EDICIóN GENERAL

El Supremo anula el despido de un cartero condenado por robar tarjetas de crédito enviadas por correo

¿Y como las activaba?
#2 Utilizaba los datos de las cartas donde se enviaban las tarjetas. Cuando es nueva tarjeta, se suele enviar el pin en otra carta. Probablemente controlaría el correo para hacerse con los datos necesarios.
#3 Mira que me lo creo pero me parece una barbaridad.
¿Que esquema de seguridad es ese?, mandando todo por el mismo canal, canal el cual puede ser secuestrado, por el cartero, por tu vecino...

A mi mi banco me dio el pin tras meterme en la web y confirmar con la tarjeta de coordenadas
#10 Quizá sea más barato. 50K€ son calderilla.
#10 por eso es fundamental hacer "fuera de banda" es decir usar varios canales distintos, no la misma banda siempre
#51 en informática tenemos la sensación que si algo no se cambia en año y medio, o tu programa no recibe update cada 3 meses es que está obsoleto.

Deberíamos aprender el concepto de estabilidad. El sistema de tarjeta de coordenadas funciona, tiene muy pocos inconvenientes y es seguro.

No hay motivo para cambiarlo

Pero aunque lo hubiese, sigo prefiriendo 1000 veces hacer eso a que me manden la tarjeta y el pin por el mismo canal, en seguridad es imprescindible aplicar lo que dice #21 a no ser que te asegures muy mucho que tu canal es seguro(y el correo postal no lo es)
#88 Tarjeta de coordenadas: o la llevas siempre contigo o no puedes operar si sales de casa. Si la llevas y le sacan una foto sin que te des cuenta... Adiós seguridad.
En el siglo XX eran lo más ciertamente.
#93 Dame una alternativa mejor.

La tarjeta de coordenadas no es necesaria para extraer ni sacar dinero(ni pagar con tarjeta). Además depende del banco es posible que tampoco haga falta para ciertos tipos de transferencias.

Así que eso de que no puedes operar... Yo no sé cuantas transferencias bancarias haces por la calle
#10 Pues a falta de detalles, te digo que hacer operaciones bancarias por Internet también es una barbaridad en cuanto a seguridad.

A menos que me digas que tu banco no se conecta con terceras, que su web no usa Java, que te obliga a cifrar las conexiones y que no lo hiciste por Wifi, etc., también vas vendido en seguridad.
#24 ¿Conoces alguna web solvente que analice los bancos desde esa perspectiva?
#34 Sí, blog y foro, pero en alemán. Lo lleva tipo que sabe mucho sobre el tema y escribe sobre seguridad en general. Si sabes el idioma te lo paso. ;)

#38 Podría estar de acuerdo, pero faltarían datos. Cualquier lego también interviene una Wifi o hace el clásico phising, y no nos enteramos de los millones que se roban porque es un dato que los bancos obviamente se callan. Te aseguro que ni lo denuncian, si te faltan 5 € de tu e-Cuenta Chupi el banco te ingresa 6 en un plis y se disculpan con "ha sido un fallo humano".

¿Cuántos robos se dan por el método postal y cuántos explotando las debilidades del eBanking? Y no solo es lo fácil que resulta un método, sino lo difícil que te pillen después. A este de correos lo pillaron, a los de Internet es más complicado.
#54 " En alemán (...) Si sabes el idioma te lo paso."

Pues pásalo... y ya veremos que hacemos con el asunto ese del alemán :->
#24 explotar las debilidades del correo postal parece, a vista de los hechos, más sencillo y accesible para cualquier lego que explotar las debilidades que mencionas.
#24 no termino de entender "conecta con terceras". No usa Java (¿Alguna web en 2019 sigue usando los applets?)

Evidentemente te obliga a cifrar las conexiones, para eso se inventó TLS

Lo hice por cable, pero aunque lo hagas por wifi sin cifrar, la seguridad de TLS está diseñada independientemente de la capa que haya debajo, esa es la gracia del modelo de capas en general
#87 Lo dicho, no sé tu banco ni cómo lo hace. Pero muchos, si no la mayoría, ni cifran las conexiones ni nada. Y ofrecen servicios a través de terceras empresas, desde el peregrino reCaptcha de Google para poder entrar a cosas más delicadas como mandarte a un servicio de identificación exterior.
#89 No he hecho una auditoria pero dudo mucho que algún banco use HTTP(no S) hoy en día. Que es que no hace falta montar un espectáculo tremendo, es que cualquier ingeniero de sistemas en plantilla te puede comprar un certificado y configurar tus servidores para usarlo. Le añades HTSS y Certificate Pinning(que tampoco son muy difíciles de poner) y tienes un sistema perfectamente seguro y habiendo escrito 0 líneas de código porque los contenedores de servidores ya admites esas tecnologías que están estandarizadas

(seguro en el transporte, habría que ver como es de segura la página per sé)


El mio es autogestionado, el login es cosa suya y no ofrece pasarelas para nada. Me quedaría saber si usa analytics de Google ya que es algo que la mayoría de páginas hacen pero en un banco no lo creo, me fijaré la siguiente vez
#48 ... tras aprovecharse durante más de cinco años (desde 2007 hasta 2012) de ...
#48 ¿Te has situado en el año 2007? Por aquellos tiempos se enviaba la tarjeta en una carta y el pin unos días después en otra carta. Hablo de tarjetas nuevas, no de renovaciones de tarjetas. Te contradices en tu propio mensaje.
#59 Pues a mí sí, en más de una ocasión. Que no te haya pasado no quiere decir que no suceda. Afortunadamente los tiempos han cambiado.
#48 Sera en tu banco el BBVA te envia las renovaciones de la tarjeta por carta.
#63 y te la envía desactivada. La tienes que activar tú la app/web, con mensaje al móvil, o en un cajero con el pin antiguo.
#10 Tarjeta de coordenadas? Vaya banco más retro

menéame