460 meneos
15067 clics

¿Es BBVA un banco seguro?

diazr.com/es-bbva-un-banco-seguro/ 
por manwy el 21-11-2011 22:47 UTC publicado el 21-11-2011 23:10 UTC

Soy cliente desde hace años del BBVA, uno de los grandes bancos del capital. He pasado por varios, y es de los pocos donde me he sentido cómodo, y donde nunca he tenido problemas. Pero ahora, me estoy empezando a cuestionar que el banco como tal sea realmente seguro, y os voy a contar por qué.

etiquetas: bbva, seguridad, tarjetas, pin, cifrado
negativos: 7   usuarios: 188   anónimos: 272  
compartir:  twitter  facebook  tuenti  
45 comentarios tecnología, seguridad karma: 515
  1. #1   En España no pasa nada....
    14  votos: 1   link
    el 21-11-2011 22:51 UTC por Kornejo Kornejo
  3. #3   #1
    #2 Quizás os sea de interés ver este post, que ya salió en la portada de meneamé hace un par de semanas o así... libertadparacrear.com/2011/11/07/la-informacion-que-falta-en-los-cajer
    6  votos: 0   link
    el 21-11-2011 22:55 UTC por pullandpushblog pullandpushblog
  4. #4   De ser así se pasan la LOPD por el forro ¬¬ . Hace un par de años a mi cuñada los de Kutxa le mandaron por carta la tarjeta ya ACTIVADA y total que le robaron la carta e incluso usaron su tarjeta. Aunque bueno, el mangante que la utilizó no cayó en que le pillarían por la dirección de destino de todo lo que pidió.
    63  votos: 6   link
    el 21-11-2011 23:02 UTC por melencho melencho
  5. #5   Es un incumplimiento de la LOPD. A interflora le metieron un puro por algo así.
    43  votos: 4   link
    el 21-11-2011 23:02 UTC por Stash Stash
  6. #6   Aquí está el link al que me refería... www.meneame.net/story/informacion-falta-cajeros
    0  votos: 1   link
    el 21-11-2011 23:09 UTC por pullandpushblog pullandpushblog
  8. #8   No es tan grave que la carta no sea certificada, luego para activarla necesitas datos que solo tu conoces. Las cartas certificadas también pueden ser un poco incordio si no hay nadie en casa para recogerlas.
    -27  votos: 4   link
    el 21-11-2011 23:14 UTC por mastermemorex mastermemorex
  9. #9   No sólo el BBVA manda las tarjetas por correo ordinario, la caixa también lo hace... así que será costumbre de todos por lo que parece.....:S
    26  votos: 2   link
    el 21-11-2011 23:16 UTC por javvo javvo
  10. #10   #9 a mi BBVA me las hace llegar por sucursal, en la vida he conocido a alguien que le llegaran por correo (hasta ahora).

    Caixagalicia da a elegir entre sucursal o domicilio e iBanesto te la manda a casa desactivada.
    6  votos: 0   link
    el 21-11-2011 23:17 UTC por marcosgdf marcosgdf
  11. #11   #8 #9 El tema va más allá del envío de la carta, si no de que el PIN de la tarjeta está guardado sin cifrar (aun cuando en la web dicen que sí), además de que para activar la susodicha no hace falta ni introducir el DNI, con llamar y dar el número basta.

    (He aquí el resumen de la noticia xD )
    32  votos: 3   link
    el 21-11-2011 23:18 UTC por Wokere Wokere
  12. #12   #8 Parece ser que en el caso del BBVA para activarla no te piden ninguna información identificativa, con seguir las instrucciones que te da la máquina por teléfono es suficiente. Pero vamos es que lo del PIN es de traca. Lo normal es que si la pierdes te generen una clave nueva y si quieres ya la cambias tú a la que tenías antes o a cualquier otra.
    28  votos: 3   link
    el 21-11-2011 23:20 UTC por ptm56 ptm56
  14. #14   Un poco Offtopic: Siempre me ha parecido que lo de los 4 números de PIN es un poco una falsa medida de seguridad. Vale para los cacos de poca monta de la calle, pero un tipo que sepa de seguridad, cifrados, etc,... dudo mucho que se le resistan hoy en día 4 números. Es un poco como el cinturón de seguridad de los aviones
    22  votos: 1   link
    el 21-11-2011 23:25 UTC por Yoryoryo2 Yoryoryo2
  15. #15   No es por defender al BBVA, pero un PIN de 4 dígitos (lo típico en las tarjetas) no se puede almacenar de manera segura cifrandolo con funciones resumen.

