Entidades bancarias con clave de firma y OTP para transferencias externas

una pregunta que me hago siempre, en las cuentas microsoft y de goolge, en cuanto detecta que entras en un pc o movil no habitual, se activa automaticamente la verificacion en dos pasos

¿tan dificil seria para los bancos hacer eso?

Un keilogger te capta el dni y la contraseña, pero luego si quiere entrar pues no podria al saltar la doble vertificacion por no entrar con el pc habitual

Técnicamente ya aplican una verificación en dos pasos, clave de login y sms con oro, sino no cumplirían PSD2, otra cosa es la calidad de ambas verificaciones

el sms que dices para entrar en la web creo que lo piden cada dos meses... entre medias podrias entrar desde otro pc y no ser tu.
Con google y microsoft es automatico en cuanto se detecta que no estas entrando desde el pc habitual

Yo hablo del SMS para enviar un código OTP al hacer la transferencia, pero vamos cualquier seguridad es bienvenida, mientras sea a través de un método seguro, y no por un sms

De tus respuestas deduzco que tan importante como la clave de acceso es ofrecer seguridad al DNI -es el primer dato que nos identifica en el acceso web al banco; es el primer dato que se necesita para solicitar el duplicado de tarjeta SIM; etc. ¡ojo! no quiero decir que no sea importante dar seguridad a nuestras claves, pero tal vez nos olvidamos de dar también seguridad a nuestro DNI -redes sociales, email,  compra online, etc.

Luego si damos seguridad a la hora de escribir el DNI en los accesos web con los bancos, subiremos algún grado de seguridad en nuestras transferencias. Y para dar seguridad al escribir nuestro DNI, hacerlo con el teclado virtual de nuestro sistema operativo reduciría la inseguridad de nuestro teclado físico cuando escribimos.

Otra cuenta que ofrece vinculación a la hora de hacer transferencias es ING Cuenta Naranja -solo se puede hacer transferencias entre cuentas con el mismo titular.

Un saludo

El DNI es un caso perdido... todo el mundo sabe tu DNI, por lo que securizar el DNI no serviría para nada.

El caso es que tienes pasta, y alguien lo sabe, tiene conocimientos informáticos y quiere quedarse con tu dinero.

1) El DNI lo van a saber sin ningún esfuerzo de mil maneras distintas.

2) De cara a la clave de acceso, el teclado virtual es importante. Eso ayuda y mucho, ya que un Keylogger no podrá obtener la clave. No obstante, pueden utilizar un screen recorder mediante algún troyano y estaríamos en las mismas. Por eso más que un teclado virtual, a mi me gusta más que sea una clave de 8 caracteres alfanuméricos y que sólo te pidan 3 posiciones aleatorias de la clave, y al marcarlas estén enmascaradas.
De esta forma, se dificulta enormemente el plan. Necesitarían un keylogger y un screen recorder para, trabajando juntos, saber que es lo que metiste (con el keylogger) y en que posición (screen recorder), y monitorizar muchos intentos de logon hasta obtener los 8 caracteres.
Efectivamente, se los hemos complicado, pero se puede conseguir. Tenemos pasta, el atacante lo sabe y esperará hasta obtener los 8 caracteres.

3) Google Authenticator para firmar la operación en un dispositivo android que no esté conectado a internet. Aquí ya poco pueden hacer, no hay forma de que puedan hacer nada en remoto. Como siempre queda el robo cuchillo en mano, pero en ese caso la seguridad informática poco tiene que hacer ya.

Un saludo,

Prefiero no ser tan categórico en las afirmaciones... Prefiero considerar que los métodos de conexión que hoy ofrecen los bancos son un hecho y, mientras no cambien o no demandemos esos avances, el cliente tiene elementos a su alcance que no utiliza, muchas veces por desconocimiento y que no le suponen un gran cambio en sus hábitos de uso... por ejemplo, el teclado en pantalla.

