¿Coinc es seguro?

Me parece estupendo que tengas esa sensación, yo te hablo de cuantos niveles de seguridad tiene cada cuenta, y openbank tiene un nivel superior. El uso que tú le des a la cuenta Coinc es tuyo particular, pero recuerda que precisamente por ese mismo argumento de que entras muy poco yo te podría añadir:

1) Un keylogger sólo necesita que accedas una vez para quedarse con tus credenciales.

2) Como no entras casi nunca, no te enteras de que alguien ha asociado una nueva cuenta en tu nombre.

Además de todo esto, recuerda que Coinc se está moviendo cada vez más hacia una cuenta corriente... han comenzado por domiciliaciones de recibos.

Si quieres podemos seguir discutiendo sobre las sensaciones que cada uno tiene, o simplemente intentar ser lo más objetivos posibles y admitir que disponer de una clave de operaciones que no se puede loguear con un troyano y que no se introduce cada vez que se accede a la cuenta es un sistema que aporta mucha más seguridad que no disponer de él.

Pero si te estoy dando la razón.

Tiene más sistemas de seguridad Openbank.

Coinc tiene menos. Pero porque no los necesita.

Cuando utilice la cuenta COINC como cuenta corriente, puede que me plantee su sistema de seguridad. Los recibos les tengo en Openbank.

Pero para lo que yo la utilizo, considero que es más que suficiente.

Pero sí, Openbank tiene más sistemas de seguridad.

Aunque lo que es está tratando en el hilo es: ¿Coinc es seguro?

Y también digo: Sí, COINC es seguro.

Un saludo.

Tú lo consideras seguro para ti, y yo lo considero inseguro en general. Tú tendrás el móvil con PIN, encriptado y estarás pendiente de él, y también del email. Hay gente que tiene el móvil sin PIN, que no mira el email nunca, y se descarga de todo al ordenador teniéndolo repleto de troyanos... Por lo tanto, intento responder desde un punto de vista global, y una clave de operación que estuviera sólo en la cabeza de la persona y que un troyano no pudiera loguear haría la cuenta más segura... para todo lo demás:

Tus argumentos son apabullantes...

Sobre todo el último.

Me rindo.

Voy corriendo a cancelar mi cuenta en Coinc antes de que me la desvalijen. Espero llegar a tiempo.

El último es una recomendación de una película que vi hace años. Hazme caso, te gustará.

No obstante, tienes razón, mis argumentos se basan en niveles y capas objetivas de seguridad, una más en Openbank. Los tuyos se basan en sensaciones... Mejor no hablemos de argumentos apabullantes :)

No dudo que todo lo expuesto sea correcto en un supuesto de laboratorio. Pero no crees que si alguien usurpa tu identidad y abre una cuenta corriente en otra entidad con el fin de asociarla a tu cuenta coinc, para empezar debe haber pasado los filtros en la otra entidad bancaria y eso PROBLEMA DE SEGURIDAD DE LA ENTIDAD BANCARIA EXTERNA, no de coinc, no te parece?
Por otro lado si añades al supuesto de laboratorio el "quizá una persona usurpa tu identidad para abrir una cuenta corriente falsa a tu nombre y, confiando en que no te enteres, asociar una cuenta bancaria", podemos también añadir el "quizá alguien te amenaza con una navaja para que le des tu clave de firma". Son hechos delictivos ambos, no?

Completamente de acuerdo en que si alguien es capaz de abrir una cuenta a tu nombre con una copia de tu DNI es fallo de esa entidad. Lo de la navaja es algo que no conjugo en este caso porque en todo momento me refiero a robo de credenciales y traspaso de dinero sin que tú te enteres (al menos en el momento). El robo por fuerza es algo que existe, lo mismo te pueden hacer con el coche, o con tu propia casa. Pero en este caso, y obviando el hecho de la navaja, la pistola o el rifle, no cabe duda de que añadir una clave de operación que sólo esté en mi cabeza y que nunca se escriba entera, sino sólo unas posiciones aleatorias elevaría de forma notable la seguridad del sistema.

Sinceramente, no entiendo que discusión tiene lo que estoy diciendo, creo que es un tema bastante obvio, y discutirlo es tan absurdo como si yo le echo la culpa a Coinc de que alguien pueda abrir una cuenta en otro banco con mi DNI. Efectivmente, eso no es culpa de COINC, pero implementar una clave de firma (también llamada operación, tipo a la de Openbank) es muy sencillo y está en su mano. Es curioso que a COINC le pareció una buena idea cuando se lo comenté como sugerencia y que lo están estudiando, y sin embargo aquí parece que a nadie le parezca una buena idea. No pasa nada, el día que la pongan, les escribís para que la quiten.

Un saludo,

A dia de hoy me da que la mayoría de los robos bancarios no se producen por sofisticados mecanismos técnicos ni por cúmulos de casualidades, simplemente se aplica ingenieria social a un numero alto de personas. Y de cada 1000, 10000, o 100000 personas siempre hay algún pardillo que pica.

