Cuenta Facto 2018

A ver... En prensa, consultando eso de "SIM swapping" parecen decir que los cacos han obtenido tus datos empleando técnicas de ingeniería artificial, phising, etc., o como lo vendan para abrir bocas de imbéciles.
Pero es que es mucho más fácil. Hazte, caco, con una base de datos, y ya.
Pensemos, soy caco, y que me hice con la base de datos de clientes de la empresa X, hoy extinta, o no...
Vamos a retorcenos. Soy empleado de una empresa que siento me está explotando y me ofrecen, de estrangis, que les pase ficheros a los que tengo acceso por una cantidad de dinero irresistible.
Cariño, ya sé tu nombre y apellidos, tu fecha de nacimiento, tu núm DNI, tu domicilio y número de teléfono móvil. Tecleo tu núm. móvil en la CNMC y ya sé a que tienda acudir para suplantarte. Ya sé si eres de Vodafone, Movistar, etc.
Como sos mujer, envío a una de las mías con colirio para que se presente, desolada, en la tienda. Lo va a conseguir...
Y si fueras hombre, también, que la sensibilidad no tiene género.
Ya es probar, sí, a meterse en uno y otro banco online. Y es que es AHÍ donde se retratan.
Cada vez hay menos bancos, quasi un oligopolio.
Prueba y verás qué exigen unos y otros para dar por bueno que eres tú quien dice, telemáticamente, haber olvidado tu contraseña.
Ya ni te cuento cuando el banco en cuestión anuncia al caco que ha conseguido entrar que "tienes un préstamo preconcedido de X eruos". ¿Puede haber mayor tentación?
El banco, encantado, pero es una máquina, abona el préstamo. Lo hace una rutina informática, no una persona.
Luego, el caco, vía Bizum ordena los 3 pagos máximos de 500 euros casa uno; todo al instante. La misma rutina (informática).
Y lo que no puede sacar vía Bizum lo transfiere -al instante- a otros clientes, falsos, de esa misma entidad, fecha operacion y valor instantáneamente; supuestos "clientes" que, en el argot policial, llaman mulas bancarias. 
Recordemos los encantamientos tipo ¡Abre tu cuenta en 3 minutos sin salir de tu casa!, o similares.
Tiempos aquellos en los que te dabas la mano, la apretabas y sostenías, mirando a los ojos del poseedor de esa mano que apretaba la tuya. Nostalgia...
La tecnología está aquí, y con ella la simplicidad y con la simplicidad la suplantación.
Insisto, por buscar (desesperadamente) un ancla en no sé qué puerto, que los bancos que pidan nif/dni me tiran muchísimo para atrás. 
¡Coño, ese dato está en mogollón de bases de datos!  Y en la Darknet se cotizan.
Qué fondos ni qué porras? Si te suplantan, te suplantan, y en cinco minutos, aunque sean las 3 de la madrugada, te pueden hacer mucha pupa, mientras roncas plácidamente.
Por retomar, aunque no cuele, entidades como CIC y FACTO, fíjate por dónde ninguna de ellas tiene matriz española, me dan más seguridad que las oficinas de bancos y telefónia móvil que están en las aceras, una tras otra, por donde me atrevo a deambular según que noches.

Buenas tardes:
Informacion realmente interesante......"Pienso" o "creo" que entendi todo pero en la parte final me perdi.
Deduzco que utilizas 2 moviles con 2 lineas distintas, una para tu dia a dia habitual y otra linea(logicamente con otro numero) a nombre de otra persona para utilizar unica y exclusivamente con los bancos (para q este numero no este "circulando" por ahi) y sea mas dificil que te hagan un duplicado de la tarjeta.
NO entiendo cuando dices que no sales con el dispositivo en el q esta la segunda SIM ???
A que te refieres con segunda SIM ?, no entiendo por que tienes q tener 2 SIM.
Muchas gracias   

Cada movil ha de tener metida una sim, no?