    Entonces, total, para guardarlo de manera insegura, lo guardan en claro, que desde el puntod e vista de seguridad va a ser lo mismo. Otro tema es que la LOPD obliga a no guardarlo en claro sirva o no sirva para algo.

    El problema que le veo es que aunque guarden el PIN con una función resumen es trivial probar las 10000 combinaciones, se use o no una sal para el cifrado.

    Como mucho se podría cifrar las hashes o el propio PIN con un algoritmo simétrico con una cotnraseña fuerte que sepa el banco. En este caso, mientras la contraseña no se filtre los PINs están seguros, pero eso si, el banco puede recuperar el PIN y imprimirlo y mandarlo por correo como se cuenta en el artículo...
    44  votos: 4   link
    el 21-11-2011 23:25 UTC por utopio utopio
  16. #16   Un poco chorras el artículo: por mucho que usen funciones de un solo sentido, el PIN es un número de cuatro cifras. Eso se rompe con nada.
    22  votos: 2   link
    el 21-11-2011 23:26 UTC por rastersoft rastersoft
  17. #17   El artículo es efectivamente un poco chorra. Si alguien accede a su sistema y roba datos, tu nunca perderas tu dinero, puesto que ellos son los únicos responsables de la seguridad del sistema(a menos que seas tan lelo como para escribir tu pin detras de la tarjeta) así que por la cuenta que les trae es seguro.

    #13 No te flipes tanto, atacar la libertad de expresión sería borrar comentarios. Los negativos solo los ocultan, pero ahí están disponibles para quien los quiera leer y para el que quiera obsequiar al autor con mas negativos.
    8  votos: 2   link
    el 21-11-2011 23:28 UTC por chemari chemari
  18. #18   ¿BBVA reclamará el coste de esa tarjeta a Valve?
    6  votos: 0   link
    el 21-11-2011 23:30 UTC por --288530-- --288530--
  20. #20   He trabajado en la informática de dos bancos y te confirmo que el PIN no se guardaba en plano, por lo menos en estos 2 se guarda una cifra llamada offset y se aplica la clave criptografica a esta cifra y otros datos de la tarjeta para obtener el PIN.
    No es un riesgo ya que mientras la clave criptografica no sea publica no hay peligro y creeme, estan muy muy protegidas, fliparias con lo que hay que hacer para conseguir una nueva o para instalarla en un CPD.
    25  votos: 1   link
    el 21-11-2011 23:31 UTC por Radix2 Radix2
  21. #21   #14 ¿Y no has oído hablar nunca de una cosa llamada número de intentos?
    10  votos: 0   link
    el 21-11-2011 23:32 UTC por lg775n lg775n
  22. #22   Creo que la gente se está calentando mucho con este tema cuando hay varias formas de que puedan hacerle decir que es el antiguo PIN y este no sea conocido por los empleados:

    1 Que en la base de datos de clientes del BBVA se agregue en el registro del cliente la nueva tarjeta y quede asociada con la antigua clave de la tarjeta dada de baja.

    2. O simplemente copiar el hash del md5 en en el campo correspondiente al PIN en el registro de la nueva tarjeta, al fin y al cabo es una cadena de carácteres aparentemente inconexos que el código maneja a través de una función que la desencripta para compararla con el pin marcado en un cajero automático p.e., el administrador de la base de datos podría hacerlo si alguien consiguiera hackear el md5 (en esto último estoy poco puesto la verdad de si sigue seguro ese algorítmo).
    8  votos: 0   link
    el 21-11-2011 23:32 UTC por robaperas robaperas
  23. #23   No solo no es seguro, sino que además tiene unas manera de pedir las cosas un tanto peculiares.

