Menéame: comentarios [2645013]

#133 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

pradhesa — Wed, 27 Jul 2016 20:29:52 +0000

#132 El juez en cuestión ha demostrado, como es tristemente habitual, un grave desconocimiento del asunto sobre el que ha dictaminado. Versión resumida: la web de un banco no puede asegurar la seguridad de nuestro ordenador o smarphone. Y, por supuesto, tampoco puede impedir que un tercero engañe al usuario para conseguir las claves de acceso.

Me explico. Primero, los antivirus cada vez son menos eficaces. Nunca lo han sido al 100%, pero si antes protegían de la mayoría de los virus, ahora no detectan más que una pequeña fracción (no se fíen de mis palabras, busquen "antivirus effectiveness" en Google). Segundo, desde una página web es técnicamente imposible comprobar que un ordenador o teléfono móvil está libre de virus. No voy a entrar en detalles técnicos, pero una web tiene acceso limitado al resto del sistema, precisamente para dificultar que entren virus o espien nuestra información. Y esa limitación técnica (llamada "sandbox" o "cajón de arena") es lo que impide, precisamente, saber si hay un virus en el equipo. Y tercero, cuando una web atacante se hace pasar por la del banco (es el llamado "phising" o suplantación de identidad), un banco puede hacer poco más que detectarlo y ordenar el cierre de la página en cuestión. Con un poco de suerte, suelen conseguirlo en unas horas, pero los maleantes pueden conseguir robar decenas o centenares de credenciales en ese tiempo.

La única forma en que se podría responsabilizar a un banco de la seguridad de un dispositivo es si el banco nos proporciona un dispositivo cuya finalidad exclusiva es operar con el banco, se responsabiliza de su mantenimiento, y prohibe operar desde ningún otro terminal. Y eso, está claro, los bancos no lo van a hacer porque no les sale rentable; y los clientes no aceptarían tener un dispositivo que sólo sirve para operar con el banco. www.evilfingers.com/publications/white_AR/01_Ataques_informaticos.pdf

» autor: pradhesa

#132 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

pradhesa — Wed, 27 Jul 2016 20:28:07 +0000

Están intentando deshacerse del mayor número posible de trabajadores a costa de que les hagamos el trabajo nosotros desde casa. Muchas veces ni siquiera ponen todo de su parte en seguridad (muchos se han tirado más de un año usando certificados no seguros, y algunos como banco popular aún no lo han renovado). Nos tienen cautivos (han conseguido que en España se tramite todo por el banco). Además son cuatro gatos, así que no les hace falta ni conspirar para ponerse de acuerdo, basta con copiarse. Nuestros ahorros les importan un pimiento porque toda la liquidez la sacan de la inyección de capitales, eso sí, sin hacer que el crédito vuelva a fluir. Así que nos cobran lo que les da la gana por conceptos absurdos. Así que me parece bien que apechuguen con los costes de la banca electrónica, no van a ganar siempre. Si no les sale a cuenta que vuelvan a contratar cajeros (perdón, comerciales de banca, que no es lo mismo), que anda que no hay en paro.

Son los bancos los que se empeñan en poner de patitas en la calle a empleados, cerrar oficinas y sustituirlo por sistemas telemáticos. Cuando impones algo tecnologicamente avanzado a una base de usuarios en un pais donde hay una enorme cantidad de gente mayor, echarles la culpa de que no funciona muestra un muy bajo nivel moral. Son los bancos y empresas los que se gastan en muchos casos unos pastizales que a quiene sabemos de esto nos parecen sospechosamente altos y acto seguido, en cuanto falla algo, echan la culpa "al informático". Una vez mas, no exactamente algo precisamente edificante.

www.elconfidencial.com/tecnologia/2016-07-14/banca-phishing-cibersegur

» autor: pradhesa

#131 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

EuropeoDespierto — Tue, 19 Jul 2016 21:00:06 +0000

#45 Cierto. Privatizar las ganancias, socializar perdidas.

» autor: EuropeoDespierto

#130 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

Marx — Tue, 19 Jul 2016 13:53:58 +0000

#129 Aha, ¿así que yo...

1. le doy al "botón de pagar" de la tienda especial propiedad del banco.

Yo le doy al botón enviar del formulario, para que envíe número de cuenta e importe a transferir. Ahí ya la jodiste, amigo, porque el malware mandará el número de cuenta mal.

2. sales a una web del banco redirigido desde el servidor. Al banco ya le ha llegado de parte del servidor que hay una operacion con nº 4567 con estos detalles...

En la web del banco ya estoy desde el principio, no me redirigen desde ningún servidor. Pero sí, al banco ya le han llegado los detalles de la operación... solo que mal, y esos detalles provienen única y exclusivamente de mi navegador, no de ningún servidor, el cuál ya me ha jodido.

3. tu tienes delante una pantalla con los detalles del cobro y una imagen de un qrcode con los detalles de la operacion. nº 4567, importe 100 euros, codigo de cliente propietario del tpv 6789. Ahora, en tu ejemplo un virus muy malo cambia los detalles del form antes de enviar. ¿Que detalles? ¡Los datos ya están en el lado del banco!

¿ahora? No, no cambio nada en el punto tres, lo que quería cambiar ya lo cambié en el punto uno. Los datos ya están en el lado del banco, sí, porque han salido de mi, de mi navegador, y partieron de mi de forma errónea. Entonces estás jodido.

etc.

En tu cerebro está la intención de enviarle dinero a Pedro a través de una transferencia, ahora esa orden tiene que dar el salto de tu cerebro al banco para que lo haga. ¿cómo da el salto? pues o vas en persona a la oficina o lo haces de forma telemática a través de un dispositivo, como puede ser el ordenador. Eso es así a huevos. Entonces usas el ordenador y el ordenador es tan cabrón que pasa de ti y donde tú dices Pedro, él envía María. La jodiste.

Fin. Más simple imposible. Después ya puedes darle las vueltas que quieras que ya la jodiste desde el principio.

» autor: Marx

#129 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

LaInsistencia — Tue, 19 Jul 2016 12:44:33 +0000

#128 ¿Y a quien te crees que le haces una petición de transferencia entre cuentas, si no es a una tienda online especial propiedad del banco? ¿Al hada de los sobres de Barcenas?

Dejalo. En tu trozo de universo tienes razón. Que te aproveche.

» autor: LaInsistencia

#128 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

Marx — Tue, 19 Jul 2016 12:28:19 +0000

#126 Vale, leído todo tu comentario, punto cuatro incluido, sólo puedo decir una cosa Oh My God

1.https://media1.giphy.com/media/gZq7GstcdqVXi/200_s.gif
2.https://media0.giphy.com/media/14vFOciTnQjnl6/200_s.gif

Tú hablas de una compra y metes a un TPV de por medio.

¿tú sabes la diferencia entre una compra y una transferencia entre cuentas? Porque yo hablo de lo segundo y no tiene nada que ver con todo eso que tú dices, ni la noticia esta del meneo.

» autor: Marx

#127 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

Marx — Tue, 19 Jul 2016 08:05:48 +0000

#126 he dejado de leer en el punto tres, ahora no tengo tiempo, despues lo leere, pero me llega porque tu error esta en los dos primeros puntos:

"1) tu le das al boton de pagar en una tienda online"

Que tienda online? Aqui no hay ninguna tienda. Eres tu el que entra a tu cuenta bancaria a traves de la web del banco para hacer una transferencia desde tu cuenta del banco

"2) sales a una web del banco redirigido desde el servidor. Al banco ya le ha llegado de parte del servidor que hay una operacion con nº 4567 con estos detalles (ha tirado de curl o similar para enviar un form desde el servidor, no desde el cliente, con todos los datos);"

Que servidor? Se supone que un servidor de terceros, el de la tienda online. Aqui no hay mas servidor que el del banco, al que tu te conectas desde tu ordenador.

Tu hablas de pagos online y yo de transferencias bancarias desde la pagina de tu banco, desde tu cuenta.

"3)Ahora, en tu ejemplo un virus muy malo cambia los detalles del form antes de enviar. ¿Que detalles? ¡Los datos ya están en el lado del banco!"

Imposible. A no ser que el banco sea clarividente, los datos aun no han salido de tu cerebro. Los datos se los dices tu teclendo en tu navegador lo que quieres hacer, como yo tecleo este comentario, y luego le das al boton de enviar del formulario, en donde el formulario malo enviara lo que quiera.

Tu me dices que meneame ya tiene este comentario antes de yo haberlo escrito en la caja de comentarios. Imposible.

» autor: Marx

#126 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

LaInsistencia — Mon, 18 Jul 2016 23:31:50 +0000

Para ti la perra gorda. Tu no has picado una linea de código relacionada con tiendas online ni para cambiar el color de una cabecera.

1) tu le das al boton de pagar en una tienda online
2) sales a una web del banco redirigido desde el servidor. Al banco ya le ha llegado de parte del servidor que hay una operacion con nº 4567 con estos detalles (ha tirado de curl o similar para enviar un form desde el servidor, no desde el cliente, con todos los datos); a ti en tu navegador te ponen un link a www.banco.com/pagar.servlet?operacion=4567 - si el hacker cambia ese numero por una operacion suya, game over. El banco no tiene la operacion en su base de datos, proceso invalido, a tu puta casa.

Hasta aquí es el proceso seguro, el "moderno", el que esta programandose de unos años para acá. Los TPV que caen al cambiazo de datos son los antiguos, los que siguen el manual de hace diez años. Sigamos...

3) tu tienes delante una pantalla con los detalles del cobro y una imagen de un qrcode con los detalles de la operacion. nº 4567, importe 100 euros, codigo de cliente propietario del tpv 6789. Ahora, en tu ejemplo un virus muy malo cambia los detalles del form antes de enviar. ¿Que detalles? ¡Los datos ya están en el lado del banco! Lo unico en pantalla son datos estáticos y un qrcode para enganchar la app del banco. El único detalle a cambiar es la imagen (dar el cambiazo al qrcode) o el numero de operación, y solo puedes poner un numero de operación valido para otro TPV del mismo banco. Es mas, el numero de operación puede estar guardado server side en los datos de tu sesion, donde no puedas dar el cambiazo sin cambiar la sesión del navegador. ¿Basabas el ataque en cambiar el form? Game over.

Sigamos intentando el robo...

4) la app de tu móvil te muestra los datos de la operación a realizar. 100 euros al tpv nº 6789, que corresponde a merceria paquita. A ti en tu móvil te sale "100 euros a merceria paquita".