A una amiga le pasó, 3000 euretes le soplaron, aunque después lo recuperó. Tiene que ser muy desagradable. Mi norma es no seguir ningun enlace, ante cualquier aviso, borrarlo y dirigirme a la app y ver que pasa

Dos tarjetas SIM significa dos números de teléfono diferentes.
Tengo dos DISPOSITIVOS de telefonía móvil, de marcas/fabricantes diferentes. En cada dispositivo está insertada una única SIM, tengan o no dual SIM.
Total, 2 dispositivos y 2 SIM, pero la SIM 1 y la SIM 2 no están operadas por la misma empresa de telefonía. Divide y serás menos vulnerable.
La SIM 1 se corresponde con mi número de móvil de toda la vida, operadora X. Está a mi nombre e insertada en mi Dispositivo 1
La SIM 2 se corresponde con un número de móvil que solo facilité a los bancos en los que abrí cuenta. Línea operada por la operadora Z. No está a mi nombre (a nombre de alguien de mi máxima confianza) y está insertada en mi Dispositivo 2, que nunca sale de casa.  
Alguien que haya accedido a una base de datos donde salga mi nombre, NIF, y número de teléfono móvil correspondiente a la SIM 1 podrá fácilmente suplantarme en una de esas tiendas franquiciadas, para conseguir un duplicado de esa SIM 1 que introducirá en su dispositivo móvil. 
Pero la SIM 2, que (consentidamente por su propietario/a) no está a mi nombre, pero instalada en mi dispositivo 2, el que nunca sale de casa, será más difícil que la dupliquen. El número móvil asociado a esa SIM 2 solo lo conocen los bancos a quienes se lo facilité, pero ni los bancos saben que no está a mi nombre. Solo una entidad bancaria (no diré cuál) me exigió aportarles factura a mi nombre cuando intenté cambiar el número de móvil asociado. Me dio buen rollo esa petición, así que para esa entidad mi número sigue siendo el correspondiente a la SIM 1. Eso sí, ahí apenas tengo nada, por si las moscas...
Me habré explicado fatal, fijo. Saludos

La única pega que veo es que si dices que no sales nunca de casa con el dispositivo que lleva la sim 2, en el caso de alguien duplicase esa sim tardarías mucho tiempo en darte cuenta de ello porque no te darías cuenta de que no tienes línea ya que no estás todo el rato pendiente de ese móvil como lo estamos del que utilizamos habitualmente. Es la única pega que le veo a tu sistema aparte de no tener yo una persona a nombre de la cual hacer esa sim dos. Lo que dices de que da igual tener fondos de inversión pues no es exactamente lo mismo, porque para reembolsar un fondo de inversión a la cuenta la entidad bancaria tarda mínimo 24 horas y en 24 horas con suerte te habrás dado cuenta de que tu móvil no funciona y habrás llamado al banco y tomado medidas antes de que te hayan limpiado. 

Copio hilo muy bueno de hace tres años por si alguien quiere echar un vistazo. 

https://www.rankia.com/foros/bancos-cajas/temas/4363094-existen-bancos-que-no-exijan-sms-para-operar?page=2#respuesta_4488524

VAMOS CON UN POCO DE INFORMÁTICA, POR FAVOR.
Para perder el miedo a la banca online también hay que conocer un poco de sus entresijos. Lo mismo que ya sabíamos del banco del amigo Pepe para que no nos engañaran, jajaja 😂
Cuando accedas a cualquier sitio de internet donde tengas que poner una contraseña y te salga eso de "quieres guardar esta contraseña para,,,," hay que decirle que NO. Así no se almacenará nunca ninguna contraseña en ninguna nube de Google, Firefox,..

En todos los navegadores puedes ir al apartado de Configuración (en la pantalla de buscar pincha donde está tu foto de usuario). Allí verás que hay otro apartado o pestaña que se llama Gestor de contraseñas o algo parecido. Pues entras y vas eligiendo lo que tú quieres. 
Donde pone: Permitir que se guarden tus contraseñas DESACTIVADO.
Iniciar sesión automáticamente DESACTIVADO. Así no se almacenará tu usuario de Facto ni ningún otro usuario aunque éste sea tu e-mail.
Alertas de protección de contraseña: este SÍ ACTIVADO. Porque Google te avisará si tú contraseña ( en el caso de que tuvieras alguna almacenada) está expuesta en internet.
También hay un apartado interesante. Es Exportar Contraseñas. Si pinchas en el icono de descargar te confecciona un fichero de texto con las contraseñas que tienes almacenadas. Así puedes proceder a su borrado para que no las tenga Google.

Eso se hace como dijo Monillo, borrando previamente todas las cookies de tu ordenador/móvil.
Cómo se hace eso?  En el buscador Toca en los 3 puntos verticales de arriba a la derecha. Pinchas en Historial y te sale Borrar datos de navegación.
Mira que esté activada la opción de Borrar Cookies y datos de sitios y pincha el botón de Borrar datos . Así habrás dejado limpio el ordenador o móvil de rastros anteriores.
Ya no tienen porqué salirte ni usuarios anteriores ni contraseñas guardadas.