    Verano de 2006.Me quiero comprar una cámara de fotos.Voy al banco a sacar dinero en mano para comprármela.Me dicen que no existe una cuenta a mi nombre.
    ¿Como?
    La chica me lo repite:"Ni por su nombre ni por su DNI me aparece cuenta alguna asignada a usted.Usted no tiene cuenta aquí".
    Imposible Ja!Pero si me llegan los recibos a mi casa!Amos, tengo dinero desde la Comunión, de todos los Reyes, no me jodas,de mis ahorros de toda la vida de dios...
    La chica de malos modos me dice: "Traigame su recibo entonces".
    Vuelvo a casa, suerte que estaba en la misma localidad.Recojo el recibo y mientras vuelvo a la sucursal detecto cargos de 60 Euros en mi contra:"Comisiones de operación de cuenta".
    ¿Peroestoquecojo..?
    La mala leche en aumento por momentos: La inutil del BBVA dice que no tengo ni dinero, ni cuenta, ¿y encima me están cobrando 60 euros?...
    Llego a la sucursal y me dice que la titular de esa cuenta es mi madre y no yo.Que el sistema le indica que hay un bloqueo y tengo que ir a la oficina de emisión..
    Me voy corriendo a toda velocidad a la dichosa oficina, y me dicen lo siguiente:
    "Al cumplir los 18 años su cuenta de ahorro ha sido bloqueada ya que le solicitamos el DNI y usted no lo ha traido a la oficina.Por su seguridad le hemos bloqueado la cuenta".
    Me quedo de una pieza: ¿Por mi seguridad?¿Quitarme de la co-titularidad de una cuenta es seguridad?
    Extrañado les pregunto que cuándo me han solicitado dicha información y cómo lo han hecho.
    La respuesta: Correo ordinario.En el 2001(5 años!!).
    Yo irónicamente le pregunto: ¿Así pues la seguridad de este Banco se basa en correo ordinario?
    La chica, subdirectora, sonríe la jodida.
    -¿Así pues se tiran 5 años con un problema de seguridad bloqueandome una cuenta y no avisan?
    La chica no sabe donde meterse y me pide que baje la voz.La gente en la cola nos mira y murmura algo de "menuda verguenza de bancos"...
    Pero lo peor estaba por llegar...
    -¿Cuando me desbloquea la cuenta?
    Me dice que hasta el Lunes nada. Mala ostia increscendo..ya se estaban enterando hasta las cajeras.
    Pero lo peor no habia llegado...
    De pronto caigo en el detalle de esos 60 euros que me están cobrando semestralmente.La chica muy maja me dice:"Cuando en una cuenta no se realizan movimientos de depósitos o retirada de efectivo durante 6 meses, se cobra una comisión de 60 euros".
    En ese momento entiendo la cara de culpabilidad, resulta que los muy ca-bro-nes me han bloqueado la cuenta, los muy in-de-cen-tes no avisan del bloqueo de la misma, los muy des-gra-cia-dos me impiden hacer ningun tipo de entrada y salida, y encima me cobran por el resultado de dicho bloqueo!!
    Así se lo digo, así se enteraron todos los de la oficina.
    ¿"Comisión de operación de cuenta"?¿Por qué no me decís algo del estilo "Comisión por bloqueo de cuenta"?¿Por qué no me avisáis de que mi cuenta está bloqueada desde hace 5 años?Tiene huevos, le dije.
    Me marché por la puerta.
    El Lunes volví con una denuncia de la policia y una carta exigiendo no solo el dinero ilegalmente cobrado sino además todos sus intereses. Y el desbloqueo inmediato de la cuenta. No le pedí el Mercedes que iban a sortear con el libretón en compensación de puro milagro...

    2 días más tarde tenía todo en la cuenta.
    1 minuto después me lo llevé a la caja de ahorros de enfrente.
    262  votos: 32   link
    el 21-11-2011 23:32 UTC por ingenieril ingenieril
  24. #24   Esta noticia es un tanto errónea, con el PIN por si sólo no pueden hacer nada, incluso sabiendo cual es el número de la tarjeta.

    - Si realizas una compra por internet debes introducir previamente el CVV (que aparece en la parte trasera de la tarjeta) y la fecha de caducidad.

    - Si quieres hacer una transferencia, contratación, etc, a través de la web de tu banco, necesitarás una contraseña adicional conocida como "contraseña de operaciones" y desde hace un tiempo, te obligan también a proporcionar un código aleatorio que recibess en el movil.
    19  votos: 1   link
    el 21-11-2011 23:33 UTC por soyelqueescribe soyelqueescribe
  25. #25   #19 Muchos negativos tienen que ponerte para eso: si pierdes tanto karma como para no poder comentar... es que eres un troll
    8  votos: 0   link
    el 21-11-2011 23:34 UTC por chemari chemari
  27. #27   Trabajo en el departamento de bloqueos de una importante entidad bancaria y lo que dice este post es mas o menos como funcionan la mayoría de las entidades respecto a tarjetas y los fraudes por este tipo son anecdóticos, y en el 99 % de los casos que se han llegado a registrar fraudes, son por que el usuario no ha sido cuidadoso con su PIN.