Si un hacker te cambia el qrcode por el de su TPV, va a hablarle al banco de una operación totalmente distinta. Una de dos, o tiene un TPV contratado con el banco y te ha preparado una operación idéntica y tu no te das cuenta, o no puede cobrarte. ¿Un hacker haria eso? Ni de coña. Para contratar un TPV tienes que dar DNI, dirección, Nif de la empresa y hasta la talla de calzoncillos. Como en pantalla sale el nombre de la tienda que tiene contratado el TPV, solo funcionaria si es un segundo TPV contratado a nombre de merceria paquita, porque el banco no va a darte un TPV a nombre de una empresa que ya tiene uno si no eres la misma empresa; y en cuanto el cliente se queje al banco, se follan al pirata porque tienen hasta su ficha dental. Game over de nuevo, y se agotaron las opciones.

¿Y ahora que?

» autor: LaInsistencia

#125 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

Marx — Mon, 18 Jul 2016 22:53:34 +0000

#123 por cierto, en el telefono no se cambia ningun dato, ningun cifrado para que no salte ningun error. En el telefono todo sigue su curso normal excepto que lo unico que cambias es la imagen que se muestra en pantalla para que tu leas pedro en vez de ladron. Todo lo demas seguira su curso normal y por eso validara.

Un truco similar ya lo hacen algunas aplicaciones en android sobreponiendo una capa sobre la ventana de aceptacion de permisos, para camuflar algun permiso y tu simplemente des a aceptar.

» autor: Marx

#124 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

Marx — Mon, 18 Jul 2016 22:27:13 +0000

#123
"Si lo cambias antes de que sincronicen navegador y telefono, en el telefono salen los datos del malo."

Ah coño, no me digas? Menos mal que lo llevo diciendo desde hace 30 comentarios.

Man in the middle, quien habla de ello? Solo tu. Esto no es un man in the middle.

Si tu pones un cero de mas, no es culpa del banco, es culpa tuya y lo pagas tu. Que pasa? Aqui no hay sistema magico que te salve del error? Tu sistema de TPV no te salva de ese error y te lo tienes que comer tu? Pues exactamente eso pasa con el malware, que hace que te engañes.

Sabes que pasa? Que tu no haces bip bip, y no puedes conectar tu cerebro con el servidor del banco. Dependes de un teclado y un navegador que si hacen bip bip y se conectan al banco transmitiendo tus ordenes, como fieles traductores de lenguaje humano a binario.

El problema esta en que un navegador infectado puede engañarte y transmitir tus ordenes con un cero de mas y el servidor del banco no tiene forma de darse cuenta porque el servidor solo habla con tu navegador, nunca con tu cerebro de forma directa. Ahi es donde te la cuelan.

El unico que se puede dar cuenta del error eres tu porque eres el unico que sabe cual es la operacion correcta. Y para que tu te des cuenta, el servidor del banco debe enseñarte a traves de un dispositivo no infectado la operacion real que va a procesar, para que tu veas que se va a enviar dinero al ladron. Y ese dispositivo es el telefono... Hasta que lo infecten.

Asi que deja el TPV, los hashes y el cifrado asimetrico que eso nunca tuvo nada que ver.

PD. El telefono, al contrario que el TPV es multiproposito y no tan dificil de infectar.

» autor: Marx

#123 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

LaInsistencia — Mon, 18 Jul 2016 20:01:51 +0000

#122 El mensaje cifrado es un hash que verifica la operacion. Si el mensaje no coincide con la operacion, la operacion se anula desde el banco automaticamente.

Si lo cambias antes de que sincronicen navegador y telefono, en el telefono salen los datos del malo.
Si lo cambias despues de que sincronicen navegador y telefono, la transferencia se anula porque no esta validada.

Punto, no hay mas vueltas que dar. Asi funcionan los TPV de los comercios electronicos y han funcionado asi desde los 90 como minimo. Esto es aplicar lo mismo al teléfono del cliente para convertirle en un TPV.

Al banco le da igual si tu metes un 0 de mas, es tu problema y lo pagas tu (o en el mejor de los casos, problema del comercio que es quien pone el precio). Si Pedro al montar su tienda online monta mal el TPV no va a cobrar, solo puede cobrar para pedro, no para maria. Esas mierdas no le importan al banco. Al banco lo que le importa es que venga un ruso, haga un man in the middle y se lleve la pasta, porque entonces la pone el banco. Este caso ya esta resuelto hace años, en previsión de que un ruso se cuele en una tienda online e intente hacer un man in the middle.

Si lo quieres entender, bien, si no para ti la perra gorda.

» autor: LaInsistencia

#122 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

Marx — Mon, 18 Jul 2016 16:52:40 +0000

#121
"El OK es el mensaje que el TPV manda al banco con todos los datos del proceso si desde su lado del canal de comunicaciones todo parece correcto."

Ahá, umm, vale ¿tú qué crees que he dicho con "La app cifra el ok con su clave privada y la envía al banco."?

" Yo estoy pensando en un vete y ven de datos hasta que en un punto dado se envia un mensaje cifrado, imposible de modificar sin que se sepa, "

Ahá, umm, vale ¿y quién coño querría modificar ese mensaje cifrado si lo que quieres modificar ya lo hiciste muuucho tieeeempo aanteeees? antes de que se pudiese iniciar cualquier cifrado o verificación.

Imagínate esto: Tú, dueño legítimo, quieres pasar dinero a Pedro, y para que el banco pase dinero a Pedro, tú por cojones tienes que decirle desde su página "pasa dinero a Pedro" ¿sí o no?. Pues bien, tú solito, sin malware, en tu navegador súper limpio, con tu app súper perfecta, vas y metes la pata y tecleas María y procedes con la transferencia. Explícame cómo cojones el mejor cifrado del mundo puede percatarse de que tú te equivocaste al teclear. Olvídate del malware, aquí no hay malware, todo súper correcto, todo súper perfecto, tan sólo fue un error tuyo que en vez de Pedro pusiste María, ¿Explícame cómo puede percatarse el banco de que tú no quieres pasarle dinero a María, sino a Pedro? ¿el banco es adivino o qué?

No puede, es imposible. Tan sólo tú que sabes que quieres mandarle a Pedro, puedes decir, tras leerlo en la pantalla del móvil o del ordenador, "anda, mecachis, si yo quería mandarlo a Pedro y puse María".

A ver si hay cojones a decirme cómo el banco puede adivinar que tú te confundiste al poner el nombre, o el importe, que con las prisas vas y metes un cero de más.

Pues eso es lo que ocurre cuando el malware compromete el navegador y este en vez de mandar Pedro, manda María antes de cualquier cifrado y verificación que quieras implementar. Tan sólo tú puedes darte cuenta de que está mal tras revisar la operación en la pantalla del móvil, que como no está comprometida te va a poner el nombre que realmente estás procesando, que es María.

O mejor déjalo, si todavía no lo has entendido, dudo que lo entiendas.

P.D: Haces honor a tu nick.

» autor: Marx

#121 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

LaInsistencia — Mon, 18 Jul 2016 16:13:14 +0000

#120 Si no sabes como funciona un TPV, no hables del tema.

El OK es el mensaje que el TPV manda al banco con todos los datos del proceso si desde su lado del canal de comunicaciones todo parece correcto. Es el puñetero albaran del camión que mueve la pasta, firmado y lacrado. Se le llama OK porque el tpv cree que va todo bien. Si creyese que algo va mal, manda un mensaje de cancelacion, que se le llama KO en el argot (lo contrario a OK).

Tu estas pensando en un submit de un formulario. Yo estoy pensando en un vete y ven de datos hasta que en un punto dado se envia un mensaje cifrado, imposible de modificar sin que se sepa, con los detalles completos de la operacion y la confirmacion de si el TPV cree que todo va bien o no. El OK. El que llegará al banco, y cuando el software de su lado se ponga a verificarlo se dará cuenta de que no es verdadero, porque es para una operacion distinta.

» autor: LaInsistencia

#120 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

Marx — Mon, 18 Jul 2016 13:31:26 +0000

#119 Y dale con el Ok ¿qué es el OK?

El banco recibe la orden de transferencia desde el navegador.
El banco cifra con su clave privada los detalles de esa transferencia.
La app recibe una comunicación entrante del banco con la transferencia cifrada.
La app descifra la transferencia con la clave pública del banco y la muestra en pantalla. Sabes que eso es legítimo porque sólo el banco puede cifrar con su clave privada.

Tú ves "transferencia a Pedro" y le das a Ok.
La app cifra el ok con su clave privada y la envía al banco.
El banco descifra con la pública y da por válida la transferencia porque sólo la app tiene la clave privada.

Por contra, tú ves "Transferencia a ladrón" y no das el OK. Fin.

» autor: Marx

#119 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

LaInsistencia — Mon, 18 Jul 2016 13:25:54 +0000

#118 No se tratará como legitimo si no te viene el OK por los dos lados y el OK coincide. Es asi de facil bloquear el man in the middle. Obligas a mostrar la operación y a validarla con la tarjeta, igual que los TPV con los que nos cobran en todas partes. Exactamente el mismo sistema...

» autor: LaInsistencia

#118 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

Marx — Mon, 18 Jul 2016 13:23:51 +0000

#117 No, no es por eso. Si el banco no sabe si lo que recibe fue escrito por ti o por tu gato, tratará ese contenido como legítimo, porque no puede distinguir si eres tú o el gato, y la aplicación también lo tratará como legítimo porque la app se comunica con el banco, que trata todo como legítimo. Tú no tecleas por segunda vez la operación en la app y luego comparas, eso sería perder el tiempo.

» autor: Marx

#117 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

LaInsistencia — Mon, 18 Jul 2016 13:20:21 +0000

#116 Porque espera a recibir las dos peticiones, la del navegador y la del app, y si las dos peticiones no dicen lo mismo y la del app no esta firmada criptograficamente con la firma que el sabe que te ha dado, simplemente no se fia y te corta ahi mismo. Para que te dé ok tiene que venir ambas casando una con otra y la firma tiene que ser la de tu tarjeta de crédito, que por si no te has enterado no se puede duplicar sin desmontar el chip. Si el gato tiene cojones de abrir el app de tu movil, pasar tu tarjeta y meter tu pin, ole tu gato.

» autor: LaInsistencia

#116 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

Marx — Mon, 18 Jul 2016 13:17:48 +0000

#115 El servidor del banco, cuando recibe un envío desde un formulario del navegador, no sabe si lo que recibe ha sido teclado por ti, por el gato o por un bot. Para él, ese contenido que recibe es legítimo. Dime ¿por qué no da el OK, si el banco no puede distinguir si el contenido lo escribiste tú o el gato?

» autor: Marx

#115 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

LaInsistencia — Mon, 18 Jul 2016 13:14:28 +0000

#114 La verificación de toda la operacion. Tu no mandas "ok" desde la app del movil. Tu mandas "ok a una transferencia de xx del usuario xxxx a la cuenta corriente xxxxxxx, el dia tal, hora tal, con id de operacion tal", y lo firmas con una clave asimetrica que solo tiene el banco y el usuario, en forma fisica ademas (la tarjeta). El formulario tu puedes cambiar lo que quieras, pero cuando le llegue al banco no va a tener el ok, porque no va a tener un ok para esa cantidad de ese usuario para esa cuenta corriente. Al dar el cambiazo ya no casan el ok con la operacion y no funciona. El mismo sistema que usan los TPV para cobrar con tarjeta, identico.