Hola, muchísimas gracias. 
Ahora por fin me ha funcionado (desaparece el usuario). Lo que si es cierto que cuando entro de nuevo, vuelve a aparecer (entiendo que tengo que borrar las cookies cada vez que salgo y cierro la página). ¿Y así con todas las páginas que use?

Saludos

Bueno, es que yo no vivo solo y siempre, o casi siempre, hay alguien en casa. Por otro lado veo muy difícil (imposible seguro que no es) que hagan duplicado de esa tarjeta SIM 2. Yo soy un hombre de edad X y esa tarjeta está sacada a nombre de una mujer de edad X+25.
Incluso un empleado de banca donde tenga cuenta, como no me exigieron demostrar que el número de móvil está a mi propio nombre (que sería lo más habitual), pensará que soy el titular de ese número. Si le pasa los datos de mi ficha cliente a los delincuentes o si estos hackean la bases de datos de ese banco, tendría que ir un hombre que aparente esa edad X a suplantarme, pues nadie sabe que está a nombre de una mujer y de edad X +25.
Pongamos que me llamo Pepe y la SIM 2 está a nombre de Ana. Alguien se presentaría en una tienda franquiciada de telefonía móvil con un DNI falso a nombre de Pepe, pretendiendo suplantarme, pero al teclear ese número de DNI el empleado de la tienda diría "usted no tiene contratada ninguna línea de móvil con nosotros, el número sobre el que pretende duplicar la SIM pertenece a otra persona..."
Por otro lado, no todas las operadoras de telefonía móvil tienen tiendas físicas... En algunas, el duplicado de la SIM se consigue únicamente mediante el envío por correo postal de la nueva SIM a la dirección que consta en la bases de datos cuando se dio de alta ese número. Es más lento el proceso, claro, pero más seguro.
Sobre movidones de duplicados fraudulentos, aquí un interesante artículo de FACUA:

Fuente: AQUÍ

Y sí, llevas razón, disculpa, en cuanto al reembolso de participaciones en fondos de inversión pues, generalmente, hasta las 15 horas del dia siguiente a la orden de reembolso se podría anular dicha orden. Todo dependederá de la hora y día que tenga establecido la gestora de ese fondo para que se pueda revocar la orden, pero, efectivamente, no será instantáneo en ningún caso. Saludos.

A ver, es que es algo complicado. Las cookies son rastros que tu visita a una web va dejando. Sirven para que cuando entres otra vez en la página ésta se cargue más rápido. Por eso almacena en tu ordenador/móvil algunos datos en las famosas cookies.
Por eso te sale una ventana de "aceptar cookies". Luego si no quieres dejar rastro pues vas al historial y las borras.
 Hay otra posibilidad y es entrar en modo "incógnito". En los 3 puntos de arriba a la derecha pinchas y en vez de escoger la primera opción Nueva ventana escoges la segunda opción Nueva ventana de incógnito. Esa no deja cookies aunque a veces quien hace la web tampoco te deja entrar a todos los sitios si no te identificas.
Pero bueno, lo más importante es que no se almacenen las contraseñas. Lo del usuario debe ser secundario.

Tu sistema es muy bueno. Me falta tener alguien a nombre de quien hacer la sim 2, y luego que te digo que me intranquilizaría no llevar conmigo el dispositivo en el que tienes dicha sim 2. En el link que pegué arriba  habla de lo absurdo que es ligar nuestra operativa a sms y no a algo más seguro como tokens o google authenticator (no sé yo, porque si alguien se hace con tu cuenta de google estás peor casi).

Creo que como nos obligan a funcionar con sms, a las operadoras de movil les deberían exigir que pidan mucho más a la hora de identificarte para emitir un duplicado de la sim, y en caso de hacerse un duplicado fraudulento, deberían asumir el importe total del monto robado. No sé si será así. Si googleas sim swap movistar, te sale un chat de dos víctimas con la comunidad movistar, y casi se puede calificar de abuso (o sin el casi), el trato que reciben de movistar cuando denuncian el delito y buscan solucionarlo. 