    En el caso que se refiere el post os digo la operativa que se sigue cuando ocurre un incidencia de ese tipo:

    Un cliente llama al SAT de un banco cualquiera y dice: He perdido o me han robado la tarjeta de crédito o débito.

    Primer paso: Tarjeta bloqueada y emisión de una nueva si lo pide el cliente, en este caso el cliente tiene que pasar una política de seguridad y confirmar el domicilio que refleja la base de datos. La tarjeta se envía operativa y con el mismo nº PIN si el cliente no indica lo contrario. Nadie puede tener acceso al PIN, el PIN solo se facilita en oficina física y en sobre ciego.

    Segundo paso: Se emite la tarjeta QUE CAMBIA DE NUMERACIÓN.

    Tercer paso: No llega la tarjeta o la roban del correo. Si no tienen el PIN, no suelen poder realizar compras. Si la tarjeta es visa, para compras por internet lo normal es usar una clave de validacion, dependiendo de la entidad. (codigo al movil, firma electronica, etc)

    Cuarto paso: Alertas. En toda entidad financiera se rastrean, se comprueban y saltan alarmas por "actividades sospechosas de fraude" desde operaciones con poco margen entre IPs distintas hasta compras "extrañas"

    Total, que es prácticamente imposible cometer fraude hoy en dia con una tarjeta de crédito y que se pasen todos los controles sin que pase nada.
    110  votos: 10   link
    el 21-11-2011 23:37 UTC por blackheart1980 blackheart1980
  28. #28   #21 Me refiero un tipo que pudiera entrar en una base de datos, como lo que se quejan en esta noticia. En un cajero está claro que tus 4 numeritos son medianamente seguros, siempre que el de al lado no eche un simple vistazo !
    13  votos: 0   link
    el 21-11-2011 23:37 UTC por Yoryoryo2 Yoryoryo2
  29. #29   #4 Menudo retrasado, suerte tuvo que no le tocó alguien con mas cabeza.
    10  votos: 0   link
    el 21-11-2011 23:45 UTC por SHION SHION
  30. #30   El autor de este blog es maricón, comunista, ateo y ha abortado en repetidas ocasiones, no pienso leer ni menear nada de ese puto calvo de mierda.
    -58  votos: 9   link
    el 21-11-2011 23:50 UTC por r0uzic r0uzic
  31. #31   #4 That's suspicious. Por si acaso sometería al detector a tu cuñada. Nunca se sabe.
    6  votos: 0   link
    el 22-11-2011 00:03 UTC por --288530-- --288530--
  32. #32   Esto que se comenta en este artículo es absurdo.

    Un pin son 4 dígitos -> 10.000 números posibles. Calcular el md5 de 10.000 números se hace en un plis, por lo que no tiene sentido cifrar esa información.
    Y vamos, que calcular el md5(sha(md5(pin))) llevaría un poco más de tiempo, pero poco más que un abrir y cerrar de ojos.

    Edit: por si a alguien le interesa probarlo en python:

    import md5

    for i in range(10000):
    num = str(i)
    print num + ": " + md5.new(num).hexdigest()
    6  votos: 0   link
    el 22-11-2011 00:37 UTC por rostro rostro
  33. #33   Sobre el "cifrado irreversible". El código pin de tu tarjeta son cuatro dígitos de 0 a 9 con lo que se pueden codificar 10.000 números pin diferentes. Generar todos los hashes de todos los posibles pines para comparar cuál coincide con el tuyo y obtener así tu clave original no tarda 10 años, sino aproximadamente 0,1 milisegundos.
    Para que tardase 10 años en un ordenador de estar por casa, el número pin debería tener 16 dígitos o más.
    Para que el mayor súperordenador del mundo de la lista del top500 actual (en Japón) tardase 10 años, el pin debería tener 23 dígitos.
    6  votos: 0   link
    el 22-11-2011 01:06 UTC por maloconocido maloconocido
  34. #34   El articulo comete un error de base. Supone que toda la seguridad de una tarjeta está en conocer el PIN de la misma. En el supuesto que cuenta no es así.