» autor: LaInsistencia

#114 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

Marx — Mon, 18 Jul 2016 13:11:22 +0000

#113 Y dale. ¿la verificación de qué? ¿la verificación del Nº de cuenta que tú escribiste en el formulario? Eso es lo que hay que verificar, que la cuenta que tú escribes en el formulario junto con el importe, es la cuenta y el importe que se va a procesar y que el ladrón no lo alteró de ninguna forma. Tú pones la cuenta en la casilla "cuenta" del formulario y también pones el importe en la casilla "importe" y le das a enviar, y el servidor la recibe, y el banco debe poner los mecanismos para que nadie altere eso que tú escribiste

Dime ¿es eso lo que se verifica? ¿que lo que tú escribes en el formulario del banco no se altera de ninguna forma? Contesta, por favor.

» autor: Marx

#113 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

LaInsistencia — Mon, 18 Jul 2016 13:04:19 +0000

#112 Eres tu el que no se entera. La verificacion no la haces en el navegador por HTTP o HTTPS, o a traves del App del movil. La haces a traves *DE LAS DOS*. El qrcode te sirve para que tanto la App del movil como el navegador tengan los mismos datos, y en el momento en que los piratas intenten cambiar una de las dos, o rompe la sincronizacion y anulan la operacion o te enseña en la App del movil los datos del hacker.

» autor: LaInsistencia

#112 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

Marx — Mon, 18 Jul 2016 08:18:54 +0000

#111 ves como sigues sin enterarte? Entonces relajate que no es culpa mia, porque mira que lo intento.

Dices: "O no te dan el cambiazo al qr code"

Por supuesto que no te dan el cambiazo en el qr code, el cambiazo ya te lo pegaron al principio en el paso cero. El qr ya va con la cuenta del ladron desde el principio, asi que olvidate de eso.

" o vas a ver en pantalla del movil que la transaccion es incorrecta"

Si en el movil te ponen la transaccion en letras humanas, si, lo vas a leer y cancelaras pero, acaso no es eso lo que te dije ya varias veces?, en el penultimo parrafo del ultimo comentario p ej? Entonces?

Hasta que te infecten el movil tambien, y, por cierto, no hace falta qur esten en la misma wifi ni en la misma red, pero eso ya seria tener muy mala suerte.

» autor: Marx

#111 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

LaInsistencia — Mon, 18 Jul 2016 06:20:52 +0000

#110 Mira, paso de hacer el algoritmo completo, que a mi no me ha pagado ningun banco por resolver el problema. Pero si entre el paso 2 y 3 le haces al usuario leer un QRCode con todos los datos de la transaccion para validarlos y firmarlos con la tarjeta de credito, porque el que realmente valide la operación sea el movil con tu tarjeta, una de dos. O no te da el cambiazo a los datos del QRCode y no van a coincidir con lo que intentan pedir por GET, o vas a ver en pantalla del movil que la transaccion es incorrecta. No hay más vuelta de hoja, te pongas como te pongas.

» autor: LaInsistencia

#110 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

Marx — Sun, 17 Jul 2016 22:13:00 +0000

#106 dime si me equivoco

1. Tu escribes la cuenta bancaria de destino en un formulario de la web del banco

2. El navegador toma lo que escribiste en el formulario y lo envia al servidor del banco a traves de get o post.

3. El servidor recibe lo que envia el navegador y empieza todo el proceso de validacion en base a lo que recibio del navegador.

4. El servidor del banco no puede saber si lo que recibe inicialmente del navegador ha sido escrito por ti o por el navegador infectado, asi que lo va a tratar como legitimo y todo lo que continue sera legitimo, solo que con la cuenta del ladron.

Que la app te muestra en pantalla, desea transferir a ladron? Entonces si, te das cuenta y fin del problema, pero si no lo dice y solo da un codigo, entonces no te enteras

Y creo que ya llega de discutir.

» autor: Marx

#109 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

daphoene — Sun, 17 Jul 2016 16:18:02 +0000

#108 Dije SMS por ser un ejemplo de lo que se hace ahora, pero es cierto que sería mejor que la aplicación de móvil gestionara la seguridad internamente.

» autor: daphoene

#108 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

LaInsistencia — Sun, 17 Jul 2016 15:30:40 +0000

#107 Es que tu no tienes que pedir nada por SMS, el SMS debe ser solo notificación porque no puedes confiar en ellos. Lo del virus navegador + movil que me mencionas no es solo que tengan el control de ambos dispositivos; es que es tiene el control de ambos, la confirmación va por SMS, al banco le pides la confirmación sin decirle la operación firmada digitalmente con una clave que no puede romperse sin detectarse (la puñetera tarjeta), no le muestras al cliente mensaje con lo que el banco ha recibido... el virus que pilla navegador y movil funciona porque el equipo de programación del banco han sido unos vagos, con perdon. No porque no se pueda asegurar la operación... la operación hace años que esta asegurada con las tarjetas. Las tarjetas existen porque el banco no se fia de ninguno de nosotros, clientes o no, y estan echas a prueba de bombas de tal forma que solo si te roban tarjeta y pin se pueda operar.

Lo de interceptar el SMS funciona porque el SMS es demasiado fácil de procesar por un virus. En lugar de hacer una APP decente con una conexión cifrada y pasar todas las operaciones importantes por firma privada de cliente, no, le pasan el marrón al SMS y al sistema operativo del teléfono.

» autor: LaInsistencia

#107 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

daphoene — Sun, 17 Jul 2016 15:22:24 +0000

#106 En eso estamos de acuerdo, si no tienes el control de ambos dispositivos Y se muestran los datos de la transacción, esta es segura. En cualquier caso, lo que queda claro es que los sistemas actuales tal y como están planteados no son seguros, y que realizar transacciones sólo con un dispositivo tampoco es seguro. Si requieres un SMS con una clave en el móvil para pagar con el ordenador, ¿ por qué no ibas a necesitar del mismo proceso en otro dispositivo para pagar con el móvil ?

» autor: daphoene

#106 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

LaInsistencia — Sun, 17 Jul 2016 15:03:23 +0000

#105 Vamos a ver. La llave privada del cliente ya te la ha dado el banco y esta encapsulada en silicio en tu tarjeta de credito, contactless o tradicional. Tu no lees la llave de la tarjeta. Tu mandas un chorizo de letras a la tarjeta y si le das el PIN correcto la tarjeta te dá el mismo chorizo pero con una firma digital. Por muy hackers de la muerte que sean, no pueden copiarte la tarjeta desde el PC, desde el movil o desde el puesto de mando de Echelon. Da igual. El unico que tiene acceso a esa llave es el banco (porque tiene un duplicado) o alguien con acceso fisico a la tarjeta y medios para desmontar y depurar un chip.

Partiendo de ahí, no se te puede cambiar la clave privada para hacer un man in the middle sin que el banco lo sepa. Punto. No sin darte el cambiazo a la tarjeta físicamente. No se puede. Lo puedes encapsular luego en SSL, en RSA de 4096 bits, en una VPN con el banco o en una paloma mensajera. Da lo mismo, el dato para el banco va firmado con la llave que el banco te ha dado.

Si no te pueden dar el cambiazo a tu llave privada, y no se puede dar el cambiazo a los datos del formulario sin que dejen de cuadrar con la firma criptografica, no hay forma de que el banco no lo detecte.

Game over. Se acabo la gran estafa. No puedes cambiar una coma y que el banco te de visto bueno, porque o al banco le va a llegar datos que sabe que es una milonga, o vas a pasar por una pantalla que te diga "300 leuros a hackermumalo. Inserte el pin de la tarjeta". Antes o despues de que le saques la foto al qrcode que el navegador te ponga para pasarle los datos a la app del móvil. Te guste o no. La única forma de saltarlo es piratear navegador y telefono a la vez, y ponte a piratear desde el navegador un telefono que ni siquiera tiene por que estar conectado a Internet por la misma conexión.

» autor: LaInsistencia

#105 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

daphoene — Sun, 17 Jul 2016 14:55:09 +0000

#104 La insistencia ( con perdón ) proviene de que sigues diciendo que si la llave privada del banco no puede abrir el paquete, este es una trampa, y en eso no estamos de acuerdo. Para el banco todo el proceso va a ser correcto. La comprobación sólo la puede hacer el usuario comparando los datos de ambos dispositivos, confiando en que uno de ellos no esté infectado. En esto último, sí estamos de acuerdo.

No se trata de una lucha, sólo es un diálogo confrontando argumentos, no hay que rendirse

Yo también me empecino muchas veces hasta que veo un detalle que no veía, y este podría ser uno de ellos. Y como me preocupa la seguridad en mis sistemas y en mis bancos, trato de aprender siempre un poco más. Este caso no es el típico de Man-in-the-middle, que es de lo que te protege el sistema de doble clave. Este es un caso de Man-in-device o Man-in-the-Browser si acaso existieran esos nombres. Es como tener un keylogger, el resto del proceso ya da igual porque la seguridad se ha visto comprometida previamente.

» autor: daphoene

#104 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

LaInsistencia — Sun, 17 Jul 2016 14:23:23 +0000

#102 #103 Me rindo, no me vais a entender nunca.

No digo como funciona, digo como se puede hacer que funcione de manera razonablemente segura haciendo una doble comprobación, que a dia de hoy no se hace. Y dado que todo al final pasa por el banco, si la llave privada del banco no puede abrir el paquete, el paquete es una trampa y no se procesa, por mucho que el ladron controle el navegador, el PC y hasta el router si quiere. SI no compromete ambos dispositivos, es seguro.

» autor: LaInsistencia

#103 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

daphoene — Sun, 17 Jul 2016 11:35:57 +0000

#101 Sí, pero con reservas. Estamos dando por hecho que se cumplen dos supuestos que no siempre se cumplen:

* Que estamos usando dos dispositivos distintos ( si operamos sólo desde el móvil, esto no se cumple ).
* Que uno de esos dos dispositivos no está infectado ( es más complicado que ambos tengan el mismo virus, pero no imposible ).

Lo ideal sería tener algún método de verificación que fuera más seguro, y estoy contigo en que con un poco de esfuerzo, sería posible, así como mejorar la seguridad actual simplemente confirmando los datos en ambos dispositivos.

Pero todo esto no invalida que el supuesto inicial sea erróneo: Que basta con un mecanismo de clave pública - privada para asegurar las transacciones.

» autor: daphoene

#102 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

Marx — Sun, 17 Jul 2016 09:12:06 +0000

#100 Es eso.

