El empleado de tienda de operadora, el eslabón más débil ante el SIM swapping. Una vez el usurpador de identidad tiene acceso a una SIM asociada a nuestro teléfono móvil, y ya conoce nuestro DNI, tiene vía libre para acceder a nuestra banca digital pidiendo el restablecimiento de la contraseña, vía SMS. El SMS como principio y como final. [..] Mejores herramientas que los SMS o una doble verificación humana para pedir un duplicado
#2:
Recordad que del dinero que hay en el banco el responsable de la seguridad es el banco.
Si éste decide que con sus tarjetas se puedan gastar 20€ sin poner ningún tipo de PIN ese es un riesgo que está asumiendo el banco, porque considera que los riesgos que asume le compensan con las comisiones de más que aspira a conseguir al facilitar el servicio.
Y si el banco decide que una contraseña y un SMS es suficiente para aprobar una transferencia a otra cuenta ese es un riesgo que está asumiendo el banco, porque considera que los ahorros en oficinas y trato personal con el cliente le supone suficientes ahorros para asumir ese riesgo. Y por que cree que facilitando de esa forma las operaciones conseguirá más clientes y podrá obtener beneficios de ello.
Todo eso son riesgos que asume el banco. Y es que éste tiene una deuda contraída con el cliente que le ha entregado dinero y solo puede reducirse esa deuda entregando dinero a ese mismo cliente a su petición o traspasándolo a otra cuenta siempre que el cliente lo haya solicitado.
Alguien que ha clonado una SIM no es el cliente, por lo que el banco no puede reducirse su deuda con el cliente por llevar a cabo operaciones ordenadas por quien haya clonado una SIM y robado credenciales.
#14:
#1 Pero una vez que se ha roto la seguridad, ¿qué te impide instalar una aplicación en otro teléfono? Quiero decir que la huella digital no es una identificación biométrica con respecto al banco, lo es con tu teléfono. El ladrón instalará la app igual que lo haces tú y listo...! Bajo mi punto de vista todo ese tinglado produce una sensación falsa de seguridad más perjudicial que otra cosa.
#25:
#13 Tengo un caso en un cliente que tienen una reseña en el pasaporte que no tiene huellas dactilares. Ni una. Plano. Imposible registrarlo en sistemas biométricos.
Era colombiano.
No quise saber más.
#11:
Es una pena que en España no tengamos un token criptográfico con capacidad NFC en la cartera.
#13:
#4 Los datos biométricos no deberían usarse nunca como contraseña, sino como simple identificador.
Los datos biométricos no son revocables. No te puedes cambiar la huella del dedo ni te puedes cambiar la cara (bueno, poder puedes, pero te sale caro y/o duele).
#9:
#1 el problema es que se puede pedir un nuevo pin usando el sms.
#7:
#4 la antigua tarjeta de coordenadas era hasta mas efectiva, sin tanta parfernalia. Piensa en un portatil o en un ordenador de sobremesa.
#15:
No entiendo como los bancos no nos dejan usar aplicaciones como el Google Authenticator o un token USB/NFC para autenticar pagos.
#23:
#2 Puedo garantizar que en caso de dos clientes a los que les levantaron 175.000€ y 60.000€ las entidades bancarias corrieron con la reposición de los fondos.
Era una estafa sofisticada, eso sí.
#1:
En mi caso no es posible, mi banco no usa SMS para validación de operaciones, sino una aplicación propia en el móvil, que autentifica con la huella digital.
Recordad que del dinero que hay en el banco el responsable de la seguridad es el banco.
Si éste decide que con sus tarjetas se puedan gastar 20€ sin poner ningún tipo de PIN ese es un riesgo que está asumiendo el banco, porque considera que los riesgos que asume le compensan con las comisiones de más que aspira a conseguir al facilitar el servicio.
