Hace 3 años | Por --625066-- a xataka.com
Publicado hace 3 años por --625066-- a xataka.com

La autenticación de doble factor es una de las medidas más relevantes que podemos tomar a la hora de proteger los datos. Mediante ella se requiere de una segunda confirmación aparte de la contraseña a la hora de realizar un inicio de sesión. Ahora bien, no significa que sea impenetrable. Una nueva investigación refleja cómo un grupo de hackers ha creado un malware capaz de burlar este método de seguridad.

Comentarios

D

#1 Bueno, los de Sofort te han ofrecido la misma opción que ya se está usando mucho para sistemas de ahorro como "coinscrap" y que tiene éxito porque la gente acepta dar sus datos.

Y ¿qué es coinscrap? Pues básicamente consiste en un sistema de redondeo al alza de tus compras. Por ejemplo, que si pagas el desayuno en el bar con la tarjeta y te cuesta 1,50€ el sistema apunta 50c para el ahorro. La operativa consiste en que la empresa con la que lo contratas revisa tus compras (de ahí que necesite tus credenciales de acceso bancarias). Va sumando "mentalmente" todos esos redondeos al alza y cuando llega a una cifra concreta (pongamos 30€) te hace un cargo por ese importe que va destinado a un fondo "de ahorro" a tu nombre.

Yo personalmente no le daría mis credenciales de acceso bancarias ni a mi cónyuge (si lo tuviera) y considero que es la forma correcta de actuar. Pero el sistema está teniendo éxito, sobre podo entre la gente joven, así que ya vez cómo está el patio.....

LostWords

#3 Es decir, el café vale 1,50€ pero ellos te cobran 2€ y mandan 0.5€ a un producto de ahorro.
Ya hay bancos que lo hacen y honestamente, no le veo el sentido mas que para las personas que no saben ahorrar por si mismos. También podrían poner una regla para mover 50€ al inicio del mes a otra cuenta y de manera automática y el efecto es el mismo, pero sin otra aplicación para el móvil.
Me equivoco? funciona de otra manera?

D

#22 No es exactamente así. Si tú café vale 1,50€ ellos "anotan" 50 c para el ahorro. Entonces cuando llevas consumidos 60 cafés y la cantidad "anotada" llega a 30 euros pues te hacen el cargo de 30 euros.

Como tú bien dices ya hay bancos que permiten hacer cosas así desde hace tiempo, pero es tu propio banco el que lo hace, no un tercero al que le has dado tus credenciales de acceso para que lo haga "y de paso conocer todos tus movimientos y sacar una información valiosa de tus hábitos"....

Yo también pienso que es una chorrada, Podrías como bien dices programar una aportación periódica mensual al producto de ahorro que quieras y listos. Pero la cuestión es que han diseñado esto y les funciona porque la gente es tan besuga que no tiene problema en dar sus credenciales de acceso.

LostWords

#28 totalmente de acuerdo. Si mañana los dueños deciden vender esa información y desaparecer, que se lo impide?

squanchy

#1 En realidad la doble autenticación consiste en algo que te identifique (tu usuario / número de tarjeta / email / etc.), algo que sólo tú sepas (la clave), algo que tengas (el sms / google authenticator / etc.)

Coronel_Kilgore_1

#4 Y el ataque es un malware que con un phising te planta una pagina cautiva exacta a la de tu banco mientras tecleas la contraseña... mientras el pirata que tiene acceso a tu equipo con el malware la introduce en la pagina real del banco que te envía un sms que es interceptado y redirigido al pirata que accede a tu cuenta limpiandola... no es ciencia ficcion pasa todos los días...

manc0ntr0

#15 No hace falta acceso a ningún equipo. El atacante instala la app móvil del banco en su propio equipo y a través del phishing obtiene las credenciales y el OTP que se envía para el segundo factor. Una vez dentro, tiene vía libre para mandar dinero donde le plazca

d

#1 Existe la loca idea de acceder a través del navegador web, opción infinitamente más segura

t

#1 Sofort es seguro. Llevo usándolo un par de años. Es una empresa alemana que, obviamente, tiene acuerdos con bancos para funcionar así; de hecho sólo funciona con los que tiene acuerdos. Hay otras que usan el mismo sistema de funcionamiento, pero no tengo experiencia con ellas.