#99 #101 Olvídate del cifrado, el cifrado y todo el mecanismo está operando desde el principio con la cuenta del ladrón como si fuese la que tú tecleaste en el formulario de la web, así que no hay nada que hacer, todo es válido para el banco y para el cifrado, tan válido como si la hubieses escrito tú.

El teléfono sólo te serviría si el teléfono te muestra por pantalla en letras que tú entiendas la operación que el banco va a llevar a cabo, entonces tú verías escrito en letras, en la app del teléfono: "Para confirmar la transferencia a la cuenta ladrón-5789-57324-27988-232459 introduce en la web el código 2489" En ese momento tú verías que la cuenta está mal y lo cancelarías.

Tú verías que la cuenta está mal, pero el banco no, ni la web del banco, ni la app ni nadie excepto tú. Para el banco, para la app, todo sería normal.

Si la app sólo habla en códigos tipo "introduce 2489 para validar la transferencia", tú no ves la cuenta, así que tú no te enteras de que el banco está trabajando con la cuenta del ladrón, porque esa fue la cuenta que recibió desde un principio de tu navegador, entonces tú no cancelas nada y todo va normal hasta el final.

Y eso es lo que ocurre hoy, el banco te pide el código de la app para confirmar la operación que ves en pantalla, pero en la app no te muestra los detalles de la operación, así que tú sólo ves lo que hay en la pantalla de tu ordenador, que está falseada, y confirmas la transferencia verdadera que es la del ladrón sin darte cuenta.

No sé ya cómo explicarlo. Tú entras a la web del banco www.santander.com, te logueas, vas al apartado de "transferencia" escribes en el formulario la cuenta buena 123. Cuando pulsas "enviar", el navegador-bueno se conecta al servidor del banco y le envía lo que escribiste en el formulario que es 123, a partir de ahí empieza todo el proceso de códigos, cifrados, etc, para validar lo que el navegador-bueno envió al servidor. ¿al menos estamos de acuerdo en esto?

El problema está en que si el navegador es un navegador-malo, tú escribiste 123 en el formulario pero el navegador-mal envió 321, y a partir de ahí empieza todo el proceso de códigos, cifrado, etc, para validar lo que el navegador-malo envió al servidor, que es 321 la cuenta del ladrón.

El banco se comunicará con la app, que no está comprometida, y la app generará un código y todo lo que quieras para validar la transferencia que recibió el servidor. Si la app sólo te da códigos, tú no puedes ver que se está validando una transferencia legítima a la cuenta del ladrón, porque tú no hablas código. Pero si la app te muestra en letras claras lo que se va a hacer, entonces ahí tú puedes leer que estás validando una transferencia legítima pero a la cuenta del ladrón, y la cancelas. Tú te das cuenta, no la app, ni el banco, ni el cifrado ni nada, porque los datos empiezan siendo erróneos antes de todo cifrado y de toda validación.

Hoy creo que ningún banco te muestra en la app todos los detalles de la transación que validas, tan sólo se generan códigos que te piden y tú introduces, y esos códigos no los entiendes para darte cuenta de que estás validando una transferencia al ladrón.

» autor: Marx

#101 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

LaInsistencia — Sun, 17 Jul 2016 05:02:56 +0000

#100 Vamos, que estais de acuerdo conmigo que haciendo el proceso con validación en el telefono, cifrado de doble clave usando el motor de claves de las tarjetas, y comparando ambos dispositivos, el banco podria tener un sistema seguro si se le pusiera de los cojones, ¿no?

» autor: LaInsistencia

#100 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

daphoene — Sun, 17 Jul 2016 01:30:10 +0000

#99 A riesgo de que se me tilde de marxista, creo que @Marx tiene razón en este caso. Los mecanismos de clave pública y privada sirven para garantizar la transmisión de una información Y cifrada desde una información X del punto A al B de forma segura. El caso que se comenta en #97 es previo al paso X->Y, y por lo tanto poco importa el resto de validaciones, ya que se hacen sobre X' y no sobre X. El proceso de clave pública será fiable, pero los datos de partida son erróneos.

La manera de verificar este apartado es suponer que estamos usando dos dispositivos distintos ( PC y móvil ) y sólo uno de los dispositivos está afectado, y que mostramos la información de la transacción en ambos terminales, para que el usuario compruebe que coinciden. En ese caso, la transacción sería realmente segura, y el mecanismo de clave pública - privada ayudaría a evitar el hackeo. En el supuesto que se está comentando no, ya que el cifrado es ajeno a esa intrusión previa.

Puede que se me escape algo, pero yo lo veo así.

» autor: daphoene

#99 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

LaInsistencia — Sun, 17 Jul 2016 01:16:23 +0000

#97 Paso de escribir. Mejor lees tu... es.wikipedia.org/wiki/Criptografía_asimétrica#Esquemas_para_la_propa

Insisto, llevamos 15 años haciéndolo ya, un nivel 3 es lo que cualquier sistema de correo cifrado basado en certificados digitales es ahora msmo. Es copiar lo mismo en otro nivel distinto y añadir un token físico que no se puede duplicar fácilmente (la puñetera tarjeta contactless sigue siendo un motor criptografico: tu metes un chorizo de letras y sale un chorizo de letras cifrado con una clave que solo puede abrir el banco). Teniendo ese punto asegurado, lo demás es tender pares de claves publica-privada hasta el punto en que aunque no pueda asegurar que tu me mandas la petición correcta, si puedo asegurar que tu vas a validarme solamente una operación correcta, y solo te voy a dejar avanzar si la operación esta validada. Fin del problema.

» autor: LaInsistencia

#98 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

Pitt — Sat, 16 Jul 2016 20:58:40 +0000

#93 Me estoy acordando de la Jungla de Cristal 4.0

» autor: Pitt

#97 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

Marx — Sat, 16 Jul 2016 20:44:00 +0000

#96 el codigo se genera despues de que tu envies la operacion, para confirmar esa operacion.

En un navegador normal la cuenta bancaria la escribes en un formulario, luego le das a enviar y el navegador envia al servidor lo que tu escribiste en el formulario, a continuacion te pide el codigo de confirmacion de la app para esa operacion.

El problema es que en un navegador comprometido tu puedes escribir como cuenta bancaria 123 y el navegador enviar 321, y el banco lo da por valido porque creee que eso es lo que escribiste, el no puede saber lo que tu escribes realmente. Entonces genera el codigo para 321 y tendras un codigo para 321.

El banco con la app tiene que conectarse directamente a traves de la conexion del movil porque si escaneas un codigo qr generado por la pagina en el ordenador, ahi tu puedes poner el codigo que quieras.

A no ser que sea un qr con contenido cifrado con la clave privada del banco, de tal forma que la app tenga que descifrarlo con la clave publica, de tal forma que si es falso dara error al descifrarlo. Y el contenido del qr sean los datos de la operacion que el banco va a hacer realmente para que tu lo veas.

» autor: Marx

#96 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

LaInsistencia — Sat, 16 Jul 2016 19:54:13 +0000

#95 La web te dira voy a mandar a 123, intenta mandar a 321 y se encuentra un codigo de confirmacion que solo vale para enviar a 123. El banco te anula la peticion y punto. El truco es que no te diga "escribe 12345" en pantalla, te hace sacar una foto con su app a un qrcode con un chorizo de 1024 caracteres dentro y le sobra hueco para poner importe, origen, destinatario, crc y la lista de la compra.

» autor: LaInsistencia

#95 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

Marx — Sat, 16 Jul 2016 19:04:33 +0000

#94 Estamos en el punto B:

"Imaginate, quieres transferir 123 a fulano. Rellenas el formulario y la web te dice "estas trasfiriendo 123 a fulano." "

El navegador por pantalla te puede enseñar misa y hacer lo contrario. Lo que yo digo es que una cosa es lo que pinta el navegador en pantalla y otra lo que el navegador envía por detrás. Si consiguen comprometer tu navegador, la web te dirá por pantalla "estás transfiriendo 123 a fulano" pero el navegador enviará al banco "transferir a 321" y el banco operará siempre con 321 de forma normal y te dirá "mete 87654 en la app" que es un código válido para una operación válida para una cuenta válida, solo que es la cuenta del ladrón, pero el banco no puede saber si esa cuenta que envía el navegador es la misma que tú tecleaste o es la del ladrón.

El banco no puede saber lo que tú tecleas ni lo que tú ves por pantalla, tan sólo sabe lo que le envía el navegador, y si el navegador envía 321, el banco dirá, pues vale, toma el código 87654 para 321, pero tú verás "toma 87654 para 123" y estarás conforme.

Lo único que en la app se detalle la cuenta y el importe que verdaderamente el banco recibió del navegador, para que tú lo veas y lo confirmes. Pero ahora mismo sólo ponen códigos para validar la operación, sin detallarte la operación, entonces tú validas una operación con un código válido sin saber que el navegador te dijo 123 pero hizo 321, y que el código aunque es válido, corresponde a 321.

Hasta que te comprometan también el móvil pero eso ya sería mala suerte.

» autor: Marx

#94 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

LaInsistencia — Sat, 16 Jul 2016 18:31:12 +0000

#90 Eres tu el que no me entiende, es extremadamente facil meter una firma criptografica en el proceso que mande a paseo el man in the middle del que hablas, y llevamos decada y media usandolo para proteger las webs seguras, entre otras cosas.

(EDIT: vale, acabo de releer tu mensaje. Esto me pasa por calentarme y responder del tiron... exactamente lo que comentas en la segunda frase es en lo que yo pensaba, como ves)

Imaginate, quieres transferir 123 a fulano. Rellenas el formulario y la web te dice "estas trasfiriendo 123 a fulano. mete 45678 (o saca una foto con la app a este qrcode) y escribe aqui tu codigo de confirmacion". Imaginate que los malos meten un virus que cambia esa peticion, tal como dices... al meter el codigo en la App puede pasar una de dos cosas.

A) el virus no cambia el codigo que hay que darle al app. En la aplicacion del movil sale "transferencia de 123 a fulano, mete en el navegador el codigo de confirmacion abcdefg". Este codigo, siendo un hash del importe, pagador, receptor y algun otro dato mas para complicarlo, solamente sirve para confirmar una transferencia de 123 a fulano. Es mas, solo sirve para esa transferencia de 123 a fulano, no puedes usarlo para repetir la transferencia. Lo metes en la web, los malos intentan dar el cambiazo a destinatario e importe, el codigo no se corresponde y se cancela la transferencia.

B) el virus cambia el codigo que hay que darle a la app. En la aplicacion del movil sale "transferencia de 300 a soymumalo". Fin del proceso, lo cancelas ahi mismo y pasas el antivirus o le llevas el PC al informático de turno (o sigues adelante y te la cargas tu, porque se ve claramente que te han dado el cambiazo).

» autor: LaInsistencia

#93 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

manson2000 — Sat, 16 Jul 2016 17:54:35 +0000

#92 El problema es que los elementos tecnicos están disponibles y solo hay juntarles en una estrategia.

