Todo
Foros
Blogs
Entidades
Productos
Expertos
Usuarios
Formación
Vídeos
Acceder
- Inicio
- Perfil de andreagonzalez2k
- Contenidos recomendados por andreagonzalez2k
Contenidos recomendados por andreagonzalez2k
Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)
Ir a respuesta
No sé dónde ves tú un segundo canal diferente si, ya que te obligan a usar la app para validar las operaciones, usas también la app para acceder al banco. Y si usas el PC para acceder y la app para validar dime qué diferencia hay entre eso y usar el PC para acceder y el SMS para validar. Como te han dicho en el mensaje anterior es mucho más difícil hackear el SMS que hackear el móvil con la app. Y prefiro no usar aplicaciones de validación de Google que, visto lo que hace con Android, a saber qué datos se quedan. Me fío mucho más de mi compañía teléfonica que de Google.
Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)
Ir a respuesta
Yo puedo operar de momento como siempre. Lo que tengo claro es que en el momento que no me deje seguir operando sin instalar ninguna app pondré una reclamación al Servicio de Defensa del Cliente de ING ([email protected]) y, dependiendo de lo que me contesten, al Servicio de Reclamaciones del Banco de España (se puede hacer online si tienes certificado digital instalado). No les pediré que no implanten la obligatoriedad de la app, sino que me habiliten el acceso por sms y tarjeta de coordenadas durante un par de meses para que cambie domiciliaciones y vacíe la cuenta.Pueden cambiar al sistema que quieran pero no pueden hacerlo en un mes. Es como si tu banco cambia de la noche a la mañana su única oficina al fondo del mar y te obligan a aprender buceo para sacar tu dinero...
Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)
Ir a respuesta
El sistema SMS no es seguro 100%. Eso ya lo sabemos. La pregunta importante es si es más seguro que la app o no. Con el sistema actual, aparte de clonarte la sim (o hackear el SS7 o descifrar GSM estando en la misma antena que el atacado) tienen que averiguar tu clave de acceso y hacerse con tu tarjeta de coordenadas. Con el sistema de la app, al instalarla, la aplicación verifica que eres tú ENVIÁNDOTE UN SMS. Así que si te han clonado la sim la pueden instalar y verificar sin problemas. Sólo tendrían que averiguar tu clave de acceso.Resumiendo:- Sistema actual: clonar sim, averiguar clave de acceso, hacerse con tu tarjeta de coordenadas- Sitema app: clonar sim, averiguar clave de accesoNo tengo la app instalada, por lo que no sé si la app permite guardar la clave de acceso, cosa que sería nefasto para la seguridad, pues robándote el móvil ya lo tendrían todo para dejarte la cuenta a cero.Si ING ha montado todo este follón para ahorrarse el coste de los SMS no daría muy buena impresión sobre su solvencia.
Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)
Ir a respuesta
Normalmente las tarjetas de coordenadas deben venir envueltas en plástico (de ese que al abrirse se rompe) y la parte donde están las coordenadas tapada con un cartón, de modo que sólo se puede ver la parte anterior de la tarjeta sin quitar el plástico. Así que añade una plastificadora para el hacker (si la recibes pegada con cello preocúpate). Y para activar dicha nueva tarjeta de coordenadas te envían un sms también por lo que igualmente tiene que tener acceso a un operador de telecomunicaciones para hackear el sistema SS7 y que le envíen el sms al móvil que el elija. Si no tiene acceso a ese operador puede ir a tu zona (que coja cobertura con la misma antena de telefonía que tú) y escuchando el tráfico GSM al final descifrar el sms que te envía el banco. Aunque esto no impediría que el sms te llegara a tí también y, hombre, si ves un sms de confirmación de una operación que tú no has pedido algo te mosquearía, ¿no?. Ah, y aún así tiene que hackearte el PC de alguna manera para saber tu clave de acceso, porque sin ella tú me dirás qué hace...
