Soy cliente desde hace años del BBVA, uno de los grandes bancos del capital. He pasado por varios, y es de los pocos donde me he sentido cómodo, y donde nunca he tenido problemas. Pero ahora, me estoy empezando a cuestionar que el banco como tal sea realmente seguro, y os voy a contar por qué.
#23:
No solo no es seguro, sino que además tiene unas manera de pedir las cosas un tanto peculiares.
Verano de 2006.Me quiero comprar una cámara de fotos.Voy al banco a sacar dinero en mano para comprármela.Me dicen que no existe una cuenta a mi nombre.
¿Como?
La chica me lo repite:"Ni por su nombre ni por su DNI me aparece cuenta alguna asignada a usted.Usted no tiene cuenta aquí".
Imposible Ja!Pero si me llegan los recibos a mi casa!Amos, tengo dinero desde la Comunión, de todos los Reyes, no me jodas,de mis ahorros de toda la vida de dios...
La chica de malos modos me dice: "Traigame su recibo entonces".
Vuelvo a casa, suerte que estaba en la misma localidad.Recojo el recibo y mientras vuelvo a la sucursal detecto cargos de 60 Euros en mi contra:"Comisiones de operación de cuenta".
¿Peroestoquecojo..?
La mala leche en aumento por momentos: La inutil del BBVA dice que no tengo ni dinero, ni cuenta, ¿y encima me están cobrando 60 euros?...
Llego a la sucursal y me dice que la titular de esa cuenta es mi madre y no yo.Que el sistema le indica que hay un bloqueo y tengo que ir a la oficina de emisión..
Me voy corriendo a toda velocidad a la dichosa oficina, y me dicen lo siguiente:
"Al cumplir los 18 años su cuenta de ahorro ha sido bloqueada ya que le solicitamos el DNI y usted no lo ha traido a la oficina.Por su seguridad le hemos bloqueado la cuenta".
Me quedo de una pieza: ¿Por mi seguridad?¿Quitarme de la co-titularidad de una cuenta es seguridad?
Extrañado les pregunto que cuándo me han solicitado dicha información y cómo lo han hecho.
La respuesta: Correo ordinario.En el 2001(5 años!!).
Yo irónicamente le pregunto: ¿Así pues la seguridad de este Banco se basa en correo ordinario?
La chica, subdirectora, sonríe la jodida.
-¿Así pues se tiran 5 años con un problema de seguridad bloqueandome una cuenta y no avisan?
La chica no sabe donde meterse y me pide que baje la voz.La gente en la cola nos mira y murmura algo de "menuda verguenza de bancos"...
Pero lo peor estaba por llegar...
-¿Cuando me desbloquea la cuenta?
Me dice que hasta el Lunes nada. Mala ostia increscendo..ya se estaban enterando hasta las cajeras.
Pero lo peor no habia llegado...
De pronto caigo en el detalle de esos 60 euros que me están cobrando semestralmente.La chica muy maja me dice:"Cuando en una cuenta no se realizan movimientos de depósitos o retirada de efectivo durante 6 meses, se cobra una comisión de 60 euros".
En ese momento entiendo la cara de culpabilidad, resulta que los muy ca-bro-nes me han bloqueado la cuenta, los muy in-de-cen-tes no avisan del bloqueo de la misma, los muy des-gra-cia-dos me impiden hacer ningun tipo de entrada y salida, y encima me cobran por el resultado de dicho bloqueo!!
Así se lo digo, así se enteraron todos los de la oficina.
¿"Comisión de operación de cuenta"?¿Por qué no me decís algo del estilo "Comisión por bloqueo de cuenta"?¿Por qué no me avisáis de que mi cuenta está bloqueada desde hace 5 años?Tiene huevos, le dije.
Me marché por la puerta.
El Lunes volví con una denuncia de la policia y una carta exigiendo no solo el dinero ilegalmente cobrado sino además todos sus intereses. Y el desbloqueo inmediato de la cuenta. No le pedí el Mercedes que iban a sortear con el libretón en compensación de puro milagro...
2 días más tarde tenía todo en la cuenta.
1 minuto después me lo llevé a la caja de ahorros de enfrente.
#27:
Trabajo en el departamento de bloqueos de una importante entidad bancaria y lo que dice este post es mas o menos como funcionan la mayoría de las entidades respecto a tarjetas y los fraudes por este tipo son anecdóticos, y en el 99 % de los casos que se han llegado a registrar fraudes, son por que el usuario no ha sido cuidadoso con su PIN.
En el caso que se refiere el post os digo la operativa que se sigue cuando ocurre un incidencia de ese tipo:
Un cliente llama al SAT de un banco cualquiera y dice: He perdido o me han robado la tarjeta de crédito o débito.