Y si el banco decide que una contraseña y un SMS es suficiente para aprobar una transferencia a otra cuenta ese es un riesgo que está asumiendo el banco, porque considera que los ahorros en oficinas y trato personal con el cliente le supone suficientes ahorros para asumir ese riesgo. Y por que cree que facilitando de esa forma las operaciones conseguirá más clientes y podrá obtener beneficios de ello.
Todo eso son riesgos que asume el banco. Y es que éste tiene una deuda contraída con el cliente que le ha entregado dinero y solo puede reducirse esa deuda entregando dinero a ese mismo cliente a su petición o traspasándolo a otra cuenta siempre que el cliente lo haya solicitado.
Alguien que ha clonado una SIM no es el cliente, por lo que el banco no puede reducirse su deuda con el cliente por llevar a cabo operaciones ordenadas por quien haya clonado una SIM y robado credenciales.
#2 y el tiempo que gastas en denunciar, atención al cliente, juicios, etc... A ver quién te lo devuelve.
A mi me duplicaron la tarjeta antes de las NFC y se dedicaron a comprar cosas en un Walmart de Florida, fueron dos mañanas perdidas entre banco, comisaría, banco... Para recuperar los 500-600€ que les dio tiempo a estafar
#85 Te dije que tenías que esperar a que te saquen más plata para que todo el trajin que hiciste esté justificado. Es OBVIO que eso no es un comentario en serio.
#86 para ti es obvio. Yo he visto casos de gente víctima de estafas que aconsejados por abogados poco escrupulosos recomendaron dejar que engordase la bola para reclamar a las entidades financieras daños morales y tratamientos psicológicos. Trabajé un par de años en ese tema...
#2 se han dado casos de gente a la que han llamado haciéndose pasar por el banco, han dado el código que les llegaba por mensaje y les han dicho que era culpa suya por haberlo revelado...
Así que han tenido que asumir el robo.
#10 pues mis indagaciones no han llegado hasta ahí. Pero mi idea es precisamente no llegar a juicio. Sobre todo contra un banco, que seguramente tengan más pasta y medios que yo para defenderse.
#22 Por lo tanto tus casos anecdóticos solo nos indican que el banco no quiere hacerse cargo del robo y prefiere que lo haga el cliente. Lo cual en realidad no nos aporta nada útil.
La idea no debe ser no llegar a juicio sino que lo que ocurra sea justo, y si no lo es pues llegar a juicio para que lo sea.
#26 yo confirmo un caso similar al que comenta #8, pasó en mi empresa.
El banco devolvió la parte que cubría el seguro y la otra parte no la devolvió alegando que deja muy claro en las condiciones que nunca debes dar el código que llega por SMS a un empleado, aunque lo solicite.
Ha habido denuncia, pero tras más de dos años no ha sido resuelta (pandemia por en medio)
El fraude fue más complejo y no hubo sim swapping) fue un cambio en el archivo hosts para redirigir a una web del banco fake en la que aparecían unas transferencias que no se habían hecho, lo que provocó el pánico del empleado que llamó al número fake que aparecía en la página, en la que le dijeron que iban a retroceder las transferencias, y que le iba a llegar unos SMS para confirmar los retrocesos y que se los cantara al empleado del banco del teléfono para ejecutarlos.
Realmente fue en ese momento cuando se realizó el robo. El empleado pensaba que le estaban devolviendo el dinero (en el SMS aparecía el importe), pero ahí se lo estaban robando.
Ingeniería social y un bot que se encarga de cambiar archivos hosts a tutiplen. Lo tienen hasta automatizado.
#60Ha habido denuncia, pero tras más de dos años no ha sido resuelta (pandemia por en medio)
Te agradecería que cuando se resuelva comentes la resolución, me interesa conocer el desenlace (respondiendo a este comentario si aún está abierto o bien en una nota citando mi apodo).
Lo que por ahora tenemos es lo mismo que teníamos antes, un banco que prefiere que el robo que han sufrido lo asuma el cliente.
