en mi pagina web.

Algo como +34 66888

🗨️ 5
interceptor

Espero que al menos el formato (Que tenga 9 dígitos) lo validen!

Jav9i

Hasta que el dueño legitimo del número quira usaro y tengas un problema por ello.

🗨️ 2
Lobo Anonimo

Quien es el dueño del telefono 66888 ?

Exactly :-)

🗨️ 1
Jav9i

Tan simple como que la app no te deja enviar dinero a números que no son números de teléfono y que la mayoría de bancos tienen limites para cuentas gratuitas de bizum :-)

Tinkinaz304
2

Digimobil, primer operador en conseguir que le den de baja el servicio Bizum asociado a su número de teléfono 642 642 642 de atención al cliente de forma fraudulenta. Se nota que estos rumanos cuando quieren hacen las cosas bien, 2 días ha durado el número dado de alta en Bizum desde que les hice el reporte:

BizumDigi

A ver que tardan el resto de operadoras en conseguir que les den de baja del servicio.

🗨️ 2
Jav9i

Posiblemente la única que crea estas cosas importan importan. El resto seguramente pasen de esto.

🗨️ 1
Tinkinaz304

Vodafone está interesada en arreglarlo, lo han reportado, y a Yoigo también la he visto algo interesada. La única que no ha respondido nada y no ha dicho qué van a hacer es Movistar, como siempre a telefónica se la suda todo jajaja. Eso sí, todas han confirmado no usar Bizum, por tanto es un fraude lo que han hecho con esos números, posiblemente alguien aprovechó el error para hacer algo malintencionado.

pjpmosteiro

@Tinkinaz304 vas a tener que rectificar o aportar pruebas de lo que dices sobre ING, porque les he consultado y te desmienten directamente sobre el procedimiento de alta en Bizum. Además, en su página de ayuda detallan que requieren SMS para alta en Bizum.

imagen

Por mi parte he hecho los pasos que tu dices, algo que en desarrollo informático llamamos "reproducir la casuistica". ING me permite cambiar de móvil sin verificar el nuevo, cierto, pero antes (y después) me pide posiciones de la clave y SMS al numero informado antiguo, por lo que el hecho de poner un numero falso te inhabilitaría poder operar ya que ni podrás cambiarlo al antiguo sin pasar por atención al cliente ni podrás firmar el alta en Bizum. Decirte que el cambio de número asociado a la cuenta de ING no cambia el numero asociado a Bizum, por lo que el número antiguo sigue vinculado a tu cuenta de ING (esto puede ser un problema, pero no es una vulnerabilidad, no es obligatorio que tu numero de contacto del banco sea el mismo en el que recibes Bizum). Si cambias el número vinculado a Bizum, más de lo mismo, te enviarán un SMS OTP para confirmar la portabilidad del número a la nueva línea e informarán a la línea por SMS de que ahora está dada de alta en otra entidad.

ING ha seguido este procedimiento punto por punto conmigo a través de la app, y en todo momento se me ha enviado OTP y requerido posiciones distintas de la clave de acceso tanto para cambiar número de contacto como número de Bizum.

Además, para poder "vaciarte" la cuenta, como dices, tienen que saber tu NIF, tu fecha de nacimiento, tu clave completa, tu clave de verificación y, en el tiempo que tarda ING en enviarte el aviso de nuevo login, entrar en la app, enviar el bizum y poner la clave de verificación (que no la de acceso). Todo eso antes de que tu, alertado, entres en la app cerrando automáticamente la sesión al intruso. Si aun con todo esto consigue "vaciarte" la cuenta, ING puede retroceder el Bizum, si es que no lo ha bloqueado automáticamente al ser un Bizum anormalmente alto para lo que los clientes suelen enviar (nadie vacia su propia cuenta por bizum).

Esta vez no solo te he hablado como cliente de Openbank, ING, Orange Bank, N26, Abanca, BBVA y Bankinter, sino tambien como desarrollador informático. He realizado tus pruebas, he repetido tus pasos y he puesto a prueba el sistema. No puedo hablar por como era todo hace 3 o 4 años (porque vamos a ser sinceros, la banca electrónica de ING siempre ha sido un puto desastre), antes de la entrada en vigor de la normativa PSD2 que refuerza el uso de doble factor, pero ahora mismo, lo que tu dices es imposible, al menos sin cooperación del propio cliente. El sistema está diseñado para evitar que intrusos modifiquen tus datos sin haberte robado la línea y sin saber tus claves.

🗨️ 5
Tinkinaz304

No hace falta aportar ninguna prueba, haz tú el registro en Bizum, únicamente pide la clave de validación móvil.

Para activar la validación móvil en ING necesitas primero tener registrado un número real, ya que ahí te enviarán un SMS. Cuando tengas activada la validación móvil, ahora tu dispositivo móvil es "seguro" ahora al sistema se la suda el número que le des. Entonces a continuación vas a tu perfil, realizas el cambio de número de teléfono tuyo real por uno falso o inventado, te esperas 48 horas que es lo que hay que esperar por "seguridad" para poder darte de alta en Bizum y ya está.