» autor: manson2000

#92 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

Pitt — Sat, 16 Jul 2016 16:57:56 +0000

#91 Ya, ya. Hombre, para eso supongo que tendrían que darse muchos muchos factores... esperemos que nunca ocurra

» autor: Pitt

#91 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

manson2000 — Sat, 16 Jul 2016 15:52:42 +0000

#89 No no me refiero a eso... me refiero a algo mucho mas gordo.

» autor: manson2000

#90 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

Marx — Sat, 16 Jul 2016 14:18:24 +0000

#88 creo que no nos estamos entendiendo. Tu piensas que hacer 123 porque el navegador te pinta 123 (la cuenta buena), pero por debajo tu navegador en todo momemto esta haciendo 321 (enviando dinero a la cuenta mala), el banco hace cuentas con 321, te dice que metas en la app del movil 654 y la app te devuelve 987, solo que tu piensas que esos codigos corresponden a la operacion 123.

Lo unico que la app te diga, deseas enviae dinero a la cuenta tal? Para que tu te des cuenta de que estas operando 321 y no 123

» autor: Marx

#89 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

Pitt — Sat, 16 Jul 2016 14:06:18 +0000

#87 Sólo tienes que ver el tema de los SWIFT y los bancos, la cantidad de millones que llevan robados como si nada...

» autor: Pitt

#88 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

LaInsistencia — Sat, 16 Jul 2016 12:08:10 +0000

#82 Tu haces una transferencia de 123, el banco hace cuentas y te dice "mete 456 en la app del movil". Al meter 456 en la app te dice "dile 789 a la web del banco". Ahora si los malos te intentan cambiar el 123 por 321, cuando el banco hace cuentas al final no le llegará el 789 que espera y te anula la operacion. Exactamente lo mismo que llevamos haciendo 15 años para firmar digitalmente con criptografia de llave publica+privada.

» autor: LaInsistencia

#87 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

manson2000 — Sat, 16 Jul 2016 11:12:55 +0000

#86 No hay conciencia pública del problema de seguridad que tenemos a todas las escalas. Si querer ser "apocalíptico" si tengo que decir que tenemos los ingredientes para que pueda ocurrir un día de colapso parcial del pais (o mundo) de modo global (desde el pc de paco el pescadero a puestos críticos de telecos o banca o seg social ...) a la vez.

» autor: manson2000

#86 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

Pitt — Sat, 16 Jul 2016 11:06:06 +0000

#85 #84 Si te capturan también la pantalla... De todas formas hay bancos que lo tienen mal implementado y no cambia

» autor: Pitt

#85 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

manson2000 — Sat, 16 Jul 2016 10:48:12 +0000

#84 Me quedo con la duda en ese caso respecto a keylogger. Ahora bien, si esta integrado en web la via de acceso puede ser extension de navegador. Ahora mismo 100% seguro o casi ... no hay. Todo tiene taras importantes. Por ejemplo, hoy mismo por la mañana servidores de Ubuntu han sido hackeados (se ha hecho publico hoy) con una filtración de 2 millones de cuentas de email . Y esas noticias nos las merendamos cada semana.

» autor: manson2000

#84 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

baronluigi — Sat, 16 Jul 2016 10:21:40 +0000

#30 #35 ¿ Y el teclado virtual? Yo así entro en mi cuenta paypal.

» autor: baronluigi

#83 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

Marx — Sat, 16 Jul 2016 07:32:15 +0000

#59 dispositivo dedicado y acorazado... Un viejo movil sin conexion alguna, con un generador de codigos que cambian cada 30 segundos. Escaneas el qr del banco para el generador y como el movil no tiene conexion alguna, no hay forma de hackearlo.

Pero seguro que hay dispositivos dedicados.

» autor: Marx

#82 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

Marx — Sat, 16 Jul 2016 07:27:25 +0000

#56 tu haces 123, ves por pantalla 123 pero el navegador por debajo esta enviando 456, tu banco recibe 456 y como consecuencia te envia el codigo usando la semilla 456. Tu crees que es el codigo para 123, lo metes y aceptas, pero es el codigo para 456. El banco recibe el codigo valido para 456 y procesa la operacion 456.

» autor: Marx

#81 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

Aokromes — Sat, 16 Jul 2016 06:51:23 +0000

#73 En realidad, no es de android ni de whatsapp, es el mismo protocolo ss7 (para todos los sistemas operativos y aplicaciones de moviles).

» autor: Aokromes

#80 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

Aokromes — Sat, 16 Jul 2016 06:47:11 +0000

#49 Y en cuanto llegas a tu oficina bancaria, te mandan al cajero automatico en el 90% de los casos.

» autor: Aokromes

#79 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

Aokromes — Sat, 16 Jul 2016 06:45:00 +0000

#38 no se si a la web se le podria añadir una verificacion de md5 o algo asi, que compruebe que el resultado final que recibe el cliente es lo que se espera y no esta manipulado por webs externas.

» autor: Aokromes

#78 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

manson2000 — Fri, 15 Jul 2016 20:42:01 +0000

#73 Sinceramente, ahora mismo en tecnología... que no da miedo???

» autor: manson2000

#77 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

jaspeao — Fri, 15 Jul 2016 20:41:10 +0000

Tu comentario: "...Desde que existe el coeficiente de caja, el banco no puede cobrarte. Tu dinero no está guardado."
Mi respuesta: "de que hablas?"
Tu respuesta: "Sois un poco retrasaditos, ¿no?"

Ahora me explicas donde está la mala educación y la falta de respeto, y si eres capaz, la lógica de tu frase inicial, de la que sigo opinando:
De que hablas?

» autor: jaspeao

#76 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

--347930-- — Fri, 15 Jul 2016 20:25:37 +0000

[Usuario deshabilitado]

» autor: --347930--

#75 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

Acido — Fri, 15 Jul 2016 20:02:27 +0000

#54 ¿Ya empezamos con los insultos? Solamente te falta ponerme un negativo, que es lo que me encuentro por aquí últimamente: insultos y negativos ¿por algún motivo? No, por preguntar, por debatir... pues vale.

» autor: Acido

#74 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

jaspeao — Fri, 15 Jul 2016 19:52:20 +0000

#72 yo no te he faltado para empezar. Y si te relees, y sabes cómo crea dinero el sistema, como afecta el coeficiente de caja, como se calcula el multiplicador, que son los alp's o a que velocidad circula el dinero, entonces, no habrías escrito eso. Por eso hacía la pregunta.
Yo no quedo o dejo de quedar como un señor, procuro actuar como tal, nada más.

» autor: jaspeao

#73 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

LaInsistencia — Fri, 15 Jul 2016 19:47:04 +0000

#68 Vale, I stand corrected. Aunque sigo pensando que es una buena base sobre la que fortificar, no la solución completa. Y en los links que pones, parece que es más bien una pifia de Android que de Whatsapp. No sé que me da mas miedo...

» autor: LaInsistencia

#72 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

--347930-- — Fri, 15 Jul 2016 19:43:00 +0000

[Usuario deshabilitado]

» autor: --347930--

#71 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

jaspeao — Fri, 15 Jul 2016 19:41:47 +0000

#70 no cagues ocho semanas seguidas y me cuentas.

Te pregunto de que hablas porque es evidente que no lo sabes, ni que es el coeficiente de caja, ni la creación de dinero, ni su multiplicador ni....
Que luego lo trufes con verdades, opiniones, tus creencias, y afinidades, lo convierte en todologia (técnicamente demagogia) de primer curso de la carrera de Opinador Tertuliano.

» autor: jaspeao

#70 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

--347930-- — Fri, 15 Jul 2016 19:32:38 +0000

[Usuario deshabilitado]

» autor: --347930--

#69 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

jaspeao — Fri, 15 Jul 2016 19:28:14 +0000

#54 #64 No, es que tu prosa es muy densa, y el uso de las mayúsculas complica más la lectura.
Por otra parte, si supieras de que hablas sería más interesante. Veras, eso que tu escribes, refleja las tertulias pseudo políticas de la televisión de hoy en día. Creo que eres producto de ellas. Informarte mejor, lee de fuentes fiables, y luego, con prudencia, opina, escuchando, y tal vez, sólo tal vez, si la naturaleza te premió como a otros (eso no tiene mérito, que te conste, ser inteligente o alto o guapo no es producto del esfuerzo) puedas debatir como un adulto.

» autor: jaspeao

#68 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

manson2000 — Fri, 15 Jul 2016 18:37:44 +0000

#66

enigmedia.es/protocolo-ss7-whatsapp/
cybersecurityventures.com/whatsapp-message-hacked-by-john-mcafee-and-c
...

www.independent.co.uk/life-style/gadgets-and-tech/news/whatsapp-for-we

Esta última parece (por los foros de seguridad donde me muevo que esta ya cerrada)

» autor: manson2000

#67 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

--347930-- — Fri, 15 Jul 2016 18:32:23 +0000

[Usuario deshabilitado]

» autor: --347930--

#66 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

LaInsistencia — Fri, 15 Jul 2016 18:31:53 +0000

#65 Espero impaciente y ansioso un enlace por tu parte a herramienta, noticia o documento sobre como es vulnerable el sistema que emplea Whatsapp para sincronizar la sesion del movil con la del navegador. Algo que ya es la mitad de la solución al problema que es duplicar el "mire usted los datos de la transaccion en la pantalla del TPV para confirmar que no le cobran el triple" que proteje los pagos con tarjeta contactless desde moviles.

» autor: LaInsistencia

#65 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

manson2000 — Fri, 15 Jul 2016 18:27:51 +0000

#62 Si, pero igual que tenemos mil tecnologias de proteccion, a la vez tenemos mil de espionaje. Si entrar ya en malware puro y duro -> las extensiones de navegador ... esas grandes porteras... los privilegios desaforados de las apps. de movil.

Y por cierto Whasapp es mal ejemplo...

» autor: manson2000

#64 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

--347930-- — Fri, 15 Jul 2016 18:04:06 +0000

[Usuario deshabilitado]

» autor: --347930--

#63 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

perico_de_los_palotes — Fri, 15 Jul 2016 18:02:12 +0000

#58 ¿En serio hay que hacerse cargo de semejantes ignorantes?

Como he dicho en otro lugar, si en mi empresa no nos gusta un cliente, nos negamos a faciltarle servicio. Tan sencillo como eso.

» autor: perico_de_los_palotes

#62 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

LaInsistencia — Fri, 15 Jul 2016 18:01:25 +0000

#60 Tampoco tiene por que ser un SMS existiendo conexiones seguras (hasta un HTTPS serviría). O puedes mandar por SMS algo firmado con el mismo sistema que un email firmado criptograficamente. Que estamos en 2016, que hay mil tecnologias con las que complicarle la vida a un hacker, por favor. Que esto no es la ultima de espias calentita de hollywood...