#8 El banco tendría que demostrar que unos chorizos te llamaron y que tú les diste esos datos. Mientras no lo reconozcas tú, veo muy difícil probar eso.
#6 Yo también he escuchado esa historia. Y me parece normal que el banco no se haga cargo; si el cliente comparte sus claves de forma voluntaria, cómo sabe el banco que no está compinchado con el ladrón? Me das tus credenciales y me saco un pellizco? Total, el banco te lo va a devolver.... verdad?
#80cómo sabe el banco que no está compinchado con el ladrón
De la misma forma que el cliente no sabe si el banco está compinchado con el ladrón.
Corresponde al banco o a los cuerpos policiales o a la justicia el demostrar con pruebas que el cliente es el ladrón o está compinchado con éstos. No se le puede presuponer ese delito solo porque al banco no le venga bien asumir el robo que ha sufrido.
Y me parece normal que el banco no se haga cargo
A mí me parece normal que el banco no se quiera hacer cargo y prefiera que lo asuma el cliente, pero eso no significa que no deba asumirlo.
Por ahora nadie ha aportado ninguna sentencia judicial en la que se haya dictaminado que debe asumirlo el cliente, tenemos por un lado unas anécdotas de gente que posiblemente haya aceptado la posición del banco sin ir a juicio y otro caso en el que la denuncia está puesta pero aún no resuelta.
#5 Sin ánimo de meterme en debates interminables, #6 tiene razón, si lo dejas así ese caso es "el amigo de un amigo me dijo". Si no tienes al menos una fuente, lo más seguro es que como denuncies te den la razón, aún así, también entendería que si vas a darle tu mismo los datos a un ladrón, cualquier media de seguridad va a ser insuficiente.
#92también entendería que si vas a darle tu mismo los datos a un ladrón, cualquier media de seguridad va a ser insuficiente.
Que tenga que ir el titular a la oficina y mostrar su DNI y firma al personal de esa oficina es suficiente para que un ladrón no pueda operar con datos de la víctima.
No hacerlo le supone ahorros al banco y evita molestias al titular, son riesgos que asume el banco en cuanto a la seguridad de su capital. Y es que si el banco decide que el cliente debe presentarse a la oficina y mostrar su DNI y firmar para retirar fondos está en todo su derecho de hacerlo y el cliente no puede negarse. Si el banco decide no hacerlo es porque no le interesa al banco.
#5 No te voy a llevar la contraria porque no se hasta donde ha llegado el tema, pero los casos que yo conozco por haber salido en prensa, están en juicio con con el banco.
Y es que los casos he leído yo, el número de teléfono desde el que se realizaban las llamadas era el oficial del Banco.
#2 Puedo garantizar que en caso de dos clientes a los que les levantaron 175.000€ y 60.000€ las entidades bancarias corrieron con la reposición de los fondos.
Era una estafa sofisticada, eso sí.
#53 Eso no es posible, a quién estarías estafando es al banco, tú serías el ladrón y el banco la víctima. Según fuera la cuantía estafada estarías cometiendo un delito.
#2 Aunque a ti te pueda generar molestias, incluso en casos extremos pérdidas, lo que dices es cierto. Tampoco tendría sentido joder totalmente la usabilidad exigiendo un pin de 24 caracteres aleatoria que cambies cada semana, y al final seguramente sería contra producente.
En todo caso, lo del SMS la verdad es que tiene lo suyo y debería mejorar.
#33#37 Creo que Kutxabank cambio de la tarjeta de barcos/cuadricula, a contraseñas por SMS. Podrian dar a elegir al usuario. #15 Deberia haber una aplicacion de Sofware libre, para operar con los bancos. Asi no tienes una aplicacion para cada banco. Luego para cada banco se guardan unos driver para el protocolo y los certificados y contraseñas necesarios.
Además podria ser auditada por si tiene algun fallo o espia. Tambien podria servir para centralizar un registro de los movimientos y hacer backup de la info de la cuenta o tener avisos, etc.