Primer paso: Tarjeta bloqueada y emisión de una nueva si lo pide el cliente, en este caso el cliente tiene que pasar una política de seguridad y confirmar el domicilio que refleja la base de datos. La tarjeta se envía operativa y con el mismo nº PIN si el cliente no indica lo contrario. Nadie puede tener acceso al PIN, el PIN solo se facilita en oficina física y en sobre ciego.
Segundo paso: Se emite la tarjeta QUE CAMBIA DE NUMERACIÓN.
Tercer paso: No llega la tarjeta o la roban del correo. Si no tienen el PIN, no suelen poder realizar compras. Si la tarjeta es visa, para compras por internet lo normal es usar una clave de validacion, dependiendo de la entidad. (codigo al movil, firma electronica, etc)
Cuarto paso: Alertas. En toda entidad financiera se rastrean, se comprueban y saltan alarmas por "actividades sospechosas de fraude" desde operaciones con poco margen entre IPs distintas hasta compras "extrañas"
Total, que es prácticamente imposible cometer fraude hoy en dia con una tarjeta de crédito y que se pasen todos los controles sin que pase nada.
#4:
De ser así se pasan la LOPD por el forro . Hace un par de años a mi cuñada los de Kutxa le mandaron por carta la tarjeta ya ACTIVADA y total que le robaron la carta e incluso usaron su tarjeta. Aunque bueno, el mangante que la utilizó no cayó en que le pillarían por la dirección de destino de todo lo que pidió.
#15:
No es por defender al BBVA, pero un PIN de 4 dígitos (lo típico en las tarjetas) no se puede almacenar de manera segura cifrandolo con funciones resumen.
Entonces, total, para guardarlo de manera insegura, lo guardan en claro, que desde el puntod e vista de seguridad va a ser lo mismo. Otro tema es que la LOPD obliga a no guardarlo en claro sirva o no sirva para algo.
El problema que le veo es que aunque guarden el PIN con una función resumen es trivial probar las 10000 combinaciones, se use o no una sal para el cifrado.
Como mucho se podría cifrar las hashes o el propio PIN con un algoritmo simétrico con una cotnraseña fuerte que sepa el banco. En este caso, mientras la contraseña no se filtre los PINs están seguros, pero eso si, el banco puede recuperar el PIN y imprimirlo y mandarlo por correo como se cuenta en el artículo...
#5:
Es un incumplimiento de la LOPD. A interflora le metieron un puro por algo así.
No solo no es seguro, sino que además tiene unas manera de pedir las cosas un tanto peculiares.
Verano de 2006.Me quiero comprar una cámara de fotos.Voy al banco a sacar dinero en mano para comprármela.Me dicen que no existe una cuenta a mi nombre.
¿Como?
La chica me lo repite:"Ni por su nombre ni por su DNI me aparece cuenta alguna asignada a usted.Usted no tiene cuenta aquí".
Imposible Ja!Pero si me llegan los recibos a mi casa!Amos, tengo dinero desde la Comunión, de todos los Reyes, no me jodas,de mis ahorros de toda la vida de dios...
La chica de malos modos me dice: "Traigame su recibo entonces".
Vuelvo a casa, suerte que estaba en la misma localidad.Recojo el recibo y mientras vuelvo a la sucursal detecto cargos de 60 Euros en mi contra:"Comisiones de operación de cuenta".
¿Peroestoquecojo..?
La mala leche en aumento por momentos: La inutil del BBVA dice que no tengo ni dinero, ni cuenta, ¿y encima me están cobrando 60 euros?...
Llego a la sucursal y me dice que la titular de esa cuenta es mi madre y no yo.Que el sistema le indica que hay un bloqueo y tengo que ir a la oficina de emisión..
Me voy corriendo a toda velocidad a la dichosa oficina, y me dicen lo siguiente:
"Al cumplir los 18 años su cuenta de ahorro ha sido bloqueada ya que le solicitamos el DNI y usted no lo ha traido a la oficina.Por su seguridad le hemos bloqueado la cuenta".
Me quedo de una pieza: ¿Por mi seguridad?¿Quitarme de la co-titularidad de una cuenta es seguridad?
Extrañado les pregunto que cuándo me han solicitado dicha información y cómo lo han hecho.
La respuesta: Correo ordinario.En el 2001(5 años!!).
Yo irónicamente le pregunto: ¿Así pues la seguridad de este Banco se basa en correo ordinario?
La chica, subdirectora, sonríe la jodida.
-¿Así pues se tiran 5 años con un problema de seguridad bloqueandome una cuenta y no avisan?
La chica no sabe donde meterse y me pide que baje la voz.La gente en la cola nos mira y murmura algo de "menuda verguenza de bancos"...
Pero lo peor estaba por llegar...
-¿Cuando me desbloquea la cuenta?
Me dice que hasta el Lunes nada. Mala ostia increscendo..ya se estaban enterando hasta las cajeras.
Pero lo peor no habia llegado...