Fijate si es facil de resolver el problema. Piensa en lo que hace Whatsapp para darte paso al interfaz por navegador web. Añadele cifrado decente y firma criptografica del formulario que se envie para que no pueda cambiarse una coma, y ya lo tienes hecho.

» autor: LaInsistencia

#61 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

perico_de_los_palotes — Fri, 15 Jul 2016 17:59:14 +0000

#57 Nosotros SIEMPRE devolvemos el dinero (o hacemos rebaja) en caso de la mas mínima queja, independientemente de quien tenga la culpa. Otra cosa es que en caso de determinados zoquetes nos neguemos a facilitar mas servicio. A raiz de ello, tenemos una reputación a prueba de bombas y un negocio boyante.

» autor: perico_de_los_palotes

#60 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

manson2000 — Fri, 15 Jul 2016 17:58:06 +0000

#59 Si, pero nada impide que una app mange un sms...cuantas apps piden permisos que no deberían pedir...

Cuantas mas capas mejor... pero seguridad... en estos tiempos?????? De verdad que no... (Es mi día a día).

» autor: manson2000

#59 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

LaInsistencia — Fri, 15 Jul 2016 17:55:00 +0000

#25 Precisamente por eso la segunda verificación debe ser por otra cosa que no sea un PC. A falta de un dispositivo dedicado y acorazado se puede usar el móvil, por ejemplo.

» autor: LaInsistencia

#58 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

sandra67 — Fri, 15 Jul 2016 17:53:19 +0000

#47 ¿En serio? En la página donde doy soporte hay un manual de ayuda. Nadie, absolutamente nadie, lo lee.
Cuando llaman, se los identifica y se les dice claramente: no comparta su usuario y su clave con nadie.
Y te dicen alegremente: "la que ingresaba era mi secretaria, renunció y tengo que hacer pagos. ¿Cómo recupero las claves?"
Cuando hay otro tipo de problemas, les preguntás: ¿cuál es su sistema operativo? ¿Qué navegador usa? No tienen la menor idea. Ni hablar de antivirus o soft de seguridad en general.
¿En serio hay que hacerse cargo de semejantes ignorantes? ¿Cómo? ¿Se les manda a cada uno un técnico a su casa?
Estamos hablando de transferencias bancarias, no de la clave de facebook. Fijáte lo que hacés, está en juego tu dinero.
Pero no, parece que les divierte ser ignorantes. Bueno, disfrutálo mientras dure. Y no te quejes después.

» autor: sandra67

#57 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

mrpaco — Fri, 15 Jul 2016 17:52:07 +0000

#55 hace unos 30 años entraba en una oficina enorme del Banco Hispano Americano con muchas mesas y todos tenian su maquina de escribir

Yo tambien tengo una empresa y cada cliente tiene su usuario y contraseña para acceder a un determinado panel, si al usuario le meten un virus y le roban la contraseña ¿me puede explicar como es posible que seamos nosotros responsables de lo que pasa en su ordenador? ni tu empresa ni la mia tenemos control alguno sobre lo que ocurre en su ordenador, sobre que haga click en los adjuntos de emails que le mandan, de si actualiza o no su ordenador cuando salen actualizaciones, etc etc

el interfaz con los portales de pago no sera el script que enlaza con el tpv? supongo que si el fallo esta en tu script le devuelves el dinero pero hay mas situaciones que esa

» autor: mrpaco

#56 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

LaInsistencia — Fri, 15 Jul 2016 17:46:15 +0000

#52 Haces que el numero de verificación use como grano de sal los datos de tu transferencia. Si cambia una sola coma de los datos, el codigo de verificación deja de servir y falla la confirmación.

Venga ya, en serio? Soy el único que lo ve tan claro cuando llevamos quince putos años usando cifrados de llave publica y llave privada, no es ciencia de cohetes!

» autor: LaInsistencia

#55 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

perico_de_los_palotes — Fri, 15 Jul 2016 17:44:29 +0000

#53 hace 30 años entrabas a un banco

Hace 30 años servidora utilizaba cajeros telemáticos.

que dices en el 2?

Que tengo una empresa y he programado yo el interface con varios portales de pago y me hago plenamente responsable de ellos. Si un cliente tiene cualquier problema, le devolvemos su dinero.

» autor: perico_de_los_palotes

#54 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

--347930-- — Fri, 15 Jul 2016 17:34:58 +0000

[Usuario deshabilitado]

» autor: --347930--

#53 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

mrpaco — Fri, 15 Jul 2016 17:32:51 +0000

#51 Yo no niego que gracias a la evolucion tecnologica los bancos necesiten menos personal, hace 30 años entrabas a un banco y en lugar de un ordenador tenian una Olivetti Linea 98 (maquina de escribir gris que todavia conservan en algun ministerio)

Pero hoy por hoy no es obligatorio tener internet ni un ordenador para tener cuenta bancaria, gracias a ello los clientes pueden operar a distancia, y los bancos necesitan menos personal, es un beneficio para ambas partes.

que dices en el 2? so? si o no? que en tu ordenador haya virus es culpa de amazon? google? facebook? whatsapp? paypal? etc etc permitirias que un tecnico de una de esas empresas lo revisara periodicamente? imagino que no.

» autor: mrpaco

#52 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

Marx — Fri, 15 Jul 2016 17:22:15 +0000

#37 comprometen tu navegador, entras de forma normal a tu banco, metes los codigos, verificaciones, lo que quieras, como siempre porque no deja de ser la pagina legitima de tu banco. Vas a hacer una transferencia, pones el numero de cuenta legitima y mientras en pantalla se pinta la cuenta legitima, por debajo el navegador ha entregado otro numero de cuenta y tu transferencia va a otro lugar. Fin

» autor: Marx

#51 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

perico_de_los_palotes — Fri, 15 Jul 2016 17:18:14 +0000

#49 1. las herramientas online de los bancos son, hoy por hoy, de uso opcional,

Negar que los bancos están reemplazando empleados por sistemas telemáticos es un disparate. Hoy hay menos oficinas bancarias que hace ... 30 años.

www.economiadigital.es/es/notices/2015/07/las-oficinas-bancarias-se-de
http://www.a bc.es/economia/abci-mitad-oficinas-bancarias-cerradas-durante-crisis-eurozona-eran-espanolas-201607011847_noticia.html (AEDE capado)

2. no importa cuanto gasten los bancos o las empresas, en este caso hablamos de algo que ocurre en un ordenador que el banco ni ha visto, tocado ni olido,

Claor que so. Exactamente igual que Amazon, Google, Facebook, Whatsapp, PayPal, Netflix, TripAdvisor, Linkedin, AirBnB y un larguísimo etc.

» autor: perico_de_los_palotes

#50 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

Acido — Fri, 15 Jul 2016 17:15:14 +0000

#43 Eso digo yo, tampoco se de qué habla #9

El coeficiente de caja es el porcentaje del dinero de los clientes que debe mantenerse líquido, es decir, sin invertirlo en algo ni usarlo para dar un préstamo. Según leo, para España y zona euro es actualmente del 1% desde el 2011 (para cuentas a la vista y similares, si es un depósito por lo visto es menos, el 0%)... que sería como decir que si metes 100 euros, sólo hay 1 euro que según la ley el banco debe "guardar"... digamos que el 99% restante el banco puede usarlo como le venga en gana.
Supongo que a eso se refiere el comentario, que el banco no está obligado a guardar tu dinero... y como no está obligado lo normal es que no lo haga.

"Desde que existe el coeficiente de caja, el banco no puede cobrarte. Tu dinero no está guardado."

Esa frase tal cual creo que no es cierta, es decir, el banco no está obligado a "guardar" el 100% pero... tampoco está obligado a invertir una parte de tu dinero ni a prestarlo, es decir, podría limitarse a guardar el 100% de lo que metes y cobrarte una comisión por ello. Creo que el banco podría cobrarte diciendo "es por guardarte el dinero" si realmente se limitase a guardarlo, lo podría hacer... de hecho, creo que hay servicios que son así: las cajas de seguridad donde puedes ir y meter lo que quieras (un diamante, como en las películas) y el banco te cobra por "custodiar" o "guardar" lo que hayas metido tú mismo en la caja, sin saber qué es. Eso sí, ese servicio es caro.

Ahora bien, entiendo que con esa frase quiere decir que los bancos, teniendo libertar para invertir el 99%, suelen invertir una parte, normalmente una gran parte, y, por tanto, si actúan así y a la vez te cobran una comisión no podrían decir que esa comisión es por "guardar" tu dinero, porque eso sería una estafa.
Entonces ¿por qué te cobra el banco? Creo que la comisión más famosa es la "comisión de mantenimiento"... que creo que quiere decir "te cobramos una cantidad de dinero al año por mantener tu cuenta: los ordenadores que almacenan tus datos, etc... todos los gastos que conlleva 'mantener' esa cuenta y asegurarte las condiciones que marca la ley, y, supongo que las que no les obligue la ley pero que el banco te ofrece".
Si no me equivoco esa comisión de mantenimiento y otras están reguladas, de forma que si te cobrasen más del límite marcado por la ley podrías denunciarlo.

La cuestión sería: si cobran una comisión de mantenimiento, o incluso algunos bancos que no cobran comisión ¿qué obligaciones tienen? No lo se. Si hay una sentencia judicial será que tienen ciertas obligaciones de seguridad, claro, aunque estas obligaciones creo que son independientes de que te cobren o no. Vamos, que la afirmación de que "el banco te cobra, y, por tanto, está obligado a hacerse responsable cuando se roba al cliente de cualquier manera" no me parece que sea cierta. Primero, aunque no te cobre comisión creo que la responsabilidad también recae sobre el banco en ciertos caso. Segundo, aunque te cobre creo que hay ciertos casos donde no se hace responsable. Por ejemplo, si el cliente hace un uso no adecuado. Quizá un caso fuese no tener antivirus, no lo se, pero otros casos más claros serían darles todas sus claves a cualquiera... no sólo en un phising, sino que vas por la calle y le dejas el móvil y todas tus claves a un desconocido... en este caso me temo que la ley no hace responsable al banco de que te roben 2000 euros, por mucho que pagases una comisión (yo que se, 20 euros). Si no, menudo cachondeo, pago la comisión y empiezo a dar la clave a amigos insolventes, que se lo gastan ¿y el banco me devuelve el dinero porque sería su responsabilidad hacerlo más seguro? No me parece un criterio muy lógico, la verdad.
La propia entradilla de esta noticia sensacionalista o confusa también lo dice: " Aunque hay excepciones. "
Pues claro que hay excepciones... si no menudo cachondeo!!! Titular "El banco es el responsable si hackean" ... En letra pequeña al final: "pero no siempre" jajaja qué cachondos. Titular menos sensacionalista: "A veces el banco es el responsable si hackean"... eso sí, pero vende menos este titular.