Un saludo

Bueno, lo que te digo es un hecho. El teclado en la pantalla se puede grabar con un screen recorder (troyano). No se trata de ser categórico o no, se trata de que es así.

Llevo 22 años como auditor de Seguridad Informática, he sido conocedor de unos cuantos casos como el que te comento, especialmente con gente "adinerada", a la que le han preparado un Phising muy bien dirigido (conocido como Whale Phising).

Evidentemente no estoy generalizando,  no estoy diciendo que el común de los mortales esté sometido a este "marcaje", pero es buena idea implementar la mayor seguridad posible, y la mayoría de los bancos, desafortunadamente, no están en eso, sino que se están conformando con dar cumplimiento raspado a PSD2.

Entiendo que quieren hacer la experiencia del cliente tan amigable como sea posible, pero deberían facilitar la posibilidad (puede ser optativa como con Renta 4 o con Openbank) de implementar una seguridad más robusta.

Un saludo, 

No sé si viene mucho al caso, pero tus conocimientos sobre seguridad informática ¿te permiten confirmar que un troyano u otro programa con finalidad "extractiva" puede esconderse en windows 10 sin dejar rastro detectable por ccleaner, adwcleaner y malwarebites?

El Ccleaner no detecta virus. Con cualquier antivirus, como por ejemplo malwarebytes sí debería detectarse. Yo siempre he utilizado McAfee Endpoint Security.

No obstante, al final todo dependerá de lo sofisticado que sea el virus en cuestión, y de si ya es reconocido por el antivirus instalado o todavía no.

Ramsomwares han infectado gran cantidad de ordenadores y de compañías gigantescas... de poco les sirvieron sus antivirus, ya que no los recogían en sus bases de datos.

Por cierto, que yo lleve mucho tiempo como auditor de seguridad informática no presupone que yo sepa más que muchos de los que estáis aquí. Hoy en día cualquier chaval de 20 años me dará mil vueltas :)... Yo tendré más experiencia, que es importante, pero muchos chavales pueden tener más conocimientos que yo. Hay veces que veo las discusiones en Bandaancha sobre networking y me quedo alucinado de lo que sabe la gente.

Un saludo,

Por cierto, si tienes dudas sobre el nivel de sofisticación de los ataques actuales puedes ver a Chema Alonso explicando algún ejemplo, y es muy interesante:

https://www.youtube.com/watch?v=Fj9TwMTxGuc

El ejemplo de los token OAuth que pone está brillantemente desarrollado.

Bueno, es que eso de detectar que entras desde el PC habitual en realidad tampoco es demasiado seguro. Si alguien tiene acceso al PC habitual, se puede exportar esa sesión a otro ordenador y que la web detecte accesos desde ese otro ordenador como si fuera el habitual...

Bueno, yo estaba más bien pensando en alguien que entra desde un ordenador, y tiene la aplicación de autentificación en el móvil.

En todo caso, volvemos a lo mismo: lo mejor sería un token hardware, o como dices, en su ausencia, un dispositivo dedicado en exclusiva a eso que genere los códigos sin conexión a Internet. 

Ya puestos, para mí lo más seguro junto a los token físicos, es el certificado en tarjeta de la FNMT, o el dni electrónico. Porque no se pueden copiar, piden un PIN cada vez que vas a hacer algo que los bloquea a los pocos intentos, y normalmente si no los necesitas los dejas desconectados del ordenador. Pero no se usan para casi nada porque la usabilidad es bastante mala...

Al final acabamos en el eterno debate funcionalidad vs. seguridad, y las empresas no quieren poner medidas que sean demasiado pesadas para el usuario. 

Además, por muchas medidas técnicas que se pongan, luego nos queda la parte de ingenería social. Yo sigo sospechando que en muchos casos se puede conseguir obtener nuevas claves igual que gente supuestamente no autorizada obtiene duplicados de la SIM.

En Myinvestor para hacer transfrencias, por lo menos a mi, me pide 2 posiciones de la firma y luego me mandan una clave por SMS para meter. Saludos