De pronto caigo en el detalle de esos 60 euros que me están cobrando semestralmente.La chica muy maja me dice:"Cuando en una cuenta no se realizan movimientos de depósitos o retirada de efectivo durante 6 meses, se cobra una comisión de 60 euros".
En ese momento entiendo la cara de culpabilidad, resulta que los muy ca-bro-nes me han bloqueado la cuenta, los muy in-de-cen-tes no avisan del bloqueo de la misma, los muy des-gra-cia-dos me impiden hacer ningun tipo de entrada y salida, y encima me cobran por el resultado de dicho bloqueo!!
Así se lo digo, así se enteraron todos los de la oficina.
¿"Comisión de operación de cuenta"?¿Por qué no me decís algo del estilo "Comisión por bloqueo de cuenta"?¿Por qué no me avisáis de que mi cuenta está bloqueada desde hace 5 años?Tiene huevos, le dije.
Me marché por la puerta.
El Lunes volví con una denuncia de la policia y una carta exigiendo no solo el dinero ilegalmente cobrado sino además todos sus intereses. Y el desbloqueo inmediato de la cuenta. No le pedí el Mercedes que iban a sortear con el libretón en compensación de puro milagro...
2 días más tarde tenía todo en la cuenta.
1 minuto después me lo llevé a la caja de ahorros de enfrente.
Trabajo en el departamento de bloqueos de una importante entidad bancaria y lo que dice este post es mas o menos como funcionan la mayoría de las entidades respecto a tarjetas y los fraudes por este tipo son anecdóticos, y en el 99 % de los casos que se han llegado a registrar fraudes, son por que el usuario no ha sido cuidadoso con su PIN.
En el caso que se refiere el post os digo la operativa que se sigue cuando ocurre un incidencia de ese tipo:
Un cliente llama al SAT de un banco cualquiera y dice: He perdido o me han robado la tarjeta de crédito o débito.
Primer paso: Tarjeta bloqueada y emisión de una nueva si lo pide el cliente, en este caso el cliente tiene que pasar una política de seguridad y confirmar el domicilio que refleja la base de datos. La tarjeta se envía operativa y con el mismo nº PIN si el cliente no indica lo contrario. Nadie puede tener acceso al PIN, el PIN solo se facilita en oficina física y en sobre ciego.
Segundo paso: Se emite la tarjeta QUE CAMBIA DE NUMERACIÓN.
Tercer paso: No llega la tarjeta o la roban del correo. Si no tienen el PIN, no suelen poder realizar compras. Si la tarjeta es visa, para compras por internet lo normal es usar una clave de validacion, dependiendo de la entidad. (codigo al movil, firma electronica, etc)
Cuarto paso: Alertas. En toda entidad financiera se rastrean, se comprueban y saltan alarmas por "actividades sospechosas de fraude" desde operaciones con poco margen entre IPs distintas hasta compras "extrañas"
Total, que es prácticamente imposible cometer fraude hoy en dia con una tarjeta de crédito y que se pasen todos los controles sin que pase nada.
De ser así se pasan la LOPD por el forro . Hace un par de años a mi cuñada los de Kutxa le mandaron por carta la tarjeta ya ACTIVADA y total que le robaron la carta e incluso usaron su tarjeta. Aunque bueno, el mangante que la utilizó no cayó en que le pillarían por la dirección de destino de todo lo que pidió.
No es por defender al BBVA, pero un PIN de 4 dígitos (lo típico en las tarjetas) no se puede almacenar de manera segura cifrandolo con funciones resumen.
Entonces, total, para guardarlo de manera insegura, lo guardan en claro, que desde el puntod e vista de seguridad va a ser lo mismo. Otro tema es que la LOPD obliga a no guardarlo en claro sirva o no sirva para algo.
El problema que le veo es que aunque guarden el PIN con una función resumen es trivial probar las 10000 combinaciones, se use o no una sal para el cifrado.
Como mucho se podría cifrar las hashes o el propio PIN con un algoritmo simétrico con una cotnraseña fuerte que sepa el banco. En este caso, mientras la contraseña no se filtre los PINs están seguros, pero eso si, el banco puede recuperar el PIN y imprimirlo y mandarlo por correo como se cuenta en el artículo...
El articulo comete un error de base. Supone que toda la seguridad de una tarjeta está en conocer el PIN de la misma. En el supuesto que cuenta no es así.
Supongamos que un mega Hacker le roba a VISA (REDSYS) (que no al Banco) los PINs de las tarjetas. Para poder operar necesita el PAN (que el numero largo de la tarjeta), la caducidad y el CVV (el numerito impreso detrás)
Supongamos que el Hacker es la leche y lo pilla todo. Pues se dan estos caso:
- NO puede sacar dinero del cajero porque no tiene físicamente el plástico
- NO puede comprar en un establecimiento por lo mismo.
- SOLO puede entrar en las cuentas de los clientes para consultar pero no puede operar porque no tiene la Clave de Operaciones ni un teléfono móvil o tarjeta de coordenada valida.