CONCLUSIONES:
* No cobran por guardar... pero el motivo de que no cobren por "guardar" no es que el coeficiente de caja impida guardar, sino porque no guardan el 100% de lo que ingresas.

* Creo que tampoco pueden "cobrar algo porque les da la gana", es decir, las posibles comisiones que pueden aplicar están estipuladas y creo que no 'pueden' (legalmente) decir de repente "te cobro 10 euros al mes para el yate del director del banco"... ya que esa comisión no estaría dentro de las permitidas. Podrían hacerlo, pero les podría caer una buena multa, aparte de devolverte el dinero cobrado indebidamente.

* Tampoco creo que puedan cobrar la cantidad que quieran por un concepto que sí está permitido, porque creo que hay establecidos unos límites máximos.

* Por supuesto, aunque tienen límites legales ganan mucho dinero. Ya dije que pueden invertir el 99% del dinero (y no están obligados a darte ni un duro de sus beneficios: si ganan, para ellos, si pierden todo... una parte la cubre el estado)... pueden cobrar unas cantidades como comisiones que fueron establecidas como válidas (aunque sus costes sean mucho menores que lo que cobran), etc.

cc #1

» autor: Acido

#49 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

mrpaco — Fri, 15 Jul 2016 17:03:16 +0000

#46 Veo tus 2 cosas y envido

1. las herramientas online de los bancos son, hoy por hoy, de uso opcional, sigue existiendo gente realizando operativa bancaria yendo personalmente al banco.

2. no importa cuanto gasten los bancos o las empresas, en este caso hablamos de algo que ocurre en un ordenador que el banco ni ha visto, tocado ni olido, sienta un precedente gravisimo que se responsabilice a alguien del estado del ordenador de su cliente cuando no tiene ningun control sobre ello, simplemente porque "es un banco".

¿Quien es el responsable de la seguridad del sistema informatico que usan los clientes de una empresa? Este punto ha de quedar muy claro, porque si la responsabilidad es de la empresa habra que pensar que mañana puede ser lo mismo con cualquier otra empresa que no sea un banco y en esas condiciones lo normal es que cualquier empresa quiera poner pies en polvorosa de este pais.

» autor: mrpaco

#48 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

miguelpedregosa — Fri, 15 Jul 2016 17:03:02 +0000

¿Es el banco responsable de un usuario que usa un navegador obsoleto y con fallos de seguridad? ¿Debe el banco dar soporte a estos navegadores? Al final lo que queremos todo, que sea super seguro pero que se pueda usar con mi Windows XP y mi navegador viejo que no soporta TLS 1.2 por ponerte un ejemplo

» autor: miguelpedregosa

#47 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

perico_de_los_palotes — Fri, 15 Jul 2016 16:58:48 +0000

#42 El sistema a prueba de tontos se conoce desde hace mucho: contratar a mas gente de apoyo. Pero claaaaaaaro, es muy bonito lo que ahorrarte dinerito montando maquinitas y echando la culpa a quienes están obligados a usarlas pese a que claramente no las entienden.

» autor: perico_de_los_palotes

#46 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

perico_de_los_palotes — Fri, 15 Jul 2016 16:54:40 +0000

#19 Estamos llegando a un punto en que el usuario nunca es responsable de nada, se le toma por un pelele tonto incapaz de tomar sus propias decisiones que debe ser tutelado en cada momento por el estado o por las empresas aunque esa tutela sea imposible como en este caso.

Dos cosas:

1. Son los bancos los que se empeñan en poner de patitas en la calle a empleados, cerrar oficinas y sustituirlo por sistemas telemáticos. Cuando impones algo tecnologicamente avanzado a una base de usuarios en un pais donde hay una enorme cantidad de gente mayor, echarles la culpa de que no funciona muestra un muy bajo nivel moral.

2. Son los bancos y empresas los que se gastan en muchos casos unos pastizales que a quiene sabemos de esto nos parecen sospechosamente altos y acto seguido, en cuanto falla algo, echan la culpa "al informático". Una vez mas, no exactamente algo precisamente edificante.

» autor: perico_de_los_palotes

#45 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

--507156-- — Fri, 15 Jul 2016 14:48:44 +0000

Pero nosotros somos los responsables de rescatarlos.

» autor: --507156--

#44 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

CHN — Fri, 15 Jul 2016 13:54:43 +0000

» autor: CHN

#43 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

jaspeao — Fri, 15 Jul 2016 13:51:58 +0000

#9 de que hablas?

» autor: jaspeao

#42 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

sandra67 — Fri, 15 Jul 2016 13:41:00 +0000

Trabajo en la mesa de ayuda de un medio de pago (en Argentina) y las cosas que hacen los usuarios son terroríficas.
Desde darle las claves a cualquiera ("no entiendo nada de pc") hacer transferencias erróneas (sí, aunque suene increíble) a usar navegadores específicamente no recomendados. máquinas desactualizadas, etc.
Podés diseñar el sistema a prueba de tontos... pero los tontos son muy persistentes. Y normalmente encuentran los huecos para armar un estropicio.

» autor: sandra67

#41 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

estoyausente — Fri, 15 Jul 2016 13:32:33 +0000

#23 no digo que no la tenga pero me parece curioso

» autor: estoyausente

#40 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

GoDie — Fri, 15 Jul 2016 13:18:17 +0000

#12 no es obligatorio, mandan sms con un codigo y lo intruduces en la pasarela.

» autor: GoDie

#39 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

zap123 — Fri, 15 Jul 2016 13:17:42 +0000

Pues como sean responsables pero sin efectos retroactivos, no va a servir de mucho.

» autor: zap123

#38 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

Nova6K0 — Fri, 15 Jul 2016 13:14:27 +0000

Depende de como sea el caso. Ahora parece que las webs no son responsables de nada. El caso es que si por un fallo de seguridad se inyecta un código malicioso, que hace que al entrar un usuarios se infecte su PC, con la posibilidad de que dicho código malicioso le descargue en este anterior, más virus. Por supuesto que la web es responsable. De la misma forma si una web usa algún servicio de publicidad donde se ha inyectado código malicioso en alguno de sus anuncios, tanto el servicio de publicidad como la web son responsables, uno por la mie... de seguridad de su servicio y el otro por no saber a quien contrata.

Si es el usuario que por culpa de su torpeza, falta de seguridad en su PC se infecta, podríamos decir que tiene parte de la culpa, pero no toda. Ya que salvo en casos de phishing y técnicas similares donde el usuario por dicha torpeza no verifica la web a la que entra, el responsable directo de la seguridad de una web y/o el webmaster, o empresa que mantiene dicha web. Ya que viendo que la mayoría de los virus se producen por agujeros de seguridad en software o al programar en sí (por ejemplo una web/blog creado con Wordpress) y más si es software privativo, el usuario no es responsable directo incluso aunque su torpeza infecte su PC. Ya que hay una relación causa-efecto entre dichos agujeros de seguridad y la infección de un PC. De tal forma que si dichos agujeros de seguridad no existiesen el usuario no se infectaría, repito salvo en casos de phishing y páginas preparadas expresamente para capturar datos y/o infectar al usuario.

Precisamente esta es una de las razones del uso masivo de bloqueadores de publicidad para evitar posibles códigos maliciosos en los anuncios y de NoScript y similares para bloquear scripts maliciosos por inyección de código, al aprovechar una o varias vulnerabilidades de, especialmente, los softwares, aplicaciones, programas,... usados para programar una web o bien un fallo de seguridad provocado por la torpeza de quien/es programa/n dicha web. Y como dije en el supuesto de no ser así (famosa guerra actual entre bloqueadores vs antibloqueadores) y algunas webs impidan el uso de estos complementos, deberían ser fuértemente sancionadas por poner potencialmente en peligro la estabilidad y seguridad de los equipos de los usuarios, así como los datos de estos. Sin hablar el poner evidentemente en potencial peligro su derecho a la privacidad e intimidad, en webs que se dedican a capturar datos, crear perfiles, uso de cookies maliciosas, supercookies y técnicas de huella digital tipo canvas así como con técnicas similares.

Todo esto sin hablar de la dificultad de programar, que en muchos casos es alta. Pero repito, especialmente en programas privativos muy caros, esto es más una excusa que otra cosa. Se supone que si se paga por algo es para tener una mínima seguridad, mínima seguridad que no siempre existe.

Salu2

» autor: Nova6K0

#37 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

LaInsistencia — Fri, 15 Jul 2016 13:13:12 +0000

#32 ¿Quien ha dicho nada de SMS? ¡Un challenge-response! Algo en plan "Escribe este numero en nuestra aplicación del móvil, y escribe debajo la respuesta que aparece en tu móvil". No puede ser que muchos hayamos hecho cosas así hace décadas como trabajo de fin de carrera y ahora no haya cojones de hacer algo así. ¿O que pasa, que no nos podemos fiar tampoco de pagar contactless con el móvil ahora?

» autor: LaInsistencia

#36 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

Pitt — Fri, 15 Jul 2016 12:49:20 +0000

#32 Madre mía, desde luego está muy bien pensado, razón de más para que el banco se haga cargo del asunto

» autor: Pitt

#35 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

Pitt — Fri, 15 Jul 2016 12:48:17 +0000

#30 Sí eso está claro

» autor: Pitt

#34 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

--15634-- — Fri, 15 Jul 2016 12:47:52 +0000

#20 Ningún sistema es seguro 100%. Y menos con un usuario retrasado, que suelen ser la mayoría.

» autor: --15634--

#33 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

sk4os — Fri, 15 Jul 2016 12:43:03 +0000

El nível de sofisticación del malware puede llegar a ser muy alto. He visto casos de infección por, simplemente, abrir una web a la que le han añadido un javascript malicioso (vulnerabilidad del motor JS del navegador que permita ejecución de código y listo). Muchas veces el usuario tiene antivirus y el malware no es detectado o es detectado tarde.

Se están viendo también casos de malware que inyectan su propio código en la web del banco al entrar a la plataforma.

Los bancos pueden hacer mucho (y de hecho hacen). Hay equipos especializados en análisis de malware bancario trabajando. Y por cierto, el banco, a dia de hoy, devuelve el dinero a las víctimas de fraude online.

Dejad de lado las ideas de que solo los cazurros/descuidados pueden ser víctimas.

» autor: sk4os

#32 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

--269363-- — Fri, 15 Jul 2016 12:40:37 +0000

#20 #28 #29 Lo del SMS no es la panacea, así actúa un malware diseñado para robar a los usuarios de 3 bancos españoles:

"Cuando el troyano se ha instalado en el teléfono, espera hasta que presionamos el icono para abrir la 'app' de nuestro banco. Entonces se abre una ventana, pero no es la real sino una copia exacta. El troyano copiará las credenciales que escribamos allí y las mandará a los "malos". Después, se abrirá la aplicación auténtica, para que no sospechemos. Así, pensaremos que nos pide de nuevo las credenciales porque antes nos habíamos equivocado.