#46 si los bancos se pusieran de acuerdo en usar la misma API. Podrías tener múltiples aplicaciones que valgan para todos los bancos, al igual que ahora hay múltiples gestores de correo que te valen para cualquier correo.
En mi caso no es posible, mi banco no usa SMS para validación de operaciones, sino una aplicación propia en el móvil, que autentifica con la huella digital.
#1 Pero una vez que se ha roto la seguridad, ¿qué te impide instalar una aplicación en otro teléfono? Quiero decir que la huella digital no es una identificación biométrica con respecto al banco, lo es con tu teléfono. El ladrón instalará la app igual que lo haces tú y listo...! Bajo mi punto de vista todo ese tinglado produce una sensación falsa de seguridad más perjudicial que otra cosa.
#1#14 PS. Aparte de que usar una huella como identificación contraseña biométrica tampoco sería buena idea, pero eso es otro tema... #21 Llego tarde: ¡Es lo que quería decir!
#24 Realmente depende, un PIN en sí mismo tampoco es buena idea, pero al final funciona en la gran mayoría de los casos sin mayores problemas. A mi me parece una mezcla de seguridad y comodidad razonable, pero efectivamente tiene sus problemas.
Por ejemplo, si estás dormido o inconsciente, se puede aprovechar de tu huella, aunque eso requiere estar en una situación muy particular.
#14 creo que #1 se refiere a bancos como Caixabank, ya te digo yo a ti que lo de Caixa es mucho más difícil de conseguir configurar en otro móvil, ya es un coñazo cuando uno cambia de móvil pues... Porque es una app aparte (Caixabank Sign) que para configurarla te pide no sólo SMS sino que te manda un e-mail al correo que tengas registrado y ahí tienes que pinchar un enlace en el que tienes que meter de nuevo las credenciales y te da un código que tienes que meter en el Sign para completar el proceso. Un rollo vamos jaja, digo que sería más difícil porque el ladrón tendría que tener también acceso a tu correo.
#35#44 no basta con una huella o un dedo, el móvil tiene que detectar pulso y electricidad estática en el dedo. No crean que los bancos permiten cualquier cosa, los móviles cada vez más tienen que cumplir la normativa PCI-DSS.
#21 error. A ver, está explicado más arriba pero lo explico aquí. La autenticación con huella es contra tu móvil no contra el banco. A ver, el proceso es el siguiente: instalas la app, y entras con tu contraseña, y le dices a la app que si que quieres usar la huella, pues encontonces la app le dice al móvil que guarde la contraseña con la huella, y el móvil te pide la huella para poder guardar la clave en un chip "seguro" en el móvil, el cual solo es accible cuando pones la huella. Cuando abres la app de nuevo, esta no tiene la contraseña de acceso, entonces le dice al móvil que la saque del chip y el móvil te pide la huella para poder acceder a la clave guardada en el chip, entonces la app ya tiene la clave y la usa para autenticarte sin tener que pedirte que vuelvas a entrar escribiendo el usuario y contraseña del primer paso.
Bueno, pues en el primer paso: te instalas la app y accedes con tu usuario y contraseña, es donde entra el SMS, le das a perdí la contraseña y el banco te manda una por SMS para que la puedas cambiar.
#1 Yo tengo banco en Espana e Inglaterra, el de Espana solo pide el codigo de entrada y listo, que efectivamente se puede restablecer si tienes la tarjeta SIM asociada.
El de inglaterra te pide la tarjeta SIM y ademas un codigo aparte, personal para todas las transferencias.
#33 No sé qué banco tienes, pero los dos que yo tengo en España me piden eso. Si alguien me duplica la sim podría ver todo lo que tengo pero no hacer transferencias, ya que tengo que usar un pin diferente.