- SOLO puede comprar por internet. Pero solo en algunos casos
1) Puede comprar en Tiendas virtuales sin seguridad extra... Normalmente esto está reservado a entradas de cine y teatro.
2) En los comercios con Tiendas virtuales seguras, ademas del PIN requieren códigos de validaciones extras como la Tarjeta de Coordenadas, Movil o el CIP (Codigo de comercio seguro)
Conclusion: un Hacker que sea capaz de la base de datos de VISA (REDSYS) se puede "hartar" de ir al cine. Lo más seguro es que lo terminen pillando en la puerta.
#34 Conozco muchas webs que no solicitan CES, luego, RedSYS no incluye a Euro6000, y no se que tiene que ver eso con el problema que se plantea en el post.
Yo tengo que decir a favor de la BBK, que el año pasado me fui a Alemania unos meses, y las primeras semanas hice mucho gasto con tarjeta, me llamaron para comprobar que era yo la que estaba haciendo las compras, desde el dpto de seguridad del Banco.
#8#9 El tema va más allá del envío de la carta, si no de que el PIN de la tarjeta está guardado sin cifrar (aun cuando en la web dicen que sí), además de que para activar la susodicha no hace falta ni introducir el DNI, con llamar y dar el número basta.
He trabajado en la informática de dos bancos y te confirmo que el PIN no se guardaba en plano, por lo menos en estos 2 se guarda una cifra llamada offset y se aplica la clave criptografica a esta cifra y otros datos de la tarjeta para obtener el PIN.
No es un riesgo ya que mientras la clave criptografica no sea publica no hay peligro y creeme, estan muy muy protegidas, fliparias con lo que hay que hacer para conseguir una nueva o para instalarla en un CPD.
#0 Aún cumpliendo el cifrado de claves podría ser que supiesen tu PIN porque no habrías cambiado en ningún momento el que te suministraron con la tarjeta original. De haberlo cambiado quizá te hubiesen suministrado un PIN nuevo para la nueva tarjeta.
Un poco Offtopic: Siempre me ha parecido que lo de los 4 números de PIN es un poco una falsa medida de seguridad. Vale para los cacos de poca monta de la calle, pero un tipo que sepa de seguridad, cifrados, etc,... dudo mucho que se le resistan hoy en día 4 números. Es un poco como el cinturón de seguridad de los aviones
#21 Me refiero un tipo que pudiera entrar en una base de datos, como lo que se quejan en esta noticia. En un cajero está claro que tus 4 numeritos son medianamente seguros, siempre que el de al lado no eche un simple vistazo !
Esta noticia es un tanto errónea, con el PIN por si sólo no pueden hacer nada, incluso sabiendo cual es el número de la tarjeta.
- Si realizas una compra por internet debes introducir previamente el CVV (que aparece en la parte trasera de la tarjeta) y la fecha de caducidad.
- Si quieres hacer una transferencia, contratación, etc, a través de la web de tu banco, necesitarás una contraseña adicional conocida como "contraseña de operaciones" y desde hace un tiempo, te obligan también a proporcionar un código aleatorio que recibess en el movil.
El artículo es efectivamente un poco chorra. Si alguien accede a su sistema y roba datos, tu nunca perderas tu dinero, puesto que ellos son los únicos responsables de la seguridad del sistema(a menos que seas tan lelo como para escribir tu pin detras de la tarjeta) así que por la cuenta que les trae es seguro.
#13 No te flipes tanto, atacar la libertad de expresión sería borrar comentarios. Los negativos solo los ocultan, pero ahí están disponibles para quien los quiera leer y para el que quiera obsequiar al autor con mas negativos.
#25 Eso no es cierto. Solo con manifestar tu opinión, si esta es contraria a la del hilo serás censurado por unos dias. Te lo sigo diciendo: Si tu quieres creer eso, adelante: engañate.
Creo que la gente se está calentando mucho con este tema cuando hay varias formas de que puedan hacerle decir que es el antiguo PIN y este no sea conocido por los empleados:
1 Que en la base de datos de clientes del BBVA se agregue en el registro del cliente la nueva tarjeta y quede asociada con la antigua clave de la tarjeta dada de baja.
2. O simplemente copiar el hash del md5 en en el campo correspondiente al PIN en el registro de la nueva tarjeta, al fin y al cabo es una cadena de carácteres aparentemente inconexos que el código maneja a través de una función que la desencripta para compararla con el pin marcado en un cajero automático p.e., el administrador de la base de datos podría hacerlo si alguien consiguiera hackear el md5 (en esto último estoy poco puesto la verdad de si sigue seguro ese algorítmo).
#22 ¿has leido el artículo? El PIN se lo han mandado por carta y le han mandado el que tenía, escrito en claro en la carta, no le han mandado un hash ni le han dicho "es el mismo"
En Bankia a mí me dejaron boquiabierto cuando para verificar una operación por teléfono pidieron el número de la tarjeta de crédito y el código pin.
