Acceder

Participaciones del usuario Trapero

Trapero 24/09/19 10:59
Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)
Lo que tendría que hacer ING es explicar muy clarito cómo funciona el nuevo sistema.La aplicación de validación supongo que se vincula (que nos lo explique ING) no a la SIM o al número de teléfono sino al aparato en sí,  probablemente a través del IMEI.El IMEI para el que no sepa es un número identificador único para cada teléfono móvil o tablet. Si guardáis la caja del teléfono ahí viene escrito el IMEI, y por cierto es buena idea apuntarlo (o guardar la caja) por si alguna vez os roban el teléfono y queréis pedir que bloqueen su uso.
Ir a respuesta
Trapero 23/09/19 15:53
Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)
1- Android es básicamente linux2- Tiene una estructura más compartimentada donde cada aplicación debe pedir permiso antes de poder acceder a otras aplicaciones. Esto dificulta la acción de los virus. En un PC los programas almacenan y acceden a sus datos en la unidad común. Hay menos barreras y controles.3- En un smartphone descargas las aplicaciones a través de Playstore, que ya supone un filtro previo de autenticidad. 4- En un smartphone es más fácil para el usuario llevar un control de lo que hace y lo que descarga. Esto incluye las actualizaciones que, de nuevo, se hacen a través de la Playstore lo cual supone una garantía. 5- Estás más expuesto a ser infectado cuando te mueves por páginas de internet en un navegador (pueden ser inseguras) que cuando usas una aplicación móvil oficial.Pero vamos, que vale cualquiera de los dos si está dedicados exclusivamente a cosas de dinero y se manejan con cuidado.
Ir a respuesta
Trapero 23/09/19 07:52
Ha respondido al tema ¿Existen bancos que no exijan SMS para operar?
Esa lista no nos sirve porque es para servicios bancarios en otros países. Desgraciadamente en España no conozco bancos que te permitan usar dispositivo autenticador de hardware. Google sí lo tiene como opción de segundo factor para verificar la cuenta.De todas formas si el problema es que no quieres contratar una línea telefónica, realmente no la necesitas para usar el método de autenticación con aplicación (Google Authenticator, Microsoft Authenticator, Authy o similares) que ya ofrecen bancos como Renta4 o brokers como Degiro.Te compras un aparato con sistema operativo Android (smartphone, tablet o lo que sea) y le instalas la aplicación android en cuestión. En la aplicación vas metiendo los códigos de vinculación con las cuentas de bancos que quieres verificar de esta forma. Y a partir de ahí utilizas el aparato como si fuera un autenticador de hardware: lo enciendes, lees la clave que te da y la introduces en tu ordenador. Lo único que tienes que vigilar es que el aparato esté en hora, no hace falta ni SIM, ni WIFI ni nada: funciona offline.Eso sí, haz la vinculación desde un equipo limpio de programas espía para que no te copien el código de vinculación. Apúntatelo tú en un papel y guárdalo en un lugar seguro por si lo necesitas en el futuro.
Ir a respuesta
Trapero 22/09/19 23:20
Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)
Vamos por partes."Me fío mucho más de mi compañía teléfonica que de Google"No es una cuestión de empresas sino de tecnologías. Las tarjetas SIM pueden ser falsificadas o los SMS interceptados. Se está haciendo y cada vez más."es mucho más difícil hackear el SMS que hackear el móvil con la app"No exactamente. Para el ladrón que te ha metido en el ordenador (canal 1) un programa espía es muy difícil que dé la casualidad de que pueda infectarte también el teléfono (canal 2). Esos programas se meten a bulto por descuido del usuario.En cambio una vez metido en tu ordenador averiguar cuál es tu número de teléfono y duplicar la SIM o interceptar los SMS es más fácil."No sé dónde ves tú un segundo canal diferente si, ya que te obligan a usar la app para validar las operaciones, usas también la app para acceder al banco"Eso ya tiene que ver con la aplicación de ING. Efectivamente si operas desde tu smartphone estarías metiendo los dos factores por el mismo canal sin que la clave del segundo factor sea de un solo uso. Supongo que la seguridad vendrá de que la validación sólo se puede hacer desde tu teléfono concreto y no desde ningún otro.Hubiera sido más fácil usar una aplicación autenticadora con códigos de un solo uso (OTP) como hacen otros bancos. "prefiero no usar aplicaciones de validación de Google que, visto lo que hace con Android, a saber qué datos se quedan"Eso tiene que ver con la privacidad, no con la seguridad. En cualquier caso si no te gusta Google tienes otras aplicaciones de autenticación aparte del Google Authenticator. Las hay de código abierto (Authy).  
