EDICIóN GENERAL

El Supremo anula el despido de un cartero condenado por robar tarjetas de crédito enviadas por correo

#24 no termino de entender "conecta con terceras". No usa Java (¿Alguna web en 2019 sigue usando los applets?)

Evidentemente te obliga a cifrar las conexiones, para eso se inventó TLS

Lo hice por cable, pero aunque lo hagas por wifi sin cifrar, la seguridad de TLS está diseñada independientemente de la capa que haya debajo, esa es la gracia del modelo de capas en general
#87 Lo dicho, no sé tu banco ni cómo lo hace. Pero muchos, si no la mayoría, ni cifran las conexiones ni nada. Y ofrecen servicios a través de terceras empresas, desde el peregrino reCaptcha de Google para poder entrar a cosas más delicadas como mandarte a un servicio de identificación exterior.
#89 No he hecho una auditoria pero dudo mucho que algún banco use HTTP(no S) hoy en día. Que es que no hace falta montar un espectáculo tremendo, es que cualquier ingeniero de sistemas en plantilla te puede comprar un certificado y configurar tus servidores para usarlo. Le añades HTSS y Certificate Pinning(que tampoco son muy difíciles de poner) y tienes un sistema perfectamente seguro y habiendo escrito 0 líneas de código porque los contenedores de servidores ya admites esas tecnologías que están estandarizadas

(seguro en el transporte, habría que ver como es de segura la página per sé)


El mio es autogestionado, el login es cosa suya y no ofrece pasarelas para nada. Me quedaría saber si usa analytics de Google ya que es algo que la mayoría de páginas hacen pero en un banco no lo creo, me fijaré la siguiente vez
#90 Vuelvo a repetir, que no sé tu banco ni lo que hace. Mi comentario es que por Internet también vas vendido en cuanto a seguridad, ya sea dejadez del banco o del usuario. Ejemplos concretos.

DKB-Bank estuvo varios meses con los certificados SSL/TLS vencidos y guardando las contraseñas en texto plano.
El Banco Central Europeo usa soluciones en la nube de Symantec-Service.
comdirect Bank AG manda información por E-Mail a sus clientes sin encriptar.
El banco N26 está envuelto ahora mismo en un escándalo de lavado de dinero. Parece que han secuestrado cientos de cuentas de sus clientes y lavan dinero con ellas.
Casi todas las Apps de bancos en Android o iOS mandan información sensible a terceros.

*Tengo enlaces de todo en alemán. Pero es info que seguramente también puedas encontrar en inglés. ;)
#91 A lo que voy es que mandar el pin y la tarjeta por correo postal es bastante más peligroso que cualquier esa cosa.

- Un certificado TLS vencido en realidad no significa nada. Evidentemente las fechas de vencimiento están por algo, y tenerlos caducados es una mala practica de seguridad, pero este hecho por si sólo no determina que nadie pueda romper la conexión. Sigue siendo más seguro que el caso de ejemplo
- Aunque usar los propios servicios de uno es más importante por el control que te dan, a no ser que me demuestres que Symatec tiene el servicio roto o se apropia indebidamente de información no es tan malo persé. En el ejemplo, el banco estaba usando los servicios externos de Correos, que es el mismo caso.
Si es verdad que una entidad tan grande debería ir pensando en migrarlo todo a soluciones propias por motivos evidentes
- La información sin cifrar por email es una completa locura, en este caso es tan malo como mandarla por correo postal, tablas para este.

Ni idea sobre el resto lo lamento.

No estoy diciendo que lo digital sea mejor, lo que estoy diciendo es que hasta verdaderas chapuzas digitales siguen siendo mejor que lo que sea que estaba haciendo el banco de la noticia.

Si se quiera optar por algo completamente offline se puede enviar la tarjeta por correo postal y que la verificación te la den en un sobre ciego en una sucursal por ejemplo. Nos ahorramos el problema de tener un sólo canal expuesto y vulnerable. Pero repito, un canal sin cifrar(que nos escandalizamos cuando los emails no están cifrados, pero las cartas convencionales tampoco lo están) por el que pasas además toda la información sensible es una locura.

Reitero, no alabo lo digital, intento evaluar sistemas, y como hoy por hoy no recomendaría ni loco un sistema electoral electrónico, la banca basada en correo postal sólo puedo desaconsejarla, a muy mal que lo hagan la banca online suele ser más segura y si tampoco te gusta gestiones presenciales y ya.

Que todo esto es quejarse por quejarse, tanto lo mio como lo tuyo, en la vida real las tarjetas tienen seguro antifraude que hacen que a los propietarios no les pase nada. Los bancos tienen asegurada una parte X del dinero para que incluso en caso de caos absoluto se te devuelva
#97 No estoy diciendo que lo digital sea mejor, lo que estoy diciendo es que hasta verdaderas chapuzas digitales siguen siendo mejor que lo que sea que estaba haciendo el banco de la noticia.

la banca basada en correo postal sólo puedo desaconsejarla, a muy mal que lo hagan la banca online suele ser más segura y si tampoco te gusta gestiones presenciales y ya.

Lo malo es que no tienes datos para mantener eso, es una suposición. Igualmente yo también supongo que el trasvase de datos a día de hoy por Internet es un desastre. Y el punto es que no nos enteramos porque los bancos se lo callan.

A mí mi banco me ha mandado la típica advertencia de que ellos no piden la contraseña por E-Mail más un montón de instrucciones para niños de cómo funciona el eBanking. Eso es un "blanco y en botella", sin reconocerlo te lo dicen todo. Si mi banco se molesta en enviar esa perugrollada a sus clientes, en mi opinión ya han palmado bastante dinero debido al hackeo de muchas cuentas. Así están las cosas en cuanto a inseguridad en digital, me parece que lo analógico sigue teniendo algo de ventaja..
#98 En ingeniería no siempre se trabaja con datos estadísticos, se puede trabajar con diseños.
Enviar una carta de correo postal con información sensible es una chapuza como una casa, y eso lo puede ver cualquiera con dos dedos de frente, no necesitas datos estadísticos, porque es inseguro by design.

Esa advertencia la envían por, como imaginarás ya, el pishing, algo que en lo que por desgracia las paginas victimas tienen poco de hacer(además de evitar que hay un leak de los emails de los clientes).

Esa advertencia te la hacen Paypal, Facebook y un puñaico de paginas más, junto a la advertencia de que siempre verifiques la URL y las típicas.

El trasvaso de datos por internet es la forma en la que funciona todo, incluso la banca tradicional, donde los furgones de dinero de un lugar a otro cada vez son menos interesantes en favor de transferencias electrónicas.

Me parece que la banca es uno de esos sectores que si están preparados para el salto a lo digital.
Que aún así reitero, se puede hacer banca offline segura, pero no cómoda, banca segura offline y cómoda sencillamente no existe


Otra cosa es que contrates a unos chapuzas para montarte el diseño, pero que te dejes la caja fuerte abierta no es culpa de la industria de las cajas fuertes

menéame