Te respondo rápido, para ti sí, para mí también, suponiendo que tu móvil tiene pin y cuidas tu ordenador. Para mi padre... No, no lo es, tiene el móvil sin clave y es capaz de meterse al banco en el ciber del hotel... Si yo doy mi opinión personal, no lo considero seguro. Si doy mi opinión como auditor, esto no sería un finding, sólo una recomendación muy barata de implementar y con un beneficio muy grande.
Clave de acceso más clave de firma más código de un sólo uso. Ese es el modelo de Openbank asequible que vengo comentando todo el hilo!!! Tenía que venir uno del sector a darme la razón :)
Generador de tokens tienes el de google, que lo tiene renta4 y Degiro, pero va en el móvil. Y si el troyano permite visualizar y loguear a la vez? Si eres del sector, sabrás que estoy hablando de mitigar el riesgo a un precio asequible. La clave de firma es un proyecto informático más, de muy poco precio... mandar tokens a todos los clientes ya me parece una pasada... :) Además, de token ya te hace el sms con la clave, por lo que preferiria la clave de firma en este caso.
El keylogger sabe que metes una "s" pero no sabe a que posición de la clave corresponde. números y letras serían unos 37 caracteres, luego que son combinaciones con repetición de 37 elementos de 8 en 8? Calcula... Luego además Openbank la bloquea al tercer intento fallido.
En este caso el "chorizo" en cuestión sabe tu cuenta de Coinc porque con un troyano / keylogger sabía tus credenciales de acceso. Es lo malo que tiene una clave de acceso que la metes cada vez que entras y de forma completa respecto a la de operación que sólo la usas para transferir dinero, etc... puntualmente y además no la escribes entera.
En este caso el ladrón ya sabe otra cuenta a tu nombre, la cuenta COINC...
Al menos podían hacer como ING Direct, que de la clave de acceso sólo pide posiciones concretas y aleatorias.
Si es que tenéis todos razón, el riesgo es bajo (ojo en mi opinión es bajo, pero no muy bajo), pero el impacto es muy muy alto, y la medida es muy muy barata. Bastaría con que la siguiente vez que todo el mundo entre se le ofrezca la posibilidad de crear una clave de firma tipo a la de Openbank, y a partir de entonces, para salidas de dinero o canje por cheque Amazon, que pidiera posiciones de esa clave.
Pero vamos, en este supuesto y respondiendo a tu pregunta, el ladrón ya sabe tu cuenta COINC y puede utilizarla para procesar el alta en la otra entidad.
Tu respuesta es que sí, la del resto de personas que han opinado aquí es que sí, y la mía es que no. En este caso la mayor diferencia creo que estriba en que partís de que una persona custodia su móvil correctamente. La fuerza física no la puedo considerar en este caso porque ahí sí que no hay contramedida que Coinc pueda añadir para mitigarla. Cuando se hace un análisis de riesgos estudias todos los riesgos, el impacto y la probabilidad. Ante esos riesgos, dependiendo del impacto y de la probabilidad se establecen un conjunto de contramedidas que se plasman en planes de acción y luego el auditor / consultor revisaría la implantación de los mismos.
En este caso, Coinc no puede aplicar una contramedida para evitar el robo por fuerza física. Si te ponen una pistola en la cabeza no existe forma humana de que ellos puedan evitar que tú les des las claves. Y es por este motivo por el que obvio este caso y me centro en aquellos supuestos donde Coinc si que puede implementar una contramedida para mitigar un riesgo. El riesgo en este caso tiene una probabilidad baja pero un impacto alto, que puede ser solucionado por una contramedida útil, barata y eficaz. Por tanto, cuando un riesgo tiene una probabilidad baja de ocurrir pero el impacto sería muy alto (el cliente pierde todo su dinero), se estudia el coste de la contramedida a aplicar al riesgo En este caso es viable, barata y efectiva, y por eso creo que deberían aplicarla. Repito, si yo fuera el auditor lo pondría como una recomendación, y no como un finding.
Un saludo,
Completamente de acuerdo en que si alguien es capaz de abrir una cuenta a tu nombre con una copia de tu DNI es fallo de esa entidad. Lo de la navaja es algo que no conjugo en este caso porque en todo momento me refiero a robo de credenciales y traspaso de dinero sin que tú te enteres (al menos en el momento). El robo por fuerza es algo que existe, lo mismo te pueden hacer con el coche, o con tu propia casa. Pero en este caso, y obviando el hecho de la navaja, la pistola o el rifle, no cabe duda de que añadir una clave de operación que sólo esté en mi cabeza y que nunca se escriba entera, sino sólo unas posiciones aleatorias elevaría de forma notable la seguridad del sistema.
Sinceramente, no entiendo que discusión tiene lo que estoy diciendo, creo que es un tema bastante obvio, y discutirlo es tan absurdo como si yo le echo la culpa a Coinc de que alguien pueda abrir una cuenta en otro banco con mi DNI. Efectivmente, eso no es culpa de COINC, pero implementar una clave de firma (también llamada operación, tipo a la de Openbank) es muy sencillo y está en su mano. Es curioso que a COINC le pareció una buena idea cuando se lo comenté como sugerencia y que lo están estudiando, y sin embargo aquí parece que a nadie le parezca una buena idea. No pasa nada, el día que la pongan, les escribís para que la quiten.
Un saludo,
El último es una recomendación de una película que vi hace años. Hazme caso, te gustará.
No obstante, tienes razón, mis argumentos se basan en niveles y capas objetivas de seguridad, una más en Openbank. Los tuyos se basan en sensaciones... Mejor no hablemos de argumentos apabullantes :)