Ir a respuesta
Trapero 21/09/19 15:57
Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)
@Tintae @Kusss Yo insisto en lo que llevo días explicando. Cuando picas en enlaces de correo electrónico, cuando haces descargas, cuando navegas por páginas de internet, cuando te conectas a wifis, puedes sin darte cuenta infectarte con programas espía que se instalan en tu ordenador. A través de estos programas un ladrón informático puede saber el usuario y contraseña que tecleas y utilizarlos para vaciarte la cuenta. ¿Soluciones? Primero reducir ese riesgo al máximo teniendo un equipo exclusivamente para banca online y siendo cuidadoso en su uso.En segundo lugar utilizar un sistema de validación de dos factores. El primer factor es usuario+contraseña. El segundo factor tiene que venir por otro canal diferente al equipo donde has tecleado usuario y contraseña, y además debe ser un código de un solo uso. Si es de un solo uso aunque lo teclees en el mismo equipo donde has metido usuario y  contraseña al hipotético espía no le sirve de nada porque ya ha caducado. Conoce tu primer factor pero no el segundo.La tarjeta de coordenadas podría funcionar como segundo factor (los códigos vienen por otro canal) si nunca pidieran una posición repetida, pero desgraciadamente no es el caso y eso la hace vulnerable.El código enviado por mensaje como segundo factor viene también por otro canal (el teléfono) y es de un solo uso, pero tiene el problema de que te lo mandan por SMS y está expuesto a ser interceptado por el ladrón.Como veis hace falta encontrar una solución a este problema para operar con seguridad.(pista: la solución más sencilla a la par que segura es emplear una aplicación de autenticación del tipo Google Authenticator o similar. Renta4 y Degiro llevan años dando esta opción y cada vez más bancos la darán)
Ir a respuesta
Trapero 13/09/19 20:53
Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)
Según explica en su blog Miguel Ángel Sánchez Barroso, actual director de seguridad informática de ING direct, las posiciones de una tarjeta de coordenadas o bien no se repiten hasta que se han usado todas, o bien al usar todas se manda nueva tarjeta. Si se hace así (estaría por ver) me parece entonces algo más segura la tarjeta de coordenadas (si renovamos la tarjeta tras haber usado todas las posiciones una sola vez). También dice que "generar el código y enviárselo al usuario mediante SMS [...] es menos seguro que las otras alternativas [aplicación de autenticación o dispositivo hardware],  por lo que se recomienda que se use de manera combinada con otros factores como la tarjeta de coordenadas".(fuente: https://technologyincontrol2.wordpress.com/2012/08/27/selecting-a-effective-strategy-to-prevent-online-fraud/ )tarjetacoordenadas.jpg 99.65 KBY en otra entrada posterior de su blog cuenta la razón por la que se está poniendo en ING la aplicación móvil para validar  operaciones y se está retirando la tarjeta de coordenadas. Según las exigencias de la nueva directiva europea PSD2 "la mayor parte de las implantaciones basadas en contraseñas de un sólo uso (OTP) enviadas por SMS y/o en tarjetas de coordenadas no cumplirían con estos requisitos [de Autenticación Reforzada]".  (fuente:  https://technologyincontrol2.wordpress.com/2016/02/08/autenticacion-reforzada-en-el-marco-de-la-directiva-de-pagos-psd2/ )
Ir a respuesta
Trapero 13/09/19 19:44
Ha respondido al tema Bankia pide usuario y pin completo para acceder a oficina virtual
Muy mal hecho en ambos casos (Bankia e ING).Se está diciendo a los usuarios insistentemente "cuidado con el phishing" , "los ladrones pueden engañarle", "NUNCA  dar las credenciales ni las claves por email o teléfono", "es uno de los métodos más utilizados para conseguir robar las cuentas". Y van los bancos éstos espabilados y te las piden por teléfono. Eso lo único que hace es confundir a la gente.Muy mal.AEB: Asociación Española de Bancaphishing.jpg 103.56 KB
Ir a respuesta
Trapero 13/09/19 18:32
Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)
La tarjeta de claves física tiene casi la misma vulnerabilidad que usuario y contraseña. Si tienes infectado el equipo con un programa espía además de saber tu usuario y contraseña el ladrón puede ir tomando nota de cada posición de la tarjeta que introduzcas. Una vez que tiene una buena cantidad de ellas probará arriesgarse a entrar para llevarse tu dinero y que la posición de la tarjeta que le pidan sea de las que ya tiene apuntadas.Por eso se creó el sistema de claves OTP (One-Time Password = contraseñas de un solo uso), para que nunca se repitan las contraseñas y aunque el ladrón las coleccione no le sirva de nada.
Ir a respuesta