Entidades bancarias con clave de firma y OTP para transferencias externas

Buenos días,

a ver si me podéis ayudar. Estoy intentando buscar una entidad bancaria que funcione online, y que su sistema de seguridad para las transferencias no se base solamente en un código OTP (mensaje SMS), sino que disponga de algo más, como una clave de firma o una especie de google authenticator o lo que sea.

Por ejemplo, en Renta 4, se puede activar un modo asociado a google authenticator en el que no se puede operar sin el código de google authenticator, además del código otp enviado por sms.

En Openbank, está el código OTP enviado por SMS, pero se añade además una clave de firma alfanumérica de 8 posiciones de la que se piden posiciones aleatorias cuando se hacen las transferencias.

Desafortunadamente, y para desgracia de muchos, el código OTP enviado por SMS es algo que está vulnerado ya hace mucho tiempo (https://www.kaspersky.es/blog/2fa-practical-guide/17187/) , y por eso busco una alternativa que no se maneje solamente por el código OTP por SMS a la hora de hacer transferencias de salida.

Muchas gracias por vuesta información.

Yo la verdad tengo Openbank y nunca me ha pedido más que el SMS para las transferencias... Al menos en todo este año vamos...

Porque no lo tienes activado. Arriba a la derecha dale a tu nombre, y en el desplegable pulsa en "seguridad y claves". Ahí dale a "personaliza tu seguridad", pulsa en "personalizar seguridad" y marca "SMS+Clave de Firma" para todo, o para lo que tú quieras.

Algo así busco en alguna otra entidad, pero se ha puesto de moda que sólo se confirmen las operaciones con el SMS y la inseguridad es tremenda, con un simple SIM swapping o mediante el protocolo SS7 estamos a merced de cualquier hacker.

Yo tambien soy partidario que para autorizar operaciones bancarias haya un elemento "analogico" de por medio

Bueno, la opción de Renta 4 también me vale, y es digital. No obstante, conocéis otras entidades que no autoricen las transacciones sólo con un SMS?

He hablado con Myinvestor, y me han dicho que ellos las autorizan con una clave de firma de 8 posiciones, y pide varias posiciones aleatorias cada vez que se autoriza una operación. Para transferencias sólo aplicaría la clave de firma, y no el código OTP por SMS... lo ideal sería los dos, tal como ocurre con Openbank, pero bueno...

caixabank ya no usa sms si no una segunda aplicacion que solo puede instalarse en un terminal

bueno, eso ya es más seguro que el protocolo SMS.

Con Caixabank que ofrecen ahora mismo? He sido cliente varias veces pero siempre he terminado dándome de baja, jeje... Sería una cuenta normal que se pueda operar por internet, que admita dos titulares y que no cobren comisiones de administración, mantenimiento o transferencias zona euro (ah y sin ingresar la nómina :))

¿Es mucho pedir?

no se puede, imposible

Sobre algo parecido a este tema hablamos hace no mucho en este hilo y comenté algunas opciones:
https://www.rankia.com/foros/bancos-cajas/temas/4363094-existen-bancos-que-no-exijan-sms-para-operar
Échale un vistazo si quieres.


En todo caso, sobre lo que quieres, no termino de ver la ventaja a pedir una clave numérica "firma", si ya tienes que meter otra clave para hacer login en la aplicación. La mejora en seguridad no parece mucha...

Por cierto, que ya no tiene mucha utilidad, pero Bankia lo hace exactamente como quieres (clave de firma + SMS).

de bankia podemos olvidarnos ya

Bueno, la clave de acceso por ejemplo en Openbank es una clave de 4 dígitos que se introduce completa al hacer logging, algo que es muy sencillo de capturar por un keylogger (por ejemplo).

Sin embargo, la clave de firma es una clave alfanumérica de 8 posiciones, de las que sólo piden 3 de ellas y de forma aleatoria. Esto incrementa la seguridad de forma exponencial, ya que añadimos una segunda clave distinta a la de acceso, con 8 posiciones en lugar de 4, alfanumérica, por lo que en mi caso por ejemplo tengo una combinación de letras y números que juntos no significan nada, y que nunca se pide completa, sino sólo 3 posiciones aleatorias.

Mientras tanto, entidades como Pibank o Selfbank, entre muchas otras piden una clave de acceso de 6 cifras, que tienes que escribir completa cuando entras + luego el código OTP para operar.

ING Direct es lo mismo, la única ventaja que tiene es que de la clave de acceso sólo pide posiciones aleatorias.

Os dejo otro link para que entendáis realmente lo que hay detrás del tema del SMS y que es increible que el regulador permita que se utilicen: https://www.xataka.com/moviles/que-que-puedes-hacer-para-evitar-sim-swapping-ciberataque-que-causa-estragos-que-permite-vaciar-cuentas-bancarias-1

Gracias por el link, ahora mismo voy a echarle un vistazo.

Un saludo

Demasiado pides con la que está cayendo.

Hay un buen puñado de entidades que dan cuentas con dos titulares, sin cobrar comisiones y sin pedir contraprestaciones. BBVA, Openbank, ActivoBank, Selfbank, Myinvestor, ING, etc...

El verdadero tema es que no utilicen SMS para firmar las operaciones, o al menos de forma exclusiva.

Myinvestor utiliza clave de firma en lugar de SMS, de eso me he enterado esta tarde, y eso me ha gustado para lo que hay.

ActivoBank utiliza su propia aplicación para recibir las notificaciones para firmar las operaciones, que es lo mismo que hace Caixabank, y que es preferible al SMS.

Algo he conseguido reducir el círculo :)

Aprovéchate que quedan 2 telediarios para que cobren por todo.

Bueno, no sé si "exponencial" es la palabra adecuada.

Si lo piensas bien, en ese caso, si tu ordenador/teléfono estuviera comprometido, la diferencia entre una clave normal y esa que te pide 3/8 posiciones es que quien tenga acceso a lo que introduces tendría que esperar a que hicieras alguna operación más para obtener más dígitos. Pero es cuestión de dos o tres intentos... nada demasiado difícil.

En fin, que algo mejora, pero no es la panacea.

También habría que ver también cómo se restaura la clave si se te olvida. Porque muchos de estos procedimientos son tan absurdos que igual te ponen una clave adicional. Pero si se puede restaurar con recibir un SMS, al final estás en las mismas.

Por otro lado parece que las operadoras se están tomando más en serio de lo de controlar los duplicados de SIM. Aunque siga siendo un sistema propicio a ser vulnerado.