aarroyoc
31/08/19 22:43
Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)
Ir a respuesta
A tu compañero fsoriano, le he pasado enlaces sobre el uso de SMS como 2FA y por qué se considera inseguro habiendo técnicas mejores (aunque algo más farragosas).
Por otro lado, explicando el uso de la tarjeta de coordenadas, hay otro tipo de ataque que has olvidado mencionar, que es el de tipo replay. Un sujeto escuchando la red (incluso cifrada) podría memorizarse los diferentes paquetes que envías al momento de enviar el código de la tarjeta de coordenadas y simplimente repetirlos cuando quiera autorizarse una operación. Esto es así porque la tarjeta de coordenadas no varía y se puede memorizar. Una técnica para evitar esto es usar un nonce, un número generado aleatoriamente que va en el mensaje cifrado junto con la clave de la tarjeta de coordenadas, dificultando su réplica, pero tampoco es 100% seguro.
Respecto al tema de los troyanos de los sistemas operativos móviles, sí, es un grave problema que estén desactualizados y personalmente opino que se debería obligar a los fabricantes a publicar las correcciones de seguridad durante varios años. Si bien un ataque como el que comentas es complejo (los sistemas operativos modernos ya no cuentan solo con memoria virtual, sino con sistemas de sandboxing más avanzados), pueden fallar y han fallado, así que es un problema real. Solo puede haber sistemas seguros si son actualizados.