Con los datos robados, los malos entrarán en nuestra cuenta bancaria y ordenarán una transferencia. La mayoría de bancos tienen un sistema de doble autenticación, lo que significa que además de introducir nuestras credenciales tenemos que darles un PIN que se nos manda a nuestro teléfono móvil, por SMS. Pero ahí está el troyano infiltrado en nuestro teléfono, esperando a que llegue este SMS para reenviarlo a los malos y esconderlo a los ojos del propietario del teléfono."

» autor: --269363--

#31 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

--17953-- — Fri, 15 Jul 2016 12:34:39 +0000

#19, acabarán alquilándote un tpv (donde no puedes ver el correo electrónico o pornografía o el facebook) para que hagas operaciones.

» autor: --17953--

#30 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

manson2000 — Fri, 15 Jul 2016 12:32:42 +0000

#28 lo de sms al móvil todavía, pero si yo pongo un keylogger.... con tiempo... ni tarjeta ni leches. Es una guerra bien jodida...

» autor: manson2000

#29 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

IvanDrago — Fri, 15 Jul 2016 12:31:07 +0000

#2 Lo siento pero no, hay medios técnicos de sobra para controlar el gasto por internet, mi banco por ejemplo, hasta para operar dentrl de su propia página, para operaciones de mover dinero etc... me manda un sms con un código para saber que soy yo quien lo hace... así como en cualquier otra página de internet, por supuesto... si me cobras por proteger mi dinero, no puedes decir, no, es que tú no has tenido diligencia suficiente... es como si yo tengo una caja privada en un banco, se lo digo a alguien, este roba el banco y vacía mi caja... ¿La culpa es mía o del banco? pues aquí igual, qur pongan medios o paguen.

» autor: IvanDrago

#28 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

Pitt — Fri, 15 Jul 2016 12:24:46 +0000

#25 Por PC la mayoría de ellos ahora tiene doble verificación, tarjeta de códigos y SMS al móvil.

» autor: Pitt

#27 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

--50121-- — Fri, 15 Jul 2016 12:24:10 +0000

#20 La tarjeta de códigos me han obligado a cambiarla por código en su app de móvil, por normativa europea. Las están quitando en todos los bancos.

» autor: --50121--

#26 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

soundnessia — Fri, 15 Jul 2016 12:22:48 +0000

dependera del zote que sea el titular, por que hay mucha gente que pincha y da sus datos en cualquier sitio

» autor: soundnessia

#25 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

manson2000 — Fri, 15 Jul 2016 12:14:37 +0000

#20 Y por pc? Porque a este usuario se la jugaron en PC.

» autor: manson2000

#24 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

Katipunero — Fri, 15 Jul 2016 12:12:18 +0000

El banco te cobra por los depósitos y te cobra por los préstamos. Todo ello quieras o no, porque se van restringiendo las transacciones en efectivo y es más fácil vivir sin DNI que sin cuenta bancaria.

La banca siempre gana

» autor: Katipunero

#23 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

eldelmedio — Fri, 15 Jul 2016 12:07:46 +0000

#4 Tiene su lógica. Aunque tuviera malware el usuario no ha hecho un uso negligente. Es como si caes enfermo aunque cuides tu salud: una putada sobrevenida.

» autor: eldelmedio

#22 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

Marx — Fri, 15 Jul 2016 12:07:44 +0000

#14 No se saltaron sus controles de seguridad, se saltaron los tuyos. Si te comprometen el ordenador no hay nada que se pueda hacer para evitar que te roben. ¿tarjeta de coordenadas? no sirve si el malware modifica la página del banco cuando te llega y mientras tú ves algo normal, por debajo envías dinero a otra cuenta. Te llegará un SMS pidiéndote la coordenada y tú la pondrás porque no ves nada raro. Hay malware que reemplaza el navegador entero.

» autor: Marx

#21 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

Graffin — Fri, 15 Jul 2016 12:06:15 +0000

El banco no puede controlar que seas un inutil con el pc, pero si puede controlar los movimientos sospechosos en tu cuenta.
A mi me han llamado varias veces para confirmar si era realmente yo quien estaba sacando dinero de algunos cajeros o haciendo transferencias.
Pero claro, para eso tiene que ser un banco serio y no un nido de ratas.

» autor: Graffin

#20 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

LaInsistencia — Fri, 15 Jul 2016 12:04:41 +0000

#17 Tarjetas de códigos + segunda verificación por app segura en el móvil. No tienen medios, no...

» autor: LaInsistencia

#19 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

mrpaco — Fri, 15 Jul 2016 12:02:02 +0000

como se supone que la entidad bancaria va a garantizar la seguridad de un dispositivo que no controla?

Estamos llegando a un punto en que el usuario nunca es responsable de nada, se le toma por un pelele tonto incapaz de tomar sus propias decisiones que debe ser tutelado en cada momento por el estado o por las empresas aunque esa tutela sea imposible como en este caso.

» autor: mrpaco

#18 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

--17953-- — Fri, 15 Jul 2016 12:01:33 +0000

Al final conseguirán que para hacer una transferencia tengas que ir a una oficina a firmar, de ese modo se aseguran que el pc no tiene virus y que el usuario no ha dado sus datos en un ataque de phising.

» autor: --17953--

#17 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

manson2000 — Fri, 15 Jul 2016 12:00:49 +0000

#3 Me parece que el Juez no tiene ni idea. El banco tiene muy pocos mecanismos para saber que el uso no es legitimo. Puede meter controles, pero si un cliente se infecta.... es el cliente el que se infecta y el responsable del robo no es el banco es quien roba.

» autor: manson2000

#16 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

--518126-- — Fri, 15 Jul 2016 12:00:12 +0000

Normal, como si atracan un banco, si el negocio del banco es proteger tu dinero, tiene sentido.

» autor: --518126--

#15 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

angelitoMagno — Fri, 15 Jul 2016 11:56:59 +0000

Tiene que haber un error, los jueces nunca sentencian contra los bancos. Supongo que los responsables de esto serán expulsados de la carrera judicial a más tardar.

» autor: angelitoMagno

#14 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

Paradisio — Fri, 15 Jul 2016 11:55:22 +0000

En el mismo momento que tenga la sensación de que la gestion online de mis cuentas puede volverse en contra mia no la usaré jamás.
Lo que hacía falta, les ahorro pasta (y bien que me parece) y si se saltan sus controles de seguridad palmo yo. No no no
Para eso tengo las tarjetas de coordenadas, y si eso no es suficiente que vayan pensando en algo

» autor: Paradisio

#13 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

--224203-- — Fri, 15 Jul 2016 11:55:15 +0000

Hombre faltaría más. Aunque visto lo que ha pasado con la sentencia de las preferentes uno ya se espera cualquier cosa.

» autor: --224203--

#12 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

tul — Fri, 15 Jul 2016 11:54:28 +0000

#7 mal plan, al final te obligaran a instalar la app del banco para acceder, app que aprovechara para espiar todo lo que pueda claro.

» autor: tul

#11 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

--212323-- — Fri, 15 Jul 2016 11:53:20 +0000

[Usuario deshabilitado]

» autor: --212323--

#10 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

tul — Fri, 15 Jul 2016 11:52:44 +0000

#8 para que te peten el movil ademas del ordenador?

» autor: tul

#9 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

--347930-- — Fri, 15 Jul 2016 11:24:42 +0000

[Usuario deshabilitado]

» autor: --347930--

#8 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

borteixo — Fri, 15 Jul 2016 10:33:44 +0000

#5 Es brutal, ¿para qué coño está la verificación de doble vía?

» autor: borteixo

#7 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

GoDie — Fri, 15 Jul 2016 06:52:56 +0000

#6 O ofrecer un software anti-virus que proteja las transacciones o medie para evitar malware.

Mi banco, por ejemplo sería dificil, la aplicación mueve los botones del PIN de sitio, confirmación de SMS en transferencias y alguna más tenía.

» autor: GoDie

#6 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

InDubio — Thu, 14 Jul 2016 18:38:26 +0000

Lo cierto es que los bancos cobran a sus clientes por el acceso on-line, cuando en realidad les supone un importante ahorro, además de desincentivar las consultas fisicas, así que es normal que sean en parte responsables. Si un pc es inherentemente inseguro, no deberían permitir que los clientes arriesgaran su dinero desde él, o informar claramente de los riesgos, o del perfil de cliente con suficientes conocimientos informáticos. Eso, sin llegar a pagar los platos del cliente llanamente irresponsable.

» autor: InDubio

#5 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

trasier — Thu, 14 Jul 2016 17:04:10 +0000

Iba a poner un comentario alegrándome, pero tras leer la noticia ya no veo motivo. Destaco:
"En este caso la sentencia ha dictaminado que no se puede considerar una negligencia grave tener 'malware' siempre y cuando el usuario tenga instalado un programa antivirus para evitarlo."

No me parece muy lógico, la verdad. Creía iba en otro sentido, tipo que debe ser el banco el que ponga medios para evitar que solo hackeando la cuenta el "hacker" ya tenga vía libre para transferir el dinero que quiera (vía mensajes de seguridad al móvil, vía tarjeta de coordenadas, vía lo que inventen y funcione).

» autor: trasier

#4 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

estoyausente — Thu, 14 Jul 2016 13:05:45 +0000

En este caso la sentencia ha dictaminado que no se puede considerar una negligencia grave tener 'malware' siempre y cuando el usuario tenga instalado un programa antivirus para evitarlo.

Ojo que el antivirus te puede salvar el culo.

» autor: estoyausente

#3 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

teskmon — Thu, 14 Jul 2016 09:09:07 +0000

De la noticia: "...el dinero fue robado gracias a un virus informático conocido como Citadel que estaba instalado en el ordenador del cliente. La responsabilidad, sin embargo, y siempre según el juez, es del banco y no del usuario, ya que este último no cometió ninguna negligencia grave y, en todo caso, le corresponde a la entidad bancaria asegurarse de que el dispositivo desde el que se accede a la cuenta no está infectado...".

» autor: teskmon

#2 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

bronco1890 — Thu, 14 Jul 2016 07:36:36 +0000

No se hasta que punto es 100% responsable el banco de que uno ande metiendo su usuario y contraseña en el primer enlace que le llega por mail, o si tiene el ordenador lleno de porquería. También la gente debería de preocuparse de adquirir un mínimo de conocimientos sobre seguridad si va a tener una cuenta online.

» autor: bronco1890

#1 Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta

Raul_pm — Thu, 14 Jul 2016 05:31:43 +0000

Es lógico, tu banco te cobra por guardar tu dinero con seguridad, si alguien te roba el dinero en el banco de cualquier manera, no están cumpliendo con su cotrato

» autor: Raul_pm