¿Vamos a ver, pero no dicen que eso nunca te lo van a pedir? Pues resulta que lo que no hacen es pedirlo ellos sin motivo, pero sí tú solicitas una operación (como activar las operaciones por internet), al ser tú el que lo solicitas, te lo piden para comprobarlo
Voto sensacionalista por lo siguiente: en el supuesto caso de que tuviera razón el articulo y te sacaran el dinero,aun así, con todo y con eso, no pasaría nada, porque el BBVA cubre el 100% de la tela que te mangan sí o sí, sea el importe que sea. A mi el BBVA me cubrió 3.000 euros cuando me duplicaron la tarjeta. Y supongo que el BBVA y todos.
Sobre el "cifrado irreversible". El código pin de tu tarjeta son cuatro dígitos de 0 a 9 con lo que se pueden codificar 10.000 números pin diferentes. Generar todos los hashes de todos los posibles pines para comparar cuál coincide con el tuyo y obtener así tu clave original no tarda 10 años, sino aproximadamente 0,1 milisegundos.
Para que tardase 10 años en un ordenador de estar por casa, el número pin debería tener 16 dígitos o más.
Para que el mayor súperordenador del mundo de la lista del top500 actual (en Japón) tardase 10 años, el pin debería tener 23 dígitos.
Un pin son 4 dígitos -> 10.000 números posibles. Calcular el md5 de 10.000 números se hace en un plis, por lo que no tiene sentido cifrar esa información.
Y vamos, que calcular el md5(sha(md5(pin))) llevaría un poco más de tiempo, pero poco más que un abrir y cerrar de ojos.
editado:
por si a alguien le interesa probarlo en python:
import md5
for i in range(10000):
num = str(i)
print num + ": " + md5.new(num).hexdigest()
No es tan grave que la carta no sea certificada, luego para activarla necesitas datos que solo tu conoces. Las cartas certificadas también pueden ser un poco incordio si no hay nadie en casa para recogerlas.
#8 Parece ser que en el caso del BBVA para activarla no te piden ninguna información identificativa, con seguir las instrucciones que te da la máquina por teléfono es suficiente. Pero vamos es que lo del PIN es de traca. Lo normal es que si la pierdes te generen una clave nueva y si quieres ya la cambias tú a la que tenías antes o a cualquier otra.
Comentarios
No solo no es seguro, sino que además tiene unas manera de pedir las cosas un tanto peculiares.
Verano de 2006.Me quiero comprar una cámara de fotos.Voy al banco a sacar dinero en mano para comprármela.Me dicen que no existe una cuenta a mi nombre.
¿Como?
La chica me lo repite:"Ni por su nombre ni por su DNI me aparece cuenta alguna asignada a usted.Usted no tiene cuenta aquí".
Imposible Ja!Pero si me llegan los recibos a mi casa!Amos, tengo dinero desde la Comunión, de todos los Reyes, no me jodas,de mis ahorros de toda la vida de dios...
La chica de malos modos me dice: "Traigame su recibo entonces".
Vuelvo a casa, suerte que estaba en la misma localidad.Recojo el recibo y mientras vuelvo a la sucursal detecto cargos de 60 Euros en mi contra:"Comisiones de operación de cuenta".
¿Peroestoquecojo..?
La mala leche en aumento por momentos: La inutil del BBVA dice que no tengo ni dinero, ni cuenta, ¿y encima me están cobrando 60 euros?...
Llego a la sucursal y me dice que la titular de esa cuenta es mi madre y no yo.Que el sistema le indica que hay un bloqueo y tengo que ir a la oficina de emisión..
Me voy corriendo a toda velocidad a la dichosa oficina, y me dicen lo siguiente:
"Al cumplir los 18 años su cuenta de ahorro ha sido bloqueada ya que le solicitamos el DNI y usted no lo ha traido a la oficina.Por su seguridad le hemos bloqueado la cuenta".
Me quedo de una pieza: ¿Por mi seguridad?¿Quitarme de la co-titularidad de una cuenta es seguridad?
Extrañado les pregunto que cuándo me han solicitado dicha información y cómo lo han hecho.
La respuesta: Correo ordinario.En el 2001(5 años!!).
Yo irónicamente le pregunto: ¿Así pues la seguridad de este Banco se basa en correo ordinario?
La chica, subdirectora, sonríe la jodida.
-¿Así pues se tiran 5 años con un problema de seguridad bloqueandome una cuenta y no avisan?
La chica no sabe donde meterse y me pide que baje la voz.La gente en la cola nos mira y murmura algo de "menuda verguenza de bancos"...
Pero lo peor estaba por llegar...
-¿Cuando me desbloquea la cuenta?
Me dice que hasta el Lunes nada. Mala ostia increscendo..ya se estaban enterando hasta las cajeras.
Pero lo peor no habia llegado...