#37 claro que podría, solicitando al banco un nuevo pin,cosa que normalmente puede hacerse por teléfono con los datos que dispone el chorizo de la operadora/tienda que ejerce el simswapping
#40 No, para poder cambiar esa contraseña tienes que ir al banco físicamente o sino te mandan una carta a casa varios días después, y solo se puede cambiar la dirección con esa contraseña, así que no se puede falsificar.
Para poder cambiar la contraseña de transferencias tienes que tener al enemigo en casa.
#33 el código/clave a parte se puede poner como obligatorio para todas las operaciones por ejemplo en OpenBank. La pena es que no venga habilitado por defecto para cambio de claves por ejemplo.
#52 y no tanto, un familiar tiene un móvil de los antiguos porque los modernos no son lo suyo, llamar, SMS y poco más, nada de aplicaciones móviles, pero bueno es una excepción, no usa tarjetas ni banca electrónica.
Mucho mejor que tomar medidas para que no sea tan fácil duplicar tarjetas sim sería que el banco pidiese autentificación mediante huella digital o reconocimiento facial antes de cualquier operación.
#7 la tarjeta de coordenadas esta muerta con la poliferacion de los smartphone y el WhatsApp. Haciendo fotos de la tarjeta y pasándola por WhatsApp a la pareja.
#7 las tarjetas de coordenadas se prohibieron, tengo entendido que porque el algoritmo de generación de los números no era del todo aleatorio, o algo así. Entonces puede ser que alguien teniendo una o varias posiciones pudiera generar la tarjeta entera.
#4 Los datos biométricos no deberían usarse nunca como contraseña, sino como simple identificador.
Los datos biométricos no son revocables. No te puedes cambiar la huella del dedo ni te puedes cambiar la cara (bueno, poder puedes, pero te sale caro y/o duele).
#13 Tengo un caso en un cliente que tienen una reseña en el pasaporte que no tiene huellas dactilares. Ni una. Plano. Imposible registrarlo en sistemas biométricos.
Era colombiano.
No quise saber más.
#67 Si ya lo ha dicho, no se trata de ser discreto, se trata de que si físicamente no tienes huellas, pues tiene que quedar anotado para obrar en consecuencia (verificar su identidad de manera alternativa ¿cuál? Ni p idea)
#25#67 Así como dice #71, seguramente se trata de que no tiene huellas, pueden pasar muchas cosas, accidentes, enfermedades, o que, por ser brutos, un cocodrillo te haya arrancado ambos brazos.
#66 El funcionario de control de fronteras le da cinco estrellas. "Muy colaborador. Lo metimos en el cuarto de registro cinco horas, lo desnudamos y ni una queja. Lo inspeccionaría de nuevo".
Tengo una duda/curiosidad... hay cierta entidad bancaria que, con su cuenta online, ofrece una tarjeta de débito que varía en cada operación su numeración y CVV, ¿esa característica la hace más segura que una prepago?
#81 Yo tengo una de esas. En teoria es mas segura porque el CCV es aleatorio para cada operacion ... aunque, por otro lado, tambien la puedes registrar en comercios tipo Amazon o Aliexpress para seguir haciendo pagos como si nada ... y no me da buena espina eso. Cuando pagas en un comercio que no sea Amazon es un coñazo andar buscando los datos necesarios en la app del banco, pero bueno, todo sea por la seguridad.
Ah!, tampoco trae el numero ni la fecha de caducidad impresos en la tarjeta
Comentarios
Recordad que del dinero que hay en el banco el responsable de la seguridad es el banco.
Si éste decide que con sus tarjetas se puedan gastar 20€ sin poner ningún tipo de PIN ese es un riesgo que está asumiendo el banco, porque considera que los riesgos que asume le compensan con las comisiones de más que aspira a conseguir al facilitar el servicio.
Y si el banco decide que una contraseña y un SMS es suficiente para aprobar una transferencia a otra cuenta ese es un riesgo que está asumiendo el banco, porque considera que los ahorros en oficinas y trato personal con el cliente le supone suficientes ahorros para asumir ese riesgo. Y por que cree que facilitando de esa forma las operaciones conseguirá más clientes y podrá obtener beneficios de ello.