    Supongamos que un mega Hacker le roba a VISA (REDSYS) (que no al Banco) los PINs de las tarjetas. Para poder operar necesita el PAN (que el numero largo de la tarjeta), la caducidad y el CVV (el numerito impreso detrás)

    Supongamos que el Hacker es la leche y lo pilla todo. Pues se dan estos caso:
    - NO puede sacar dinero del cajero porque no tiene físicamente el plástico
    - NO puede comprar en un establecimiento por lo mismo.
    - SOLO puede entrar en las cuentas de los clientes para consultar pero no puede operar porque no tiene la Clave de Operaciones ni un teléfono móvil o tarjeta de coordenada valida.
    - SOLO puede comprar por internet. Pero solo en algunos casos
    1) Puede comprar en Tiendas virtuales sin seguridad extra... Normalmente esto está reservado a entradas de cine y teatro.
    2) En los comercios con Tiendas virtuales seguras, ademas del PIN requieren códigos de validaciones extras como la Tarjeta de Coordenadas, Movil o el CIP (Codigo de comercio seguro)

    Conclusion: un Hacker que sea capaz de la base de datos de VISA (REDSYS) se puede "hartar" de ir al cine. Lo más seguro es que lo terminen pillando en la puerta.
    44  votos: 3   link
    el 22-11-2011 01:08 UTC por xerosmetalluim xerosmetalluim
  35. #35   #34 Conozco muchas webs que no solicitan CES, luego, RedSYS no incluye a Euro6000, y no se que tiene que ver eso con el problema que se plantea en el post.
    6  votos: 0   link
    el 22-11-2011 02:42 UTC por marcosgdf marcosgdf
  36. #36   Menuda tosta de articulo...
    6  votos: 0   link
    el 22-11-2011 07:37 UTC por polluelo polluelo
  37. #37   No tiene sentido mandar una carta con el PIN antiguo. Si ya lo sabias, es solo dar oportunidades para que te lo pillen.
    9  votos: 0   link
    el 22-11-2011 08:02 UTC por asola33 asola33
  38. #38   #22 ¿has leido el artículo? El PIN se lo han mandado por carta y le han mandado el que tenía, escrito en claro en la carta, no le han mandado un hash ni le han dicho "es el mismo"
    6  votos: 0   link
    el 22-11-2011 08:09 UTC por psk psk
  39. #39   Lo que no es seguro es el sistema monetario, así los bancos...
    8  votos: 0   link
    el 22-11-2011 08:41 UTC por eltiofilo eltiofilo
  40. #40   Es espeluznante, a mí me ocurrió lo mismo.
    7  votos: 0   link
    el 22-11-2011 08:59 UTC por ClaudioFioli ClaudioFioli
  41. #41   Voto sensacionalista por lo siguiente: en el supuesto caso de que tuviera razón el articulo y te sacaran el dinero,aun así, con todo y con eso, no pasaría nada, porque el BBVA cubre el 100% de la tela que te mangan sí o sí, sea el importe que sea. A mi el BBVA me cubrió 3.000 euros cuando me duplicaron la tarjeta. Y supongo que el BBVA y todos.
    6  votos: 0   link
    el 22-11-2011 09:05 UTC por Blitus Blitus
  42. #42   ¿Pero es que ha salido la actualización hace poco o nadie se la ha leido?
    12  votos: 1   link
    el 22-11-2011 09:59 UTC por Polico Polico
  43. #43   Yo tengo que decir a favor de la BBK, que el año pasado me fui a Alemania unos meses, y las primeras semanas hice mucho gasto con tarjeta, me llamaron para comprobar que era yo la que estaba haciendo las compras, desde el dpto de seguridad del Banco.
    35  votos: 3   link
    el 22-11-2011 11:28 UTC por ofiuca ofiuca
  44. #44   Ningún banco es seguro, excepto, tal vez y sólo tal vez, los bancos cooperativos.
    10  votos: 0   link
    el 22-11-2011 17:09 UTC por alimac alimac
  45. #45   En Bankia a mí me dejaron boquiabierto cuando para verificar una operación por teléfono pidieron el número de la tarjeta de crédito y el código pin.

    ¿Vamos a ver, pero no dicen que eso nunca te lo van a pedir? Pues resulta que lo que no hacen es pedirlo ellos sin motivo, pero sí tú solicitas una operación (como activar las operaciones por internet), al ser tú el que lo solicitas, te lo piden para comprobarlo o_o
    6  votos: 0   link
    el 22-11-2011 22:37 UTC por avalancha971 avalancha971
comentarios cerrados

menéame