De pronto caigo en el detalle de esos 60 euros que me están cobrando semestralmente.La chica muy maja me dice:"Cuando en una cuenta no se realizan movimientos de depósitos o retirada de efectivo durante 6 meses, se cobra una comisión de 60 euros".
En ese momento entiendo la cara de culpabilidad, resulta que los muy ca-bro-nes me han bloqueado la cuenta, los muy in-de-cen-tes no avisan del bloqueo de la misma, los muy des-gra-cia-dos me impiden hacer ningun tipo de entrada y salida, y encima me cobran por el resultado de dicho bloqueo!!
Así se lo digo, así se enteraron todos los de la oficina.
¿"Comisión de operación de cuenta"?¿Por qué no me decís algo del estilo "Comisión por bloqueo de cuenta"?¿Por qué no me avisáis de que mi cuenta está bloqueada desde hace 5 años?Tiene huevos, le dije.
Me marché por la puerta.
El Lunes volví con una denuncia de la policia y una carta exigiendo no solo el dinero ilegalmente cobrado sino además todos sus intereses. Y el desbloqueo inmediato de la cuenta. No le pedí el Mercedes que iban a sortear con el libretón en compensación de puro milagro...
2 días más tarde tenía todo en la cuenta.
1 minuto después me lo llevé a la caja de ahorros de enfrente.
#0 Si, seguro que es un banco.
#1
#2 Quizás os sea de interés ver este post, que ya salió en la portada de meneamé hace un par de semanas o así... http://libertadparacrear.com/2011/11/07/la-informacion-que-falta-en-los-cajeros/
Trabajo en el departamento de bloqueos de una importante entidad bancaria y lo que dice este post es mas o menos como funcionan la mayoría de las entidades respecto a tarjetas y los fraudes por este tipo son anecdóticos, y en el 99 % de los casos que se han llegado a registrar fraudes, son por que el usuario no ha sido cuidadoso con su PIN.
En el caso que se refiere el post os digo la operativa que se sigue cuando ocurre un incidencia de ese tipo:
Un cliente llama al SAT de un banco cualquiera y dice: He perdido o me han robado la tarjeta de crédito o débito.
Primer paso: Tarjeta bloqueada y emisión de una nueva si lo pide el cliente, en este caso el cliente tiene que pasar una política de seguridad y confirmar el domicilio que refleja la base de datos. La tarjeta se envía operativa y con el mismo nº PIN si el cliente no indica lo contrario. Nadie puede tener acceso al PIN, el PIN solo se facilita en oficina física y en sobre ciego.
Segundo paso: Se emite la tarjeta QUE CAMBIA DE NUMERACIÓN.
Tercer paso: No llega la tarjeta o la roban del correo. Si no tienen el PIN, no suelen poder realizar compras. Si la tarjeta es visa, para compras por internet lo normal es usar una clave de validacion, dependiendo de la entidad. (codigo al movil, firma electronica, etc)
Cuarto paso: Alertas. En toda entidad financiera se rastrean, se comprueban y saltan alarmas por "actividades sospechosas de fraude" desde operaciones con poco margen entre IPs distintas hasta compras "extrañas"
Total, que es prácticamente imposible cometer fraude hoy en dia con una tarjeta de crédito y que se pasen todos los controles sin que pase nada.
De ser así se pasan la LOPD por el forro . Hace un par de años a mi cuñada los de Kutxa le mandaron por carta la tarjeta ya ACTIVADA y total que le robaron la carta e incluso usaron su tarjeta. Aunque bueno, el mangante que la utilizó no cayó en que le pillarían por la dirección de destino de todo lo que pidió.
#4 Menudo retrasado, suerte tuvo que no le tocó alguien con mas cabeza.
#4 That's suspicious. Por si acaso sometería al detector a tu cuñada. Nunca se sabe.
No es por defender al BBVA, pero un PIN de 4 dígitos (lo típico en las tarjetas) no se puede almacenar de manera segura cifrandolo con funciones resumen.
Entonces, total, para guardarlo de manera insegura, lo guardan en claro, que desde el puntod e vista de seguridad va a ser lo mismo. Otro tema es que la LOPD obliga a no guardarlo en claro sirva o no sirva para algo.
El problema que le veo es que aunque guarden el PIN con una función resumen es trivial probar las 10000 combinaciones, se use o no una sal para el cifrado.
Como mucho se podría cifrar las hashes o el propio PIN con un algoritmo simétrico con una cotnraseña fuerte que sepa el banco. En este caso, mientras la contraseña no se filtre los PINs están seguros, pero eso si, el banco puede recuperar el PIN y imprimirlo y mandarlo por correo como se cuenta en el artículo...
El articulo comete un error de base. Supone que toda la seguridad de una tarjeta está en conocer el PIN de la misma. En el supuesto que cuenta no es así.