Ahora entendido perfectamente, menudo diseño de estrategia !!! me parece muy muy bueno.
Si quisieras cambiar el tfn de contacto con los bancos, pondrian alguna pega, tendrias que justificar ser el titular de la linea o podrias actualizarlo a traves de las paginas web sin necesidad de hablar con ningun operador ?
Muchas gracias

El cambio de número de móvil lo pude hacer, en su momento, cuando vi lo que le pasó a una persona de mi entorno, desde mi casa en pijama y zapatillas, y sin tener que justificar documentalmente que el nuevo número estaba a mi nombre, salvo con una entidad que me pedía le adjuntara documentos varios. Me habían enviado este email ya que el cambio no lo podía hacer online desde mi área cliente:

Así que con esa entidad tuve que abortar el intento y sigo teniendo asociado el número de la SIM 1, que está a mi nombre, pero tengo muy poca cosa con ellos y puede que en breve me salga, pues ni siquiera el teléfono de su SAC esta operativo ni las 24 horas ni los 7 días de la semana, lo cual me parece una desprotección total si un viernes por la tarde/noche compruebas que no puedes entrar a tu área cliente con la contraseña que tenías y a ver cómo pasas el finde sin que te dé un ataque al corazón o te comas hasta las uñas de tus pies. Se ponen muy fisnos para el cambio de número movil, y luego tienen el SAC que tienen...
Con estos datos se sabrá fácilmente a qué entidad me refiero.

Para cuando me di de alta, recientemente, en Pibank, Facto y CIC, ya introduje en el alta de nuevo cliente el número de la SIM 2 sin que me pidieran nada que demostrase estaba a mi nombre (ni contrato ni factura, nada).
¿Si en el futuro quisiera cambiarlo? Pues no sé qué me pedirián estas 3 últimas entidades.
Cada banco tiene su propio protocolo, que a veces actualizan, y pondrán más o menos trabas, o ninguna, para el cambió de nº móvil. Por ejemplo, veo ahora que el Santander (no tengo nada con ellos) exige acudir presencialmente a oficina física:

Esto se lo puede permitir esta entidad dada la enorme cantidad de oficinas que tienen por todas partes. Lo que no sé, no conozco casos, es lo que piden una vez en la oficina cuando te vean el careto. Como estás allí mismo, nadie debería dudar (en teoría, claro...) que eres tú quien dices ser, y deberían hacer el cambio de número sobre la marcha sin pedir ningún papel. Pero estoy teorizando, que desconozco el protocolo completo de esta entidad.

Claro que si hablamos de un banco que solo tenga una única oficina física en todo el país, o ninguna, como ocurre con bancos exclusivamente online, o que las oficinas están en otro país, pues sería complicado exigirte que vayas a no sé qué sitio... o país...

Veo ahora que BBVA dice permitir el cambio o bien en oficina o, también, por cajero automático o eso decían ya en 2016 en su Twitter oficial:

Y claro, si puedes hacerlo por cajero, parece deducirse que no habrá impedimento alguno  para consumar el cambio. Se tecleará el núevo número y punto.

Desde hace no mucho, Bankinter -y les felicito por ello- por fin ha permitido que el USUARIO deje de ser el numerito del DNI y, en su lugar, te permiten que seas tú mismo el que personalice dicho nombre de USUARIO.  A ver si toman nota otros bancos españoles, que de sabios es aprender de las buenas prácticas, ya sin tener que mirar lo que hacen en otros países vecinos para proteger a sus clientes.

Si te lo planteases, tendrías que indagar en los requisitos, si los hay, que te impondrían tus bancos para el cambio. Saludos.
 

Todo este problema del "SIM swapping" se acababa si la Agencia Española de Protección de Datos quisiera :
1º.-Suplantador en tienda con denuncia falsa y/o DNI falso y/o fotocopiado: "Quiero un duplicado de SIM porque me robaron y bla bla bla" 
Empleado : "Muy bien cúbrame este formulario, aquí en este campo me cubre el PUK o el ICC de su SIM robada, cuando lo cubra y se compruebe se le enviará la SIM al domicilio que nos figura en el contrato." 
2º.- Obligación a las entidades bancarias a implementar la modificación del usuario, no sólo del password; o bién posibilidad de usar otro dato menos expuesto que el DNI.
Y asunto liquidado, me pregunto porqué no lo hacen.

Facto, CIC y WiZink usan usuario diferente al DNI. Poder se puede.
Raisin usa el mail que es peor todavía que usar el DNI.

El PUK y mucho menos el ICC no lo sabe nadie. La tarjeta donde viene insertada la SIM y de la que se separa ésta, todo el mundo la pierde tras años y años con el mismo número.