En su día, cuando vi Sofort por primera vez, también se me dispararon todas las alarmas, pero tras investigar el tema un par de días resolví que es seguro.

p

#5 los bancos buscan y consiguen seguridad pero para ellos, no para el cliente

j

#8 y ni eso creo...a no ser que seguridad sea que la responsabilidad es la de la operadora. A mi me soplaron 5000 pavos en ING, con Vodafone, mediante el sim swapping. En un abrir y cerrar de ojos, me suplantaron el dispositovo.

t

#9 ¿puedo preguntar cómo? A mi ING me pide varias posiciones de la clave antes de pedir el código por SMS... puedo entender que te clonen la SIM para recibir el código, pero, ¿y la clave?

j

#21 Pues aún me pregunto cómo. El mecanismo con la operadora es "claro": son capaces de cambiar en la operadora una SIM por otra, supongo que a nivel base de datos, es decir, de alguna manera se meten hasta la médula en la operadora y son capaces de cambiar según que cosas.

Pero en el banco, creo que o bien cuentan con información interna, o bien con datos personales que han obtenido por ingeniería social o ambos a la vez y más que no conozco. Porque, efectivamente, hay un PIN que o bien cambiaron o bien manipularon en la BBDD del banco, cosa que me cuesta más creer. Diría que concían algunos datos mio, o los obtuvieron, con teléfono llamaron, les hicieron las preguntas de seguridad por defecto, las respondieron, y listo, pusieron la clave que quisieron y desde ese momento eran tan yo como yo frente al banco.

Lo que después hiceron fue cambiar los límites de disposición de dinero diario y sacar la pasta físicamente de un cajero en Madrid, cuando yo vivo en las islas Canarias.

t

#25 hace años trabajé en una empresa que tenía webs de trabajo. Cuando un usuario, fuese empresa o trabajador, llamaba porque había perdido la clave y no podía acceder a su email, lo que hacíamos era colgar y llamar al teléfono que nos constaba en base de datos como suyo.

Que un banco pueda darle acceso a cualquiera que llame respondiendo cuatro preguntas, me parece MUY alarmante.

Como me lo parece que no avisen de un cambio en la clave y/o en el email asociado ANTES de validar dicho cambio. Joder, que esto lo hace hasta Flickr...

Gracias por la información, voy a investigar y, como sea así, adiós ING mañana mismo.

j

#26 #25 son ataques en dos frentes. Por un lado consiguen un duplicado de tu SIM hablando con la operadora diciendo que necesitas una nueva con cualquier pretexto. La operadora deberia verificar tu identidad, peeeeero...

por otro lado, en la web del banco que sea usan el correspondiente servicio de recuperacion de pin que muchas veces se basa todo o en parte en contactar con el movil registrado en el sistema... para el que acabas de conseguir una SIM nueva.

j

#30 Correcto. Es así de "simple".

Creo que esto es un golpe que tiene gente en el sistema. Muy bajo riesgo y altos beneficios. Si el mismo día roban a 10 como a mi, 50 mil lereles a la buchaca en cuestión de horas.

j

#32 en mi experiencia, suele ser dejadez en los procedimientos. Si eres currito por 4 duros en un franquiciado de una operadora y la "fotocopia" del dni que te traen para pedir el duplicado de sim es regulera, te cae mas bronca si la rechazas o ralentizas la cola que si la apruebas y el problema es de otro. y si la operadora no va a penalizar a la tienda....

j

#26 Es que te notifican en el móvil...frente al banco, tú eres tu móvil. Si te suplantan el móvil (primer paso del robo), ya tienen tu identidad casi suplantanda. Allí llegan los mensajes, las llamadas...todo. La aplicación está dada de alta en ese número.

El sim swapping básicamente es que son capaces de desviar todo el tráfico destinado a una SIM, a otra SIM que es una copia de la original pero está en otro dispositivo. Todo es digital, es decir, no perdí el teléfono en ningún momento, como tampoco perdí ninguna tarjeta ni nada.

Y no solo es ING. El problema es el esquema de validación que pasa por SMS y móviles que son vulnerables. Se sabe desde hace años pero aún así, se adoptó. No logro entenderlo.

https://www.ocu.org/tecnologia/telefono/consejos/sim-swapping-timo-duplicado-sim

Estamos más bien vendidos hasta que todo el mundo se ponga un poco las pilas.

t

#31 sí, eso lo entiendo.