Cuando vayas a darte de alta en Bizum, como ya asociaste el número falso o inventado, ahora podrás hacerlo sin problemas, únicamente te pedirán la clave de validación móvil que activaste en el primer paso con tu número real. Así que el paso de SMS para activar Bizum es falso, supongo que te lo enviarán si no tienes activada la validación móvil.

No obstante lo tengo todo con capturas y grabación en video y acabo de hacer la prueba ahora con fecha 29/11/2023.

Lo siento mucho @pjpmosteiro, pero esta vez ING te ha vendido la moto a ti también xD

🗨️ 4
pjpmosteiro

Entonces, me puedes explicar que vulnerabilidad hay exactamente en que un usuario que se ha autenticado con seguridad reforzada introduzca un número de bizum falso?

No solo estás identificado ante el banco (y por tanto, registrado que tu, usuario 12345678X has registrado un número 612123123 que no te pertenece ,infringiendo el contrato de ING y siendo responsable legal del mal uso derivado) sino que sigue siendo imposible que te vacien la cuenta, dado que el hecho de cambiar el número de bizum no cambia las medidas de seguridad y acceso que ING tiene para que puedas enviar dinero, ya que sigues teniendo que poner tu clave de verificación (y eso en tu dispositivo seguro, en otro dispositivo que no hayas aprobado sigues necesitando el OTP). Y si alguien te hace un bizum a ese número pensando que eras otra persona… Pues ya sabes lo que pasa con la apropiación indebida.

Vamos, que como mucho puedes recibir bizums a un número que no es tuyo y te expones a una denuncia. No le veo yo mucha vulnerabilidad.

Para activar la validación móvil en ING necesitas primero tener registrado un número real, ya que ahí te enviarán un SMS

Coño, es que precisamente la validación móvil se hace para evitar que externos modifiquen tus datos u operen sin el OTP, sólo tu puedes activar ese sistema de validación. Si hemos llegado al punto del fraude en el que le has activado la validación movil de ING a un tercero y le has dado tu clave, chico, entonces el problema no es de ING, es tuyo por no saber custodiar las claves.

únicamente te pedirán la clave de validación móvil que activaste en el primer paso con tu número real.

Leches! Es que precisamente tu has activado la validación para que el banco confíe en ti y no te mande el OTP para evitar el SIM Swapping, si tu sabes que legalmente estas obligado a poner tu numero verdadero, para que ibas a poner uno falso? Para recibir dinero de gente que no sabe que tu no eres Movistar y que para cuando se den cuenta y te denuncien vayas al juzgado? Te tengo que recordar que, aunque registres un número falso, Bizum recibe en su directorio el número de móvil, tu alias y tu NIF? Te tengo que recordar que todas las transacciones entrantes y salientes de cualquier entidad están registradas (la entidad que envía el dinero recibe tu NIF por detrás para registrarlo, ley de prevencion del blanqueo) y que, aunque tu pongas el número que quieras, tu NIF está como el receptor?

Joder Tinkinaz304, tienes que admitir que el escenario que planteas es absurdo! Primero porque no tiene sentido registrar un número falso, y segundo porque hay que ser muy confiado para meter un número al enviar bizum y no mirar siquiera a quien se lo estás mandando!

Te lo digo en serio, estaré encantado de ver tus pruebas, incluso en privado si quieres para no meterte en problemas, soy el primero que quiere demostrar que hay un fallo en el sistema, pero es que no lo detecto 😅. No me vale que me digas que no hace falta aportar ninguna prueba, porque entonces para mi, hasta nueva orden, no estas diciendo la verdad. Al menos, no toda la verdad.

🗨️ 3
Tinkinaz304
1

ING se usó como ejemplo, pero si lees el post, se desconoce qué entidades son las que se han utilizado para dar de alta los bizum de los números de las compañías. Se desconoce aún, por eso se dice: Cuidado con Bizum, se están dando de alta números ajenos y no sabemos cómo.

No empecéis a machacar con el asunto, hay entidades en las que se pueden asociar números inventados y activar un servicio en el que se puede enviar y recibir dinero, no se sabe cuales, se puso un ejemplo de ING en el que se permite hacer uno de los pasos, usar números ajenos en Bizum, ya con eso se puede suplantar números.

Y deja de preguntar tonterías por favor, que para que vas a poner un número falso, que para que esto o para qué lo otro, pues a los delincuentes les gusta mucho usar números inventados que usar los suyos propios, si pueden usar el tuyo para recibir un bizum después de estafar a alguien y luego cambiarlo por otro y estafar a otro pues mejor, luego el marrón es para ti. Es que de verdad, estoy ya por pedir a Josh que borre el hilo, que aburrimiento.

Ya de momento han usado los números de las compañías, con eso ya pueden hacerse pasar por ellas para recibir dinero. ¿te parece poco o qué? en fin… déjemoslo enserio…

🗨️ 2