Supongamos que un mega Hacker le roba a VISA (REDSYS) (que no al Banco) los PINs de las tarjetas. Para poder operar necesita el PAN (que el numero largo de la tarjeta), la caducidad y el CVV (el numerito impreso detrás)
Supongamos que el Hacker es la leche y lo pilla todo. Pues se dan estos caso:
- NO puede sacar dinero del cajero porque no tiene físicamente el plástico
- NO puede comprar en un establecimiento por lo mismo.
- SOLO puede entrar en las cuentas de los clientes para consultar pero no puede operar porque no tiene la Clave de Operaciones ni un teléfono móvil o tarjeta de coordenada valida.
- SOLO puede comprar por internet. Pero solo en algunos casos
1) Puede comprar en Tiendas virtuales sin seguridad extra... Normalmente esto está reservado a entradas de cine y teatro.
2) En los comercios con Tiendas virtuales seguras, ademas del PIN requieren códigos de validaciones extras como la Tarjeta de Coordenadas, Movil o el CIP (Codigo de comercio seguro)
Conclusion: un Hacker que sea capaz de la base de datos de VISA (REDSYS) se puede "hartar" de ir al cine. Lo más seguro es que lo terminen pillando en la puerta.
#34 Conozco muchas webs que no solicitan CES, luego, RedSYS no incluye a Euro6000, y no se que tiene que ver eso con el problema que se plantea en el post.
Es un incumplimiento de la LOPD. A interflora le metieron un puro por algo así.
Yo tengo que decir a favor de la BBK, que el año pasado me fui a Alemania unos meses, y las primeras semanas hice mucho gasto con tarjeta, me llamaron para comprobar que era yo la que estaba haciendo las compras, desde el dpto de seguridad del Banco.
No sólo el BBVA manda las tarjetas por correo ordinario, la caixa también lo hace... así que será costumbre de todos por lo que parece.....:S
#9 a mi BBVA me las hace llegar por sucursal, en la vida he conocido a alguien que le llegaran por correo (hasta ahora).
Caixagalicia da a elegir entre sucursal o domicilio e iBanesto te la manda a casa desactivada.
#8 #9 El tema va más allá del envío de la carta, si no de que el PIN de la tarjeta está guardado sin cifrar (aun cuando en la web dicen que sí), además de que para activar la susodicha no hace falta ni introducir el DNI, con llamar y dar el número basta.
(He aquí el resumen de la noticia )
He trabajado en la informática de dos bancos y te confirmo que el PIN no se guardaba en plano, por lo menos en estos 2 se guarda una cifra llamada offset y se aplica la clave criptografica a esta cifra y otros datos de la tarjeta para obtener el PIN.
No es un riesgo ya que mientras la clave criptografica no sea publica no hay peligro y creeme, estan muy muy protegidas, fliparias con lo que hay que hacer para conseguir una nueva o para instalarla en un CPD.
#0 Aún cumpliendo el cifrado de claves podría ser que supiesen tu PIN porque no habrías cambiado en ningún momento el que te suministraron con la tarjeta original. De haberlo cambiado quizá te hubiesen suministrado un PIN nuevo para la nueva tarjeta.
Un poco chorras el artículo: por mucho que usen funciones de un solo sentido, el PIN es un número de cuatro cifras. Eso se rompe con nada.
Un poco Offtopic: Siempre me ha parecido que lo de los 4 números de PIN es un poco una falsa medida de seguridad. Vale para los cacos de poca monta de la calle, pero un tipo que sepa de seguridad, cifrados, etc,... dudo mucho que se le resistan hoy en día 4 números. Es un poco como el cinturón de seguridad de los aviones
#14 ¿Y no has oído hablar nunca de una cosa llamada número de intentos?
#21 Me refiero un tipo que pudiera entrar en una base de datos, como lo que se quejan en esta noticia. En un cajero está claro que tus 4 numeritos son medianamente seguros, siempre que el de al lado no eche un simple vistazo !
Esta noticia es un tanto errónea, con el PIN por si sólo no pueden hacer nada, incluso sabiendo cual es el número de la tarjeta.
- Si realizas una compra por internet debes introducir previamente el CVV (que aparece en la parte trasera de la tarjeta) y la fecha de caducidad.
- Si quieres hacer una transferencia, contratación, etc, a través de la web de tu banco, necesitarás una contraseña adicional conocida como "contraseña de operaciones" y desde hace un tiempo, te obligan también a proporcionar un código aleatorio que recibess en el movil.
Un banco seguro que es.
El artículo es efectivamente un poco chorra. Si alguien accede a su sistema y roba datos, tu nunca perderas tu dinero, puesto que ellos son los únicos responsables de la seguridad del sistema(a menos que seas tan lelo como para escribir tu pin detras de la tarjeta) así que por la cuenta que les trae es seguro.
#13 No te flipes tanto, atacar la libertad de expresión sería borrar comentarios. Los negativos solo los ocultan, pero ahí están disponibles para quien los quiera leer y para el que quiera obsequiar al autor con mas negativos.
