Entidades bancarias con clave de firma y OTP para transferencias externas

Contra eso lo mejor es identificacion fisica para instalar app como tiene orangebank, lo malo es que estos confian demasiado en eso y han quitado lo de SMS.
Para mi lo mejor seria SMS + algo que posees o eres ( tarjeta de claves, authenticator o sistemas de instalacion unico al estilo de orangebank) y posibilitar no estar en el mismo dispositivo el SMS y la seguridad extra.

No es tan sencillo... Un keylogger no sabrá que posiciones estoy metiendo. Sabe que meto una "K", pero no sabe a que posición de la clave pertenece, por lo que no es como tú comentas.

Por otro lado, la clave de firma la mandan por correo postal en caso de que se restaure.

Correcto, lo ideal sería un token que no se conecte a internet. Lo más parecido es Google Authenticator. Lo que comentas de OrangeBank es lo que tienen otras entidades y es buena idea, al menos prescindes del SMS.

Una consulta... ¿Un keylogger identifica también qué dígito has tecleado cuando se utiliza el teclado virtual que algunas entidades ofrecen a la hora de teclear las contraseñas?

Un saludo

Si es un teclado virtual, pulsas con el ratón, así que no, no lo sabrá. Un keylogger simplemente registra las teclas que tecleas en el teclado tuyo.

El problema es que si tu sistema está comprometido de tal manera que tienes un keylogger, de la misma forma pueden tener un "screen logger" o cualquier otro tipo de software de espionaje.

Por tanto, lo único que mejora exponencialmente la seguridad son los códigos de un solo uso. Idealmente con algún tipo de token. Si fuera por hardware mejor, pero en España parece que no hay, así que la siguiente opción son las apps que generan códigos.

Es de perogrullo que si tu sistema está comprometido, la App que genera códigos también está comprometida y puede ser utilizada por el atacante de igual forma...

A lo que vamos en este caso es dificultar lo más posible el acceso de una forma razonable, ya que desafortunadamente no nos van a dar un token físico a cada cliente, y para ello el SMS no es el método más adecuado. Me sigo quedando con la configuración de Openbank, y de igual forma con el Google Authenticator que es básicamente a lo que tú te refieres, pero que podría ocasionar el mismo problema.

Una buena idea podría ser tener el Google Authenticator instalado en un teléfono viejo sin acceso a internet :) Eso ya sería el equivalente a un token físico... pero vaya que eso no lo va a hacer la gente.

Mucha gente sólo se conecta al banco iniciando un linux conectado por USB y así se evitan posibles problemas en caso de que su sistema estuviera comprometido.

Eso que mencionas es muy importante, pero claro los bancos quieren metodos sencillos para sus clientes.
Lo ideal seria dar la posibilidad de seguridad reforzada para los que somos conscientes del peligro que hay.

En verdad la sustitucion del token fisico (tarjetas, mochilas etc) por otra cosa es complicada, por que se deberia obligar a usar el token virtual en otro dispositivo que en el que se accede.  Asi por ejemplo lo del deustche no tiene demasiado sentido pienso por que permite instalar las 2 apps en mismo dispositivo.

Lo mismo aplicaria si se usa el SMS, que deberia enviarse a otro dispositivo diferente que en el que se pueda instalar la app.

Como comento esto podria ser opcional para los "paranoicos" como nosotros y el resto que siguiesen con sus sistema friendly para el usuario pero tambien para hackers.

Por cierto comentas que te quedas con openbank, para mi no seria suficiente.

Con cual me quedo, pues con alguno que tenga tarjeta fisica o que permita la instalacion de la app de acceso solo una vez + SMS.
Cumplirian Bankinter, Targobank ,creo que comentaban que caixabank y poco mas.

Tambien con los que solo permiten transfrencias a vinculadas como ebn o renaultbank.

No soy muy experto en sistemas de seguridad... pero creo que los bancos tienen la posibilidad de realizar mejoras "muy sencillas" que apenas tendrían impacto en los procedimientos actuales que tenemos los clientes y tampoco creo que suponga una gran inversión para el banco... ¿Y cuál sería?... me voy a arriesgar para conocer vuestras mejoras.