Lo que decía es que si no te notifican en otro sitio, como un email, me parece gravísimo. Que si te roban el teléfono físico pues ya tienen acceso al email si es que usas el mismo para todo (por ejemplo, yo el que uso para bancos, Transferwise, Hacienda, etc... es uno diferente del de uso común, y diferente del que uso para trabajo). Pero siendo todo "virtual"... lo que yo decía es que hasta Flickr me avisa si "alguien" ha cambiado la contraseña o el email de mi cuenta, para confirmar que he sido yo. E igual muchos otros servicios, no recuerdo cual pero el mes pasado alguno no crítico me lo ha preguntado también (quizá Gitlab o alguno de estos, no recuerdo cual).

Para mi es algo básico que cualquier servicio medianamente crítico (dinero y/o datos personales sensibles) haga al menos estas dos cosas:

- No permitir cambiar ni informar nada solo llamando: puedes llamar para que te devuelvan llamada al número que consta en sus archivos, y eso tras confirmar que eres tú por medio de preguntas o, como hace toda fintech hoy día, solicitando un vídeo corto mostrando el DNI o pasaporte.

- Cualquier cambio de datos básicos como email, PIN/password... requiera de una confirmación enviada al email configurado previamente. Además, servicios críticos deberían tener un segundo email "de seguridad" al que simplemente informen de ello, de modo que aunque te entren al email principal y aprueben el cambio, te sigas enterando.

- Por supuesto, no permitir cambiar ambos datos (login y PIN/passwd) a la vez.

- Avisos de cualquier cambio de operativa. Aumentar el límite en cajeros es un ejemplo que el Santander me avisa rápidamente por SMS y por mensaje interno (push) a la app, si ING no lo hace, otro motivo para darme de baja de ellos.

#31 en tu caso, ¿no pudiste reclamar, siendo tan claro si usaron un cajero de Madrid viviendo tú en Canarias? Hace unos años tras un viaje por Portugal me apareció un cargo de 200€ en una estación de servicio, me enteré porque el banco me avisó al instante de hacerse. Fui al banco y les demostré que si ese mismo día había sacado dinero en el cajero de mi calle, donde está mi domicilio y donde llevo sacando dinero años, era bastante difícil que estuviera a la vez en el sur de Portugal (unos 800Km de distancia). Me reembolsaron el cargo al momento. Supongo que me clonaron tarjeta en algún sitio, pero sólo fue ese cargo...

j

#34 Toda la razón respecto a lo que dices. Si le preocupara la seguridad, harían algunas de las cosas que dices.

Fíjate que este tipo de cosas: "Avisos de cualquier cambio de operativa. Aumentar el límite en cajeros es un ejemplo que el Santander me avisa rápidamente por SMS y por mensaje interno (push) a la app, si ING no lo hace, otro motivo para darme de baja de ellos." llegan al ladrón. No a ti. Y no tengo claro que pasaría si quisiesen cambiar la contraseña del móvil. En teoría, yo tengo en Google, por ejemplo, vinculada la cuenta al tlf. Podŕian cambiar la contraseña de la cuenta y ya las risas son grandes. Es decir, que si te enviaran un correo, podrían acceder también. Es muy complejo. Centrar toda nuestra vida digital en un dispositivo es la perdición. Las tarjetas de coordenadas volverán.

Todo se solucionó. Ese chequeo físico del que hablas antes eran las tarjetas de coordenadas. Ahora todo es el móvi. Si tengo tu DNI (por ejemplo, se puede sacar del BOE por varios motivos) y algún dato más y tu móvil, eres muy, muy bulnerable. Supongo que irán endureciendo el tema. Pero actualmente, es un cachondeo.

Los bancos quieren ser ágiles, porque mola ser ágil, pero respecto a la seguridad...

t

#36 lo de quitar las tarjetas de coordenadas ha sido la mayor estupidez del mundo... ¿incómodas? sólo si eres un vago o un inútil. A mi, según me llegaba una nueva, la escaneaba en B/N sin ninguna marca de a qué banco se refería, metida ("disimulada") dentro de una imagen cualquiera y con un nombre no descriptivo y la dejaba en mi Dropbox, que llevo siempre en mi móvil (con PIN de acceso). Muy difícil que alguien se salte el PIN de Dropbox, encuentre el archivo de nombre no descriptivo entre los 7GB que tengo en mi Dropbox, y sepa a cuál de mis bancos pertenece.

Hago lo mismo con cosas como Google, donde tengo el 2FA con códigos planos en un TXT "ofuscado", no con la app.

Lo que decía de los avisos... sí, llegarían al ladrón, pero TAMBIÉN a ti. No impediría la actuación del ladrón, pero te pondría en alerta a tiempo.

