España
Acceder

Ciberseguridad en banca online

134 respuestas
Ciberseguridad en banca online
5 suscriptores
Ciberseguridad en banca online
Página
2 / 10
#16

Re: Ciberseguridad en banca online
Mnc2024

la clave para confirmar operaciones se envía por sms (p.e. Openbank y BBVA), método mucho menos seguro que una notificación push (Sabadell, Openbank tiene esta opción)
Buenas tardes.

En primer lugar, muchas gracias por abrir este hilo e iniciarlo con este tema tan interesante e importante, importantísimo.

Las notificaciones PUSH dependen del dispositivo físico de confianza que las recibe, el cual, como saben todos, es único. El problema es cómo dotamos de confianza a ese dispositivo, cómo la retiramos. En el caso de Openbank lo primero se hace por SMS. Puedo instalar la app de Openbank, recibir notificaciones PUSH, pero eso no excluye la operativa ni el riesgo vía SMS. Tampoco impide que pueda entrar en mi área de cliente, eliminar el teléfono como dispositivo de confianza y seguir con los SMS. 

Ya no tengo cuenta en Banco Sabadell, pero al final de mi época como clienta un buen día nos obligaron a firmar las operaciones con una notificación app push, en el smartphone. Instalé la app y "autoricé" a mi smartphone. ¿Cómo? Con SMS. Si cambiaba el número de teléfono tenía que hacerlo en la sucursal (era clienta de sucursal), pero si cambiaba de teléfono físico, lo hacía con SMS.

Debes activar el sistema de Firma Digital desde tu nuevo teléfono. Para ello, descarga la app en el nuevo terminal, identifícate como lo haces habitualmente y sigue las instrucciones para activar tu Firma Digital. Te mandaremos un SMS a tu número de teléfono para que puedas confirmar tu cambio introduciendo la clave correspondiente de la tarjeta virtual de coordenadas que te aparecerá en pantalla ....
Las notificaciones PUSH se hacen vía internet, dependen del dispositivo, no de la SIM, pero los SMS sirven para lo más importante del proceso: autorizar al dispositivo físico. Sin esa autorización las notificaciones PUSH no resultan fiables. Tampoco todo el mundo tiene o puede usar el smartphone.

Saludos.


#17

Re: Ciberseguridad en banca online
Mnc2024
Por no hablar de los requisitos máximos de contraseña que te ponen la mayoría de bancos, que si pines de 4 dígitos o letras y números de máximo 6-10 dígitos, sin comentarios.
Buenas tardes.

Eso no tiene calificativo posible, que el Incibe nos recomiende unas contraseñas complejas y largas y que ciertas entidades no te dejen poner más que 4 dígitos. Encima el usuario no es el correo o algún nombre creado por el cliente, sino el DNI, algo que te piden a todas horas, pero que, de forma escandalosamente contradictoria, sirve para identificarte en todas partes.

La transformación digital es un desastre donde la identificación personal se ha sustituido deprisa y corriendo por el dni y el sms. Hay que ahorrar gastos, hay que hacer negocio ...
#18

Re: Ciberseguridad en banca online
R O B E R T O
Sabes cuántos cafés se pueden tomar?, estaba cansado y me he tomado uno solo, es muy pequeño pero me ha revivido.

Lo malo de las contraseñas largas, tengo 1 que tardo un minuto...
#19

Re: Ciberseguridad en banca online
R O B E R T O
Algunos piden un vaso de agua con el café, los más pijos, a mí con leche no me gusta.

Luego están las contraseñas táctiles, pero alguna vez le he dejado el móvil a mi madre, menos mal que no la puse, pero en el portátil si tengo.
#20

Re: Ciberseguridad en banca online
R O B E R T O
Al final táctil o no, supongo que se las arreglaran para copiarlas, lo mejor es pasar desapercibido.
#21

Re: Ciberseguridad en banca online
Mnc2024
Lo que sí sé es lo que tomo yo: por la mañana un litro fuerte y caliente, incluso en verano. Luego sigo con otros pequeñitos .... uno antes de dormir.
#22

Re: Ciberseguridad en banca online
Mnc2024
Una huella no es más que 1s y 0s, como todo. La biometría no me gusta nada. El mejor programa informático a la hora de identificar un ser humano es su mascota, detecta su presencia a distancia.

Soy muy devota de Santa Cafeína, pero la leche es asquerosa.

Para reforzar estos avances tecnológicos, la Universidad Carnegie Mellon está desarrollando una cámara capaz de analizar el iris de las personas en medio de multitudes desde una distancia de 10 metros.