#17 Claro, pero no solo se ocultan: Con tu negativo quitas kharisma al usuario y este pasará una buena época en la sombra solo por dar su opinión.
También le impides rápidamente publicar notas.
Si quieres engañarte: Adelante.
#19 Muchos negativos tienen que ponerte para eso: si pierdes tanto karma como para no poder comentar... es que eres un troll
#25 Eso no es cierto. Solo con manifestar tu opinión, si esta es contraria a la del hilo serás censurado por unos dias. Te lo sigo diciendo: Si tu quieres creer eso, adelante: engañate.
En España no pasa nada....
¿Pero es que ha salido la actualización hace poco o nadie se la ha leido?
Ningún banco es seguro, excepto, tal vez y sólo tal vez, los bancos cooperativos.
No tiene sentido mandar una carta con el PIN antiguo. Si ya lo sabias, es solo dar oportunidades para que te lo pillen.
Lo que no es seguro es el sistema monetario, así los bancos...
Creo que la gente se está calentando mucho con este tema cuando hay varias formas de que puedan hacerle decir que es el antiguo PIN y este no sea conocido por los empleados:
1 Que en la base de datos de clientes del BBVA se agregue en el registro del cliente la nueva tarjeta y quede asociada con la antigua clave de la tarjeta dada de baja.
2. O simplemente copiar el hash del md5 en en el campo correspondiente al PIN en el registro de la nueva tarjeta, al fin y al cabo es una cadena de carácteres aparentemente inconexos que el código maneja a través de una función que la desencripta para compararla con el pin marcado en un cajero automático p.e., el administrador de la base de datos podría hacerlo si alguien consiguiera hackear el md5 (en esto último estoy poco puesto la verdad de si sigue seguro ese algorítmo).
#22 ¿has leido el artículo? El PIN se lo han mandado por carta y le han mandado el que tenía, escrito en claro en la carta, no le han mandado un hash ni le han dicho "es el mismo"
Es espeluznante, a mí me ocurrió lo mismo.
En Bankia a mí me dejaron boquiabierto cuando para verificar una operación por teléfono pidieron el número de la tarjeta de crédito y el código pin.
¿Vamos a ver, pero no dicen que eso nunca te lo van a pedir? Pues resulta que lo que no hacen es pedirlo ellos sin motivo, pero sí tú solicitas una operación (como activar las operaciones por internet), al ser tú el que lo solicitas, te lo piden para comprobarlo
Voto sensacionalista por lo siguiente: en el supuesto caso de que tuviera razón el articulo y te sacaran el dinero,aun así, con todo y con eso, no pasaría nada, porque el BBVA cubre el 100% de la tela que te mangan sí o sí, sea el importe que sea. A mi el BBVA me cubrió 3.000 euros cuando me duplicaron la tarjeta. Y supongo que el BBVA y todos.
Menuda tosta de articulo...
¿BBVA reclamará el coste de esa tarjeta a Valve?
Sobre el "cifrado irreversible". El código pin de tu tarjeta son cuatro dígitos de 0 a 9 con lo que se pueden codificar 10.000 números pin diferentes. Generar todos los hashes de todos los posibles pines para comparar cuál coincide con el tuyo y obtener así tu clave original no tarda 10 años, sino aproximadamente 0,1 milisegundos.
Para que tardase 10 años en un ordenador de estar por casa, el número pin debería tener 16 dígitos o más.
Para que el mayor súperordenador del mundo de la lista del top500 actual (en Japón) tardase 10 años, el pin debería tener 23 dígitos.
Esto que se comenta en este artículo es absurdo.
Un pin son 4 dígitos -> 10.000 números posibles. Calcular el md5 de 10.000 números se hace en un plis, por lo que no tiene sentido cifrar esa información.
Y vamos, que calcular el md5(sha(md5(pin))) llevaría un poco más de tiempo, pero poco más que un abrir y cerrar de ojos.
import md5
for i in range(10000):
num = str(i)
print num + ": " + md5.new(num).hexdigest()
Aquí está el link al que me refería... La información que falta en los cajeros
La información que falta en los cajeros
libertadparacrear.comNo es tan grave que la carta no sea certificada, luego para activarla necesitas datos que solo tu conoces. Las cartas certificadas también pueden ser un poco incordio si no hay nadie en casa para recogerlas.
#8 Parece ser que en el caso del BBVA para activarla no te piden ninguna información identificativa, con seguir las instrucciones que te da la máquina por teléfono es suficiente. Pero vamos es que lo del PIN es de traca. Lo normal es que si la pierdes te generen una clave nueva y si quieres ya la cambias tú a la que tenías antes o a cualquier otra.
El autor de este blog es maricón, comunista, ateo y ha abortado en repetidas ocasiones, no pienso leer ni menear nada de ese puto calvo de mierda.