España
Acceder
  1. Inicio
  2. Perfil de Trapero
  3. Participaciones

Participaciones del usuario Trapero - Bancos

Foro:
Bancos (39) | Bolsa (28) | Hipotecas (0) | Economía (12) | Preferentes (2) | Fiscalidad (3) | Consumo (2) | Fondos (611) | Inversiones alternativas (13) | Planes Amigo (2)
Trapero 22/09/19 23:20
Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)
Vamos por partes."Me fío mucho más de mi compañía teléfonica que de Google"No es una cuestión de empresas sino de tecnologías. Las tarjetas SIM pueden ser falsificadas o los SMS interceptados. Se está haciendo y cada vez más."es mucho más difícil hackear el SMS que hackear el móvil con la app"No exactamente. Para el ladrón que te ha metido en el ordenador (canal 1) un programa espía es muy difícil que dé la casualidad de que pueda infectarte también el teléfono (canal 2). Esos programas se meten a bulto por descuido del usuario.En cambio una vez metido en tu ordenador averiguar cuál es tu número de teléfono y duplicar la SIM o interceptar los SMS es más fácil."No sé dónde ves tú un segundo canal diferente si, ya que te obligan a usar la app para validar las operaciones, usas también la app para acceder al banco"Eso ya tiene que ver con la aplicación de ING. Efectivamente si operas desde tu smartphone estarías metiendo los dos factores por el mismo canal sin que la clave del segundo factor sea de un solo uso. Supongo que la seguridad vendrá de que la validación sólo se puede hacer desde tu teléfono concreto y no desde ningún otro.Hubiera sido más fácil usar una aplicación autenticadora con códigos de un solo uso (OTP) como hacen otros bancos. "prefiero no usar aplicaciones de validación de Google que, visto lo que hace con Android, a saber qué datos se quedan"Eso tiene que ver con la privacidad, no con la seguridad. En cualquier caso si no te gusta Google tienes otras aplicaciones de autenticación aparte del Google Authenticator. Las hay de código abierto (Authy).  
Ir a respuesta
Trapero 21/09/19 15:57
Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)
@Tintae @Kusss Yo insisto en lo que llevo días explicando. Cuando picas en enlaces de correo electrónico, cuando haces descargas, cuando navegas por páginas de internet, cuando te conectas a wifis, puedes sin darte cuenta infectarte con programas espía que se instalan en tu ordenador. A través de estos programas un ladrón informático puede saber el usuario y contraseña que tecleas y utilizarlos para vaciarte la cuenta. ¿Soluciones? Primero reducir ese riesgo al máximo teniendo un equipo exclusivamente para banca online y siendo cuidadoso en su uso.En segundo lugar utilizar un sistema de validación de dos factores. El primer factor es usuario+contraseña. El segundo factor tiene que venir por otro canal diferente al equipo donde has tecleado usuario y contraseña, y además debe ser un código de un solo uso. Si es de un solo uso aunque lo teclees en el mismo equipo donde has metido usuario y  contraseña al hipotético espía no le sirve de nada porque ya ha caducado. Conoce tu primer factor pero no el segundo.La tarjeta de coordenadas podría funcionar como segundo factor (los códigos vienen por otro canal) si nunca pidieran una posición repetida, pero desgraciadamente no es el caso y eso la hace vulnerable.El código enviado por mensaje como segundo factor viene también por otro canal (el teléfono) y es de un solo uso, pero tiene el problema de que te lo mandan por SMS y está expuesto a ser interceptado por el ladrón.Como veis hace falta encontrar una solución a este problema para operar con seguridad.(pista: la solución más sencilla a la par que segura es emplear una aplicación de autenticación del tipo Google Authenticator o similar. Renta4 y Degiro llevan años dando esta opción y cada vez más bancos la darán)
Ir a respuesta
Trapero 13/09/19 20:53
Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)
Según explica en su blog Miguel Ángel Sánchez Barroso, actual director de seguridad informática de ING direct, las posiciones de una tarjeta de coordenadas o bien no se repiten hasta que se han usado todas, o bien al usar todas se manda nueva tarjeta. Si se hace así (estaría por ver) me parece entonces algo más segura la tarjeta de coordenadas (si renovamos la tarjeta tras haber usado todas las posiciones una sola vez). También dice que "generar el código y enviárselo al usuario mediante SMS [...] es menos seguro que las otras alternativas [aplicación de autenticación o dispositivo hardware],  por lo que se recomienda que se use de manera combinada con otros factores como la tarjeta de coordenadas".(fuente: https://technologyincontrol2.wordpress.com/2012/08/27/selecting-a-effective-strategy-to-prevent-online-fraud/ )tarjetacoordenadas.jpg 99.65 KBY en otra entrada posterior de su blog cuenta la razón por la que se está poniendo en ING la aplicación móvil para validar  operaciones y se está retirando la tarjeta de coordenadas. Según las exigencias de la nueva directiva europea PSD2 "la mayor parte de las implantaciones basadas en contraseñas de un sólo uso (OTP) enviadas por SMS y/o en tarjetas de coordenadas no cumplirían con estos requisitos [de Autenticación Reforzada]".  (fuente:  https://technologyincontrol2.wordpress.com/2016/02/08/autenticacion-reforzada-en-el-marco-de-la-directiva-de-pagos-psd2/ )