Todo eso son riesgos que asume el banco. Y es que éste tiene una deuda contraída con el cliente que le ha entregado dinero y solo puede reducirse esa deuda entregando dinero a ese mismo cliente a su petición o traspasándolo a otra cuenta siempre que el cliente lo haya solicitado.
Alguien que ha clonado una SIM no es el cliente, por lo que el banco no puede reducirse su deuda con el cliente por llevar a cabo operaciones ordenadas por quien haya clonado una SIM y robado credenciales.
#2 y el tiempo que gastas en denunciar, atención al cliente, juicios, etc... A ver quién te lo devuelve.
A mi me duplicaron la tarjeta antes de las NFC y se dedicaron a comprar cosas en un Walmart de Florida, fueron dos mañanas perdidas entre banco, comisaría, banco... Para recuperar los 500-600€ que les dio tiempo a estafar
#3 Tendrías que haber esperado que te roben un poco más, así te salía a cuentas.
#47 al revés cuanto mayor la estafa peor. Como fue relativamente poco y por la tarjeta, con eso quedó solucionado.
Si hubiesen pedido un préstamo rápido o contratado líneas móviles para sacar iPhone subvencionado y revender acabas teniendo que it a juicio.
#83 Que respondas seriamente a mi comentario, no habla bien de vos.
#84 tu sabrás si es irónico o no, pero no todo el mundo que lo lee tiene por qué
#85 Te dije que tenías que esperar a que te saquen más plata para que todo el trajin que hiciste esté justificado. Es OBVIO que eso no es un comentario en serio.
#86 para ti es obvio. Yo he visto casos de gente víctima de estafas que aconsejados por abogados poco escrupulosos recomendaron dejar que engordase la bola para reclamar a las entidades financieras daños morales y tratamientos psicológicos. Trabajé un par de años en ese tema...
#87 No. Insisto, habla mal de vos. Saludos.
#88 No podré dormir por el peso de la culpa
#2 se han dado casos de gente a la que han llamado haciéndose pasar por el banco, han dado el código que les llegaba por mensaje y les han dicho que era culpa suya por haberlo revelado...
Así que han tenido que asumir el robo.
#5 ¿Tienes alguna fuente que avale esa atrevida afirmación?
#6 testimonios de conocidos.
Si revelas el código que te mandan por mensaje, el banco no se hace responsable.
Espero que no lo tengas que descubrir nunca.
#8 ¿Eso lo sentenció un juez? ¿O simplemente esos conocidos aceptaron la posición del banco?
#10 ni lo uno ni lo otro...
#10 pues mis indagaciones no han llegado hasta ahí. Pero mi idea es precisamente no llegar a juicio. Sobre todo contra un banco, que seguramente tengan más pasta y medios que yo para defenderse.
#22 Por lo tanto tus casos anecdóticos solo nos indican que el banco no quiere hacerse cargo del robo y prefiere que lo haga el cliente. Lo cual en realidad no nos aporta nada útil.
La idea no debe ser no llegar a juicio sino que lo que ocurra sea justo, y si no lo es pues llegar a juicio para que lo sea.
#26 yo confirmo un caso similar al que comenta #8, pasó en mi empresa.
El banco devolvió la parte que cubría el seguro y la otra parte no la devolvió alegando que deja muy claro en las condiciones que nunca debes dar el código que llega por SMS a un empleado, aunque lo solicite.
Ha habido denuncia, pero tras más de dos años no ha sido resuelta (pandemia por en medio)
El fraude fue más complejo y no hubo sim swapping) fue un cambio en el archivo hosts para redirigir a una web del banco fake en la que aparecían unas transferencias que no se habían hecho, lo que provocó el pánico del empleado que llamó al número fake que aparecía en la página, en la que le dijeron que iban a retroceder las transferencias, y que le iba a llegar unos SMS para confirmar los retrocesos y que se los cantara al empleado del banco del teléfono para ejecutarlos.