No es la seguridad plena, lo sé; tal vez se acerca a lo que quiere nuestro compañero ALMAXX, ojalá fuese para bien; pero seguro que mejoraría la seguridad actual con apenas inversión para el banco y "casi" nulo impacto en el modo de uso de los clientes...

Un saludo

Eso no soluciona nada, el SMS puede ser interceptado fácilmente por alguen aprovechando la vulnerabilidad SS7 o bien con un SIM swapping. Una vez que tiene en su poder el SMS, que más da lso caracteres que tenga el código de un sólo uso o los que haya que introducir en la web.... tienen el SMS en su poder, y de hecho tú ni te enteras porque con un SIM swapping no te llegará a ti.

Para mí sí es suficiente (dentro de lo que hay).

La clave de firma añadida de 8 caracteres alfanuméricos donde te piden sólo 3 aleatorios me es suficiente (añadido a la clave de acceso y al SMS con el OTP).

Es difícil que hoy en día nos den más que eso, si bien me gusta más lo que tengo en Renta4, que es el Google Authenticator para poder operar.

No encuentro mejores opciones que estas dos implementadas en los bancos que conozco hasta ahora, y a los que he llamado para preguntar antes de hacerme cliente.

Del token físico, mejor nos olvidamos. Si queremos un token físico, lo más cercano será Google Authenticator en un móvil sin conexión a internet.

Por cierto, lo que me has comentado es justo lo que andaba buscando, lo de EBN... He llamado y el hecho de que restrinjan la cuenta salienta a una donde demuestres que tú eres el titular con certificado de titularidad me parece una buena opción para lo que quiero.

Muchísimas gracias!!!

Un par de apuntes...

Primero, la parte de señalización... ¿En qué punto de la red móvil o fija tiene "el caco" interceptada la señal de señalización Nº7 (SS7)? ¿Cómo identifican los paquetes que se corresponden con la conexión que el cliente tiene establecida a una hora determinada con el banco y que se envían por enlaces físicos o virtuales de forma no predeterminada?.

La vulnerabilidad de la señal SS7 en laboratorio es muy fácil de realizar e interceptar; en red móvil real, para interceptar la conexión de un cliente determinado, a la hora que está realizando una llamada con su banco, en los segundos de una transferencia, etc., es factible pero opino que poco probable... seguramente "el caco", con ese equipo de interceptación nada barato, tiene vuelos más altos que un cliente que transfiere 800€ para no pagar comisiones a BBVA.

Segundo, la parte de SIM swapping... Si la conexión con el banco la realizo desde el PC qué importa que tengan el SMS si no saben qué 4 caracteres tienen que teclear?... de hecho si te han hecho SIM swapping y lo desconoces (pues si lo conoces no creo que te pongas a realizar transferencias bancarias) al conectarte con el banco no recibes el SMS en tu móvil y puedes empezar a dudar que tu tarjeta haya sido sustituida sin tu conocimiento.

Es un tema interesante, seguramente coincidimos al menos en esto, y me interesa aprender de quienes conocéis más y mejor que yo la realidad y la necesidad de seguridad.

Un saludo

La conexión con el banco no la has hecho tú... la persona que te suplanta tiene tu clave de acceso que obtuvo con un keylogger.

A ver, evidentemente son ataques dirigidos, donde saben a quien se lo hacen, pero con bancos como Pibank o Selfbank donde se entra con el DNI y una clave de 6 cifras que se mete entera cada vez que uno entra, el keylogger lo capturará fácilmente, y ya puede acceder a tu banco en tu nombre...

Luego se preocupará de conseguir en tu nombre un duplicado de tu tarjeta SIM, y obtendrá el SMS con el código OTP cuando haga la transferencia.... De todo esto te enterarás tú si:

1) Accedes diariamente a tu banco y lo ves y estás a tiempo de parar la transferencia.
2) Te llega un email con el aviso de la transferencia.

De lo contrario, al juzgado a reclamar la pasta al banco. Lo ganarás, las sentencias que he ido viendo yo con el tiempo vienen a decir que si el banco no pone todas las medids de seguridad que la tecnología permita en cada momento, el fraude será responsabilidad de ellos, peor mientras tanto el disgusto te lo llevarás tú.

Lo de la cuenta vinculada de EBN me ha gustado, así me aseguro que sólo se pueda sacar el dinero a una cuenta mía propia (certificados de titularidad de por medio).

Un saludo,