Ir a respuesta
Trapero 13/09/19 19:44
Ha respondido al tema Bankia pide usuario y pin completo para acceder a oficina virtual
Muy mal hecho en ambos casos (Bankia e ING).Se está diciendo a los usuarios insistentemente "cuidado con el phishing" , "los ladrones pueden engañarle", "NUNCA  dar las credenciales ni las claves por email o teléfono", "es uno de los métodos más utilizados para conseguir robar las cuentas". Y van los bancos éstos espabilados y te las piden por teléfono. Eso lo único que hace es confundir a la gente.Muy mal.AEB: Asociación Española de Bancaphishing.jpg 103.56 KB
Ir a respuesta
Trapero 13/09/19 18:32
Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)
La tarjeta de claves física tiene casi la misma vulnerabilidad que usuario y contraseña. Si tienes infectado el equipo con un programa espía además de saber tu usuario y contraseña el ladrón puede ir tomando nota de cada posición de la tarjeta que introduzcas. Una vez que tiene una buena cantidad de ellas probará arriesgarse a entrar para llevarse tu dinero y que la posición de la tarjeta que le pidan sea de las que ya tiene apuntadas.Por eso se creó el sistema de claves OTP (One-Time Password = contraseñas de un solo uso), para que nunca se repitan las contraseñas y aunque el ladrón las coleccione no le sirva de nada.
Ir a respuesta
Trapero 13/09/19 18:21
Ha respondido al tema Consecuencias entrada en vigor de la regulación PSD2
Sí existía, sí, que a mí me lo explicaron en el banco. Para razonarme que eran seguras me dijeron que en comercios siempre se pide DNI (falso, y además están las autocajas), que las tarjetas tienen un límite de 150€ de compras sin PIN acumuladas (a partir del cual pide PIN), y que hay un seguro de robo. "¿Si me la roban y alguien la usa se hace cargo el banco?" - pregunté; "a partir de 150€" - contestaron. Qué listos.
Ir a respuesta
Trapero 13/09/19 16:18
Ha respondido al tema Consecuencias entrada en vigor de la regulación PSD2
Antes el límite al partir del cual las entidades asumían pérdidas por robo u operaciones fraudulentas era 150€. Y para protegerse (ellos) ponían el límite de compras acumuladas sin PIN en ... ¡150€! ¡casualidad!Si ahora con PSD2 les obligan a bajar ese límite de responsabilidad a 50€ habrá que ver si no modifican también el límite de compras acumuladas sin PIN.Que ellos cuiden de su seguridad me parece muy bien, lo que me molesta es que no cuiden también de la seguridad de sus clientes. Porque yo intenté que me siguieran dando una tarjeta normal en vez de contactless y no hubo manera. Menos mal que algunos bancos (ING por ejemplo) dejan modificar los límites de compras sin PIN con tarjetas contactless.Seguridad primero. Comodidad después. O al menos que el cliente pueda elegir.
Ir a respuesta
Trapero 13/09/19 15:41
Ha respondido al tema Consecuencias entrada en vigor de la regulación PSD2
¿Sabéis por qué hay un límite de 150€ de pagos sin PIN acumulados a partir del cual será imprescindible introducir el PIN?  Porque las tarjetas tienen un seguro de riesgo y en caso de robo o si falsifican la tarjeta la entidad debe asumir todas las transacciones no autorizadas partir de 150€.No son poco listos ¿eh?
Ir a respuesta
Trapero 13/09/19 15:28
Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)
Hola @deviaje Estaría bien que alguien explicara con detalle cómo funciona la aplicación de verificación móvil de ING, cómo se instala, se conecta y cómo se usa a partir de ahí.Si es como yo creo, el SMS te lo mandan una única vez al principio para vincular la aplicación de validación a tu cuenta de ING. En caso de que tú tuvieras una verificación de segundo factor con SMS (como anuncia que va a hacer Selfbank por ejemplo) recibirías todos los códigos por mensajes SMS. Entonces alguien que tuviera ya el primer factor (usuario y contraseña) en cualquier momento podría bien falsificar la SIM o bien interceptar los SMS, y conociendo los dos factores vaciarte la cuenta.En cambio con este sistema el ladrón tan solo tendría una oportunidad: interceptar AHORA ese SMS que activa la validación móvil, instalarse la validación en su teléfono y utilizarla para vaciarte la cuenta. Si eres tú quien instala la validación móvil en tu teléfono ya no le va a servir al ladrón de nada duplicar la SIM o interceptar los SMS de ahí en adelante.Pero como digo estaría bien conocer en detalle cómo funciona esa aplicación de validación de ING.
Ir a respuesta