Es interesante este artículo de Karspersky.
 
"Debido a los riesgos a la privacidad y la seguridad, se deben tomar medidas de protección adicionales en los sistemas biométricos."

Me pone nerviosa lo de "adicionales". Cuanto más fiable es un método de identificación digital, más catastrófico es su robo.

https://latam.kaspersky.com/resource-center/definitions/biometrics

[][][] La estafa (bancaria) de la cara falsa. Te despluman "por la cara".

https://latam.kaspersky.com/about/press-releases/2023_kaspersky-alerta-sobre-robo-de-identidad-y-estafas-que-enganan-la-biometria-facial

Genial. Cuando falla la contraseña los expertos recomiendan la biometría y como la biometría también falla, recomiendan que no se use sin contraseña.

Muy buenas noches a todos los usuarios de este interesante hilo. Hasta otra ocasión.
#23

Re: Ciberseguridad en banca online

Top 100
Pvila314
Estoy de acuerdo contigo en lo de los datos biométricos.
Si te roban una contraseña, la cambias y listos. Si te roban los datos biométricos, ups.
#24

Re: Ciberseguridad en banca online
R O B E R T O
¿Kaspersky es ruso?, soy del G7, no se como se llama: China+India+Rusia+Surafrica+Brasil, igual BRICS, pero...

Ostras, tengo: móvil, pulsera y portátil chinos, no me había dado cuenta, no se...
#25

Hoy les toca a los cajeros ...
Mnc2024
Buenos días.
Kaspersky es ruso, sí. Y Amazon colabora con el Pentágono, igual que Google ... Aquí no sé en qué están pensando. Somos unos decadentes, los europeos ....  

Aprovecho este post para dejar aquí la primera noticia de ciberseguridad bancaria con la que he tropezado.

Expertos en ciberseguridad han advertido sobre una nueva amenaza en Europa: un virus informático dirigido a cajeros automáticos, el cuál es capaz de extraer hasta 30.000 euros por máquina y tiene una efectividad del 99% en dispositivos de este continente y el 60% en otras regiones.
  • Lo de los cajeros >>>>>
A pesar de las actualizaciones constantes en los sistemas de seguridad de los cajeros automáticos, los ciberdelincuentes logran adaptarse rápidamente, encontrando nuevas vulnerabilidades que explotar.
  • ¿Puede este ataque provocar un incremento de las comisiones?
La extracción ilegal de efectivo no solo afecta a las instituciones financieras, sino también, podría llevar a un aumento en las comisiones y tarifas para compensar las pérdidas.
Saludos.
#26

Re: Hoy les toca a los cajeros ...
R O B E R T O
 Kaspersky es ruso, sí. Y Amazon colabora con el Pentágono, igual que Google ... Aquí no sé en qué están pensando. Somos unos decadentes, los europeos .... 

Pero Norte América son nuestros aliados, si hay un enemigo de Europa es el vecino Ruso, si nos atacan, USA nos defendería.

Que quieres decir con que colaboran con el Pentágono, ósea que las empresas rusas están ayudando al Kremlin.
#27

Re: Hoy les toca a los cajeros ...
Mnc2024
Pero Norte América son nuestros aliados, si hay un enemigo de Europa es el vecino Ruso, si nos atacan, USA nos defendería.

Que quieres decir con que colaboran con el Pentágono, ósea que las empresas rusas están ayudando al Kremlin.
Buenas tardes.
El Pentágono necesita algo más que los datos que le puedan suministrar las empresas porque las grandes tecnológicas investigan en proyectos que son fundamentales para la defensa de EEUU. La computación cuántica es un ejemplo típico. 
Pero Norte América son nuestros aliados, si hay un enemigo de Europa es el vecino Ruso, si nos atacan, USA nos defendería.
Ni Estados Unidos ni Rusia quieren una Europa próspera, fuerte y unida. Nuestro mayor enemigo no es Estados Unidos, ni Rusia, somos nosotros mismos. Divide y vencerás. Por eso no tienen que preocuparse ....
#28

Re: Hoy les toca a los cajeros ...
R O B E R T O
Ya no se si quiero ser de la ONU, UE, español, vasco o de Bilbao.
No entiendo cómo podéis querer tanto a Rodrigo y Jimena, si estuvieron tanto tiempo fuera de Burgos.
#29

Re: Hoy les toca a los cajeros ...
Mnc2024
😀😀😃
No soy de Burgos, oficialmente vivo aquí. Cariño a Rodrigo y Jimena  ninguno. No soy de ninguna parte, okupa del mundo y gran admiradora de una cultura europea que ya no sé dónde está. Murió para siempre quizá ... Los foreros de este hilo se van a enfadar conmigo si hablo de Rodrigo y Jimena en vez de hablar de ciberseguridad.
#30

Ciberataque a Snowflake (caso Santander) y la importancia de la AUtenticación MULTifactor.
Mnc2024
Buenos días.

