Ciberseguridad en banca online

Hola a todos,

abro este hilo para evaluar la seguridad de apps y webs de banca digital.

Fundamentalmente veo dos problemas generalizados:
1. no hay 2FA en la aplicación web. Al menos en la app puede activarse el acceso por huella digital, pero en la web haces login con el dni y un password cutre, que en muchos casos es de 4 números, como en Openbank por ejemplo
2. la clave para confirmar operaciones se envía por sms (p.e. Openbank y BBVA), método mucho menos seguro que una notificación push (Sabadell, Openbank tiene esta opción)

Cajamar tiene la posibilidad de integrarse con Latch, para controlar el acceso, pero las opiniones sobre Cajamar son malísimas. Más sobre latch aquí: https://latch.elevenpaths.com/www/service.html

¿Qué banco os parece más seguro en este aspecto?

Saludos

CaixaBank en cuanto detecta que accedes desde un PC no habitual te salta la doble verificación 

añadimos una tercera opción?


Aquellos bancos que envian por CORREO POSTAL a casa del cliente el código para firmar las operaciones que hacen a través de web/app.

Un ejemplo:    

De nuevo Openbank.

No hace falta que sea un pc distinto.
Si entras con otro navegador en el mismo pc, también salta. 

Con tener una mínimas medidas de seguridad no hace falta 2FA, ni similares.
Lo que no puede ser es emplear un ordenador en el que se hace de todo para utilizar la banca en línea...
...y no tener instalado ni un triste antivirus.
Cuando se trata de un teléfono móvil pasa tres cuartos de los mismo, con el añadido de que si pinchas en un SMS con un enlace puedes meterte en camisas de once varas.

Tremendo triple te marcas.

Entiendo que no conoces las llaves de seguridad física.

El día que un banco las implemente, el salto en seguridad será MUY grande, y cualquiera que entienda un mínimo de como funciona la ciberseguridad lo sabrá.

Cualquiera que entienda un mínimo de como funciona la ciberseguridad sabe como mantener su sistema a salvo...
...sin necesidad de 2FA o llaves de seguridad físicas.

Su seguridad tú mismo lo has dicho. Basta que el banco tenga una brecha para que te quedes con el culo el aire... Y en el mejor de los casos? 2FA por SMS que es el menos seguro y más fácil de hacerle bypass..

Por no hablar de los requisitos máximos de contraseña que te ponen la mayoría de bancos, que si pines de 4 dígitos o letras y números de máximo 6-10 dígitos, sin comentarios.

Qué si la brecha es del banco se van a hacer responsables ellos? Claro, pero el disgusto y los problemas no te los quita nadie, cuando es fácil el remedio.

Un plan sin fisuras oye.

P.D: Puedes tener medidas de seguridad Y 2FA, una cosa no excluye a la otra. Es más, se podría decir que la segunda va dentro de la primera...

Esto me pasó hace poco con una tarjeta de débito de un banco que la tengo arrumbada en un cajón, es decir se activó en sú día al recibirla pero nunca se ha utilizado, hablo de unos tres años aprox; me aparecieron hace poco dos cargos de poco importe, unos 5€ en un caso y 11€ en otro caso de unas compras de servicios en internet; reclamé y me lo reintegraron rapidamente sin pedir explicaciones, pero claro pensando, a esos datos sólo tiene acceso el banco y el proveedor de tarjetas.

¿BBVA/VISA, quizás?

Tienes bola de cristal? Efectivamente ha sucedido en esa entidad y con una tarjeta de esa marca. Supongo que habrá más casos.

No la tengo, pero he visto varios casos últimamente con esa combinación de gente que no usa la tarjeta. 

En openbank puedes establecer que quieres que te envíen SMS y además poner la calve de firma y lo puedes configurar con todo lo que quieras es decir que siempre tendrías que recibir el SMS y poner la clave de firma si lo configuras para todo.

Yo creo que al tener un móvil antiguo como no puedo acceder a ninguna web no me puede entrar nada , ya que no accedo a ninguna web y en el ordenador tengo antivirus aunque no creo que sea el sitio pero para vosotros en cuál confiáis más? Lo tenéis de pago o gratis? quizás será mejor contestar en privado porque no se si se pueden poner marcas por aquí

El antivirus que trae el Windows es suficiente, tampoco hay que caer en la paranoia. El problema con la ciberseguridad es que hay muchas formas de ataque. No sirve proteger en exceso una entrada y dejar otras totalmente descuidadas. De nada sirve ponerle una puerta blindada a tu casa si te dejas una ventana abierta. 

Como el foro no va de eso tampoco me quiero extender mucho, pero si te interesa el tema puedes leer más aquí https://www.osi.es/es

Totalmente de acuerdo contigo, El mejor antivirus que se puede tener es el sentido común.

Si usas el navegador, no instalar extensiones que no conoces, o que no sabes que van a hacer,  Por supuesto, no instalar programas con parches ilegales, porque casi todos, por no decir todos traen premio…

Y sobre todo, y lo más importante que no todo el mundo hace: tener actualizado, el sistema operativo y las aplicaciones. Porque en la que se detecta una infiltración en ellas lo actualizan al momento.
 
Muchos ataques se basan en estos fallos que la gente no ha parcheado con las actualizaciones, pensando que si el móvil va a ir más lento si se actualiza, etc…

Sentido común, sistemas operativos y apps actualizadas al día.