No, si discusión ninguna. Lo que se debate en el hilo es si coinc es seguro, y prácticamente todos estamos de acuerdo: SI. Debes tener el mismo cuidado que con otros bancos y no ser un empanado que se va dejando el móvil por ahi. Eso no es culpa del banco. y claro que podría tener más medidas de seguridad. Y yo en lugar de en un turismo, podría viajar en un tanque blindado. Y en lugar de puerta blindada en casa, podría vivir en un búnker subterráneo. Las medidas de seguridad SUMAN, nunca sobran. Pero la cuestión es si coinc es seguro tal y como es, y la respuesta es que sí, si llevas el mismo cuidado que debes llevar con otros bancos. Similar ni más ni menos que a otros bancos. Si entras a suponer que alguien va a cometer un delito para robarte, considera todos los supuestos (fuerza física), no sólo supuesto de delito electrónico.
Saludos

Cierto, eso ya es otro tema... lo que no quita que una clave de firma en Coinc lo haría muchísimo más segura.

Tu respuesta es que sí, la del resto de personas que han opinado aquí es que sí, y la mía es que no. En este caso la mayor diferencia creo que estriba en que partís de que una persona custodia su móvil correctamente. La fuerza física no la puedo considerar en este caso porque ahí sí que no hay contramedida que Coinc pueda añadir para mitigarla. Cuando se hace un análisis de riesgos estudias todos los riesgos, el impacto y la probabilidad. Ante esos riesgos, dependiendo del impacto y de la probabilidad se establecen un conjunto de contramedidas que se plasman en planes de acción y luego el auditor / consultor revisaría la implantación de los mismos.

En este caso, Coinc no puede aplicar una contramedida para evitar el robo por fuerza física. Si te ponen una pistola en la cabeza no existe forma humana de que ellos puedan evitar que tú les des las claves. Y es por este motivo por el que obvio este caso y me centro en aquellos supuestos donde Coinc si que puede implementar una contramedida para mitigar un riesgo. El riesgo en este caso tiene una probabilidad baja pero un impacto alto, que puede ser solucionado por una contramedida útil, barata y eficaz. Por tanto, cuando un riesgo tiene una probabilidad baja de ocurrir pero el impacto sería muy alto (el cliente pierde todo su dinero), se estudia el coste de la contramedida a aplicar al riesgo En este caso es viable, barata y efectiva, y por eso creo que deberían aplicarla. Repito, si yo fuera el auditor lo pondría como una recomendación, y no como un finding.

Un saludo,

almaxx, totalmente de acuerdo contigo en que cuando hablamos de la seguridad de nuestro dinero, cuantas más medidas de autenticación mejor.

Dicho esto y pensando en mi propia tranquilidad, para que alguien abra una cuenta en otro banco en tu nombre ¿no es necesario algo más que una copia de tu DNI? En mi última experiencia reciente para abrir una cuenta online (en una entidad diferente a Coinc) ha sido necesario comunicar al banco un número de cuenta de otra entidad española de la que ya sea titular. En caso de no tener ninguna, debía presentarme en las oficinas físicas con mi DNI original.

¿No es ese el estándar actual en cualquier entidad? De ser así, COINC es 100% seguro.

En este caso el "chorizo" en cuestión sabe tu cuenta de Coinc porque con un troyano / keylogger sabía tus credenciales de acceso. Es lo malo que tiene una clave de acceso que la metes cada vez que entras y de forma completa respecto a la de operación que sólo la usas para transferir dinero, etc... puntualmente y además no la escribes entera.

En este caso el ladrón ya sabe otra cuenta a tu nombre, la cuenta COINC...

Al menos podían hacer como ING Direct, que de la clave de acceso sólo pide posiciones concretas y aleatorias.

Si es que tenéis todos razón, el riesgo es bajo (ojo en mi opinión es bajo, pero no muy bajo), pero el impacto es muy muy alto, y la medida es muy muy barata. Bastaría con que la siguiente vez que todo el mundo entre se le ofrezca la posibilidad de crear una clave de firma tipo a la de Openbank, y a partir de entonces, para salidas de dinero o canje por cheque Amazon, que pidiera posiciones de esa clave.

Pero vamos, en este supuesto y respondiendo a tu pregunta, el ladrón ya sabe tu cuenta COINC y puede utilizarla para procesar el alta en la otra entidad.

Sin intención de desviar ni nada... y mucho menos argumentar en la cuestión... Pero, permíteme una pregunta, quizá un poco capciosa... ¿cuántas operaciones necesitaría el troyano/keylogger "ver" para devaluar la clave de firma al nivel de la de acceso?

El keylogger sabe que metes una "s" pero no sabe a que posición de la clave corresponde. números y letras serían unos 37 caracteres, luego que son combinaciones con repetición de 37 elementos de 8 en 8? Calcula... Luego además Openbank la bloquea al tercer intento fallido.