Los ciberdelincuentes detrás del hackeo al Santander y TicketMaster cuentan cómo lo hicieron.

Aquí tenemos una descripción de cómo tratan nuestros datos, externalizados por la compañías, en este caso un banco.
  • Factor humano.
Un ciberdelincuente del grupo ShinyHunters ha contado cómo obtuvieron acceso a la cuenta en la nube de Snowflake y, por lo tanto, a millones de datos de clientes.
  • Delincuentes con mucho ego describen sus hazañas.
..... a los propios ciberdelincuentes relacionados les va la marcha y han querido ellos mismos contar cómo lo hicieron.
  • Un desastre en materia de ciberseguridad ha afectados a un sinfín de personas en todo el mundo. El origen no tuvo lugar en Snowflake, sino en una compañía que trabaja con Snowflake.
    • Destacar que la compañía que sirvió de puerta de entrada a Snowflake, EPAM r , donde se ubicaban los datos de los clientes de Santander, tenía trabajadores en Ucrania y Rusia.
Tal y como han explicado a The Wired, el acceso se hizo a empresas externas y esto permitió a los piratas informáticos violar las cuentas de Snowflake. 
  • Nuestros datos bancarios pueden terminar dependiendo de que un señor en el otro extremo del planeta tenga un portátil y hábitos informáticos nada seguros.
 "Los contratistas que los clientes contratan para ayudarlos con el uso de Snowflake pueden utilizar portátiles personales y/o no monitoreados que exacerban este vector de entrada inicial",
[][][][] El colmo. 
el portátil de un solo contratista puede facilitar el acceso de los actores de amenazas en múltiples organizaciones, a menudo con privilegios de nivel de administrador y de IT.
[][][][] ¡¡¡ El colmo, el colmo, el colmo !!! 
Brad Jones, CISO de Snowflake, por su parte, ha reconocido que la falta de autenticación multifactor permitió todo este problema.
[][][][]

Es decir, cualquiera de mis cuenta de correo electrónico está protegida con más cuidado y mejores medios que el acceso de terceras personas con privilegios a empresas donde se almacenan nuestros datos sensibles, como dicen ahora, los datos sensibles de millones de personas clientes de empresas relevantes sin la menor consideración por la seguridad ajena.

  • Y esto los saben los reguladores,
  • y el BCE,
  • y los bancos centrales de los países supuestamente desarrollados y no hacen nada por impedir que nuestra seguridad se vea expuesta de forma nada ética.

De las "filtraciones de datos" se acaba en el SIM Swapping y en todo el abanico de estafas conocidas. Un disgusto y desgaste enorme para quien lo padece, pero un acto absolutamente reprobable para quien trata nuestra privacidad/seguridad de esa manera.
  • Los bancos, quienes deberían controlarlos, las autoridades, disculpan esta barbaridad diciendo que son los riesgos del desarrollo tecnológico, los riesgos del progreso ... FALSO.
    • La tecnología tiene sus riesgos, pero la mayoría de los ataques que estoy viendo no son culpa de la tecnología, sino de la chapucería informática que se esconde detrás de la digitalización express.
      • Contraseñas de numeritos en la banca online.
      • El maldito SMS a todas horas. ¿Te hacen SIM Swapping? Pues te avisan de una transferencia de varios miles, pero a la SIM robada.
      • Seguridad lamentable, acaban de verlo, para personas con privilegios de administrador.
      • Inútiles, corruptos o ambas cosas que sirven de puerta de entrada a ciberplagas bíblicas.
      • Externalización ilimitada y descontrolada. Paso tus datos a X, X contrata a Y, Y a Z ...
  • Y lo peor: los usuarios que deberían estar furiosos y no están ni enterados.

Por cierto, por las mañanas compruebo el desvío de datos, SMS, llamadas .... No sirve de mucho, realmente de nada, porque si te han desviado los SMS (y no las llamadas) te enterarás al entrar en el banco. Y será tarde.
  • Se supone que debería funcionar el *#61#, y funciona, pero no con todas ni de determinada manera.
Buen fin de semana. Hasta otra ocasión.