Realmente fue en ese momento cuando se realizó el robo. El empleado pensaba que le estaban devolviendo el dinero (en el SMS aparecía el importe), pero ahí se lo estaban robando.
Ingeniería social y un bot que se encarga de cambiar archivos hosts a tutiplen. Lo tienen hasta automatizado.
#60 Ha habido denuncia, pero tras más de dos años no ha sido resuelta (pandemia por en medio)
Te agradecería que cuando se resuelva comentes la resolución, me interesa conocer el desenlace (respondiendo a este comentario si aún está abierto o bien en una nota citando mi apodo).
Lo que por ahora tenemos es lo mismo que teníamos antes, un banco que prefiere que el robo que han sufrido lo asuma el cliente.
#60 hijos de mala madre
#8 pues anda que no hay bancos que el OTP puedes saltartelo...
#8 Es que el banco nunca se hace responsable, hay que obligarle.
#8 El fallo es decirle la verdad a tu banco. Quién te manda contarles que has sido tan estúpido como revelar tu pin por tlf?
Se les dice que has estado todo el día durmiendo y te has levantado sin esa pasta.
#48 pues también es verdad. Eso no se me había ocurrido.
#8 El banco tendría que demostrar que unos chorizos te llamaron y que tú les diste esos datos. Mientras no lo reconozcas tú, veo muy difícil probar eso.
#6 Yo también he escuchado esa historia. Y me parece normal que el banco no se haga cargo; si el cliente comparte sus claves de forma voluntaria, cómo sabe el banco que no está compinchado con el ladrón? Me das tus credenciales y me saco un pellizco? Total, el banco te lo va a devolver.... verdad?
#80 cómo sabe el banco que no está compinchado con el ladrón
De la misma forma que el cliente no sabe si el banco está compinchado con el ladrón.
Corresponde al banco o a los cuerpos policiales o a la justicia el demostrar con pruebas que el cliente es el ladrón o está compinchado con éstos. No se le puede presuponer ese delito solo porque al banco no le venga bien asumir el robo que ha sufrido.
Y me parece normal que el banco no se haga cargo
A mí me parece normal que el banco no se quiera hacer cargo y prefiera que lo asuma el cliente, pero eso no significa que no deba asumirlo.
Por ahora nadie ha aportado ninguna sentencia judicial en la que se haya dictaminado que debe asumirlo el cliente, tenemos por un lado unas anécdotas de gente que posiblemente haya aceptado la posición del banco sin ir a juicio y otro caso en el que la denuncia está puesta pero aún no resuelta.
#5 Sin ánimo de meterme en debates interminables, #6 tiene razón, si lo dejas así ese caso es "el amigo de un amigo me dijo". Si no tienes al menos una fuente, lo más seguro es que como denuncies te den la razón, aún así, también entendería que si vas a darle tu mismo los datos a un ladrón, cualquier media de seguridad va a ser insuficiente.
#92 también entendería que si vas a darle tu mismo los datos a un ladrón, cualquier media de seguridad va a ser insuficiente.
Que tenga que ir el titular a la oficina y mostrar su DNI y firma al personal de esa oficina es suficiente para que un ladrón no pueda operar con datos de la víctima.
No hacerlo le supone ahorros al banco y evita molestias al titular, son riesgos que asume el banco en cuanto a la seguridad de su capital. Y es que si el banco decide que el cliente debe presentarse a la oficina y mostrar su DNI y firmar para retirar fondos está en todo su derecho de hacerlo y el cliente no puede negarse. Si el banco decide no hacerlo es porque no le interesa al banco.
#93 Al banco no le interesa porque al cliente tampoco le interesa...
#5 pues se tomaron su tiempo para cruzar el atlantico y hacer compras en un wallmart de EEUU
#5 No te voy a llevar la contraria porque no se hasta donde ha llegado el tema, pero