Ahora compárame eso con una "supuesta" doble verificación donde introduces tu clave de acceso, de firma y recibes la coordenada de verificación en el mismo sitio todo: tu móvil DESACTUALIZADO con múltiples bugs de seguridad que NUNCA se van a corregir. Y si el móvil es chino además te puede venir con troyano de fábrica gratis.
Si el hacker es de tu familia lo mismo te da tener el sistema actual que el de la app, aunque con el sistema actual tendría que saber donde guardas la tarjeta de coordenadas, ¿no?. Así que con esconderla bien...
Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)
Ir a respuesta
Con OTP al final dependes de una app, que si está en el móvil es igualmente hackeable, por ejemplo con un troyano que tengas en el móvil y que ejecute la app a distancia cuando el atacante quiera obtener esa clave de un solo uso.
Con los pinchos usb ya es distinto, pues el atacante no puede conectarlo físicamente a tu dispositivo a distancia cuando él quiera. Tiene que robártelo o tomártelo prestado (sin que te enteres a ser posible).
Te compro que los SMS son hackeables, más cuando esta tarde he estado viendo que hay hackers que han vulnerado la doble verificación accediendo al sistema SS7 de las telecos y desviando tanto llamadas como datos a sus terminales, sin necesidar de "esnifar" y descifrar los datos gsm. Pero aún así tendrían que acceder físicamente a tu tarjeta de coordenadas, al igual que sudece con los yubikeys que mencionas. O eso o hackear el banco donde éste verifica que la coordenada de la tarjeta que has puesto es correcta y robar allí todas las claves de la misma. Ambas cosas son más difíciles que hackear un móvil DESACTUALIZADO, que son la mayoría.
Conclusión: es mucho más inseguro que toda la seguridad esté en un único sitio, por ejemplo tu móvil como pretende ING. Es mejor tener algo físico (yubikeys o tarjeta de coordenadas) que sólo tú poseas porque tienen que robártelo físicamente (o el caso de la tarjeta al menos fotografiártela).
Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)
Ir a respuesta
¿Podrías argumentarme un poco más por qué los SMS son menos seguros?. Por lo que he podido ver la única forma de hacer un ataque MIM contra los SMS es que el móvil en cuestión tenga un troyano que intercepte los SMS legítimos y los reenvíe al atacante. Si el usuario en cuestión tiene un móvil que no es smartphone, ¿cómo le vas a instalar un troyano?. Hoy en día la red GSM se puede descifrar. Tanto voz como datos (sms). Compras una antena usb para ver la TV con determinado chip y, después de pasarle unos cuantos programas a la información "esnifada", puedes sacar el texto en claro, incluso modificarlo y reenviarlo. Pero antes de eso el hacker tendría que conocer la clave de acceso a tu cuenta y la de tu tarjeta de coordenadas si estás operando. O sea, te tendría que meter un troyano en el PC y, de alguna manera (phising, hacer una foto física de ella...), conocer todas las claves de tu tarjeta de coordenadas (pues conociendo sólo una posición no vas a poder operar). Mucho curro para él. Ahora compárame eso con el escenario 2 donde todo le llega al móvil y todo lo teclea en el móvil. Troyano a un móvil ya de por sí desactualizado y LO TIENES TODO. No necesitas descifrar HTTPS ni nada pues accedes al texto en claro ya descifrado en el móvil.
El jueves hice un par de transferencias vía web. La primera fue bien. Código de la tarjeta y sms al móvil. Fui a realizar la segunda de la misma manera y falló. Me decía que no tenía informado el número de móvil. Curioso. Tuve que salir de la sesión, borrar caché del navegador, cerrarlo, abrirlo de nuevo, entrar otra vez ya pude realizar la segunda transferencia de la manera normal.
Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)
Ir a respuesta
Una vez más intentas confundir a base de mezclar todo. Yo por OPERAR entiendo que es realizar TODO EL PROCESO desde el PC. Si quiero realizar una transferencia a Alemania desde el PC, que pueda realizarla sin necesidad de tener que tener instalada NINGUNA APP para confirmar nada. Que me valga con tarjeta de cooordenadas o clave de firma y SMS normalito (a mi móvil QUE NO ES SMARTPHONE), nada de notificaciones a apps.
