España
Acceder
  1. Inicio
  2. Perfil de almaxx
  3. Participaciones

Participaciones del usuario almaxx - Bancos

Foro:
Economía (3) | Bolsa (27) | Hipotecas (2) | Fondos (577) | Bancos (154) | Depósitos (74) | Empresas (1) | Consumo (4) | Preferentes (1) | Fiscalidad (9) | Inversiones alternativas (8) | ADSL (4)
almaxx 22/04/21 13:48
Ha respondido al tema Entidades bancarias con clave de firma y OTP para transferencias externas
La conexión con el banco no la has hecho tú... la persona que te suplanta tiene tu clave de acceso que obtuvo con un keylogger.A ver, evidentemente son ataques dirigidos, donde saben a quien se lo hacen, pero con bancos como Pibank o Selfbank donde se entra con el DNI y una clave de 6 cifras que se mete entera cada vez que uno entra, el keylogger lo capturará fácilmente, y ya puede acceder a tu banco en tu nombre...Luego se preocupará de conseguir en tu nombre un duplicado de tu tarjeta SIM, y obtendrá el SMS con el código OTP cuando haga la transferencia.... De todo esto te enterarás tú si:1) Accedes diariamente a tu banco y lo ves y estás a tiempo de parar la transferencia.2) Te llega un email con el aviso de la transferencia.De lo contrario, al juzgado a reclamar la pasta al banco. Lo ganarás, las sentencias que he ido viendo yo con el tiempo vienen a decir que si el banco no pone todas las medids de seguridad que la tecnología permita en cada momento, el fraude será responsabilidad de ellos, peor mientras tanto el disgusto te lo llevarás tú.Lo de la cuenta vinculada de EBN me ha gustado, así me aseguro que sólo se pueda sacar el dinero a una cuenta mía propia (certificados de titularidad de por medio).Un saludo,
Ir a respuesta
almaxx 22/04/21 12:58
Ha respondido al tema Entidades bancarias con clave de firma y OTP para transferencias externas
Para mí sí es suficiente (dentro de lo que hay).La clave de firma añadida de 8 caracteres alfanuméricos donde te piden sólo 3 aleatorios me es suficiente (añadido a la clave de acceso y al SMS con el OTP).Es difícil que hoy en día nos den más que eso, si bien me gusta más lo que tengo en Renta4, que es el Google Authenticator para poder operar.No encuentro mejores opciones que estas dos implementadas en los bancos que conozco hasta ahora, y a los que he llamado para preguntar antes de hacerme cliente.Del token físico, mejor nos olvidamos. Si queremos un token físico, lo más cercano será Google Authenticator en un móvil sin conexión a internet.
Ir a respuesta
almaxx 22/04/21 12:56
Ha respondido al tema Entidades bancarias con clave de firma y OTP para transferencias externas
Eso no soluciona nada, el SMS puede ser interceptado fácilmente por alguen aprovechando la vulnerabilidad SS7 o bien con un SIM swapping. Una vez que tiene en su poder el SMS, que más da lso caracteres que tenga el código de un sólo uso o los que haya que introducir en la web.... tienen el SMS en su poder, y de hecho tú ni te enteras porque con un SIM swapping no te llegará a ti.
Ir a respuesta
almaxx 22/04/21 00:00
Ha respondido al tema Entidades bancarias con clave de firma y OTP para transferencias externas
Es de perogrullo que si tu sistema está comprometido, la App que genera códigos también está comprometida y puede ser utilizada por el atacante de igual forma...A lo que vamos en este caso es dificultar lo más posible el acceso de una forma razonable, ya que desafortunadamente no nos van a dar un token físico a cada cliente, y para ello el SMS no es el método más adecuado. Me sigo quedando con la configuración de Openbank, y de igual forma con el Google Authenticator que es básicamente a lo que tú te refieres, pero que podría ocasionar el mismo problema.Una buena idea podría ser tener el Google Authenticator instalado en un teléfono viejo sin acceso a internet :) Eso ya sería el equivalente a un token físico... pero vaya que eso no lo va a hacer la gente.Mucha gente sólo se conecta al banco iniciando un linux conectado por USB y así se evitan posibles problemas en caso de que su sistema estuviera comprometido.
Ir a respuesta