Si aún conservas tu móvil (clonado de SIM y tal) el email te entraría al momento y podrías tomar medidas. Si te roban el móvil, lo primero de todo es ir a un PC y cambiar TODAS las contraseñas de acceso a todos los sitios sensibles (bancos, Paypal y similares, emails varios...) y donde te lo permita, hacer el "desconectar el resto de dispositivos".

Por otro lado, como ha dicho alguien por ahí, yo uso un teléfono de doble SIM. La SIM1 es la que uso para datos y teléfono, la SIM2 es la que tengo asociada a bancos, Gmail y tal. La SIM2 tiene PIN (de 6 caracteres, no de los habituales 4) y está siempre "apagada". Esto no me protege de que me la clonen, pero es una capa más de protección ante un robo del móvil.

D

#5 En parte entiendo esa crítica, pero se hace a través de dos canales distintos y eso no cambia. Alguien que quiera robarte, necesita ámbos, y además hay una diferencia conceptual entre entrar a una aplicación con algo que sabes (contraseña) y validarla con algo que tienes (móvil). Tampoco importa que tu utilices diferentes dispositvos, para un atacante la diferencia es prácticamente la nula.

Este ataque no es nada nuevo, y es tan viejo, que no le veo relevancia alguna más allá del "todavía pasa".

M

Además los dos bancos con los que trabajo han hecho una cosa a mi parecer absurdo, como no permitirte usarte las tarjetas de coordenadas para la doble (o triple) verificación aunque tú quieras y sea más engorroso, así que al final la verificación es por dos canales pero en el mismo dispositivo...

j

#6 cosa que no entendi! Por que no ofrecen esa alternativa para quien no quiera operar con movil?

j

#6 Ahora casi todos los móviles tienen NFC, lector de huella o reconocimiento facial, los bancos podrían darte una tarjeta o la misma tarjeta debito/credito o con la huella y con ello autentificar. Yo el móvil lo tengo con las aplicaciones que necesito, ni juegos, ni chorradas, le quito el facebook, twiter, amazon, instagram, aplicaciones de google, las de la marca del movil. Al final no te puedes fiar de nada, se hacen con las cuentas y te la lían pero bien gorda, y encima estas vendido porque todos empiezan a pasarse la pelota.

Trigonometrico

#11 Creo que instalar Facebook en el móvil es estúpido. Pero no descargar algún juego es desaprovechar el móvil.

julespaul

lo mejor es tener una tablet, que vale poco dinero, solo para las cuentas bancarias.

bitman

#17 y una prepago para vincular la recuperación de contraseñas, que no sea tu cuenta habitual. Así dificultas el SIM Swapping.

villarraso_1

#17 #19 La tarjeta de coordenadas funciona bastante bien, siempre y cuando no la lleves encima. No haria falta recurrir al SMS.
Para mi lo ideal sería, ¿entras desde aplicación de móvil? Tarjeta de coordenadas. ¿Entras desde la web? Verificación por SMS.
La razón es porque se supone que desde un ordenador entras desde casa, si alguien consigue entrar en ella, puede acceder a la tarjeta de coordenadas. Y lo de la app del móvil, lo mismo, si entro desde el móvil se supone que tengo el móvil, así que recibiría el SMS.

bitman

#24 yo verificación por SMS la quitaría. Metería el Autenticador de Google y tarjeta de coordenadas, las dos. La primera para validar usuario y la segunda para operativa dentro de la aplicación. Y esta tarjeta habría que renovarla periódicamente.

c

Si, si... uno.

D

Si la autenticación en 2 pasos está basada en un sms que te envían con un código es perfectamente vulnerable, puesto que si ya las aplicaciones legales son capaces de leerlos un malware también podría hacerlo.

atl3

#2 Si no le das permisos, no puede.

D

#12 oh, ya claro, pero para algo existe algo que se llama "ingeniería social" para obtenerlos..... De la misma forma que el malware a entrado en tu equipo (la mayor parte de las veces eres tú mismo el que le ha dejado entrar) ha obtenido el permiso.

Prácticamente todas las apps legales que instalas te solicitan X permisos para poder operar.... No tienen más que solicitar esos permisos en el momento que se cuele (estarás instalando alguna otra cosa en ese momento) y te pensarás que le estás dando los permisos a algo legal.

D

Deberían utilizar otras como el lector de huellas del teléfono o leer el iris.

No creo que sea imposible