Por otro lado se está mezclando el tema tarjeta de coordenadas con validación a través de la app, que yo creo que no tienen nada que ver. Como ya puse en un mensaje anterior (en la página 4) PSD2 obliga a la doble identificación y los bancos tienen que escoger DOS de entre estos métodos:
- Elemento inherente: huella dactilar, iris o reconocimiento facial, sistemas habituales en los dispositivos móviles.
- Elemento poseído: algo físico como una tarjeta, un certificado digital o un teléfono móvil.
- Elemento conocido: un número PIN o contraseña.
La tarjeta de coordenadas estaría entre los "elementos conocidos", al igual que si se usa una clave de firma. Mientras que la clave que te envíen a la app sería un "elemento poseído", al igual que si se envía un sms (debes "poseer" el móvil para poder recibir tanto la notificación como el sms). Aunque ya hemos visto que con la app se pueden hacer trapicheos para instalarla hasta en PC con emuladores, lo cual es mucho menos seguro que un sms.
Según leo en la página de ING dice: "Al tratarse de una doble validación desde nuestra aplicación, la seguridad aumenta.". No sé cómo va a ser esa doble verificación en ING, pero por lo que intuyo igual para hacer una transferencia primero te piden que teclees otra vez la clave de acceso (lo que anteriormente era la tarjeta de coordenadas, o una clave de firma que te tendrían que pedir que crearas antes del 10 de Septiembre) y luego que escribas el código que te envían a la app (lo que anteriormente era el sms).
Si lo hacen así, que está por ver, DISMINUIRÍA la seguridad muchísimo. Con que te hackeen el móvil ya lo tienen todo.
Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)
Ir a respuesta
Lo que acabas de poner es lo que estaba recriminando en mi anterior mensaje. Mezclas todo y en el batiburrillo lías a la gente. ¿Hasta ahora puedo hacer transferencias A CUALQUIER CUENTA a través de la web sin tener la app instalada?. Sí. ¿Según lo dicho hasta ahora por ING, a partir del 10 de Septiembre, para hacer transferencias A CUALQUIER CUENTA a través de la web voy a necesitar la APP?. Sí. Y, según parece, van a dar la posibilidad de poder seguir usando la tarjeta de coordenadas si haces la transferencia a través del teléfono, llamándoles. A mí, que no tengo tarifa plana de llamadas, eso me supondría un coste, además de perder el tiempo en algo que ahora por la web tardo 1 minuto.
Yo llevo en ING desde el 2004, y por eso he visto cómo su servicio ha ido empeorando y esto puede ser la puntilla. No quiero cambiar de banco, por eso prefiero que rectifiquen y dejen la validación sms como una opción aparte de la de la app. Y si no rectifican que me dejen al menos 6 meses para cambiar todo, no 1 mes.
Respecto a si la tarjeta de coordenadas es más segura o no que la app habría debate. No todo lo nuevo es más seguro. Dime cómo vas a conseguir la tarjeta de coordenadas de alguien para operar con su cuenta si no es entrando en su casa. El móvil te lo pueden hackear a distancia. Y trabajo en informática...
Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)
Ir a respuesta
Yo no sé si son equivocaciones, fanboys de ING o "community managers" a sueldo. Pero en este hilo hay varios usuarios que dejan caer de cuando en cuando que "todos los bancos van a obligar a usar la app", porque "la directiva europea lo exige" o que "las tarjetas de coordenadas son del medievo". "FAKE NEWS" al por mayor. Si quisiera un banco con el que poder operar solo con la app tendría Imaginbank, N26 o Monese. En esos bancos SIEMPRE ha sido obligatorio la app. Pero si no quiero que mi cuenta principal de ING se opere con la app (que no es lo mismo que con un móvil para recibir sms de confirmaciones) deben darme un tiempo prudencial (más de un mes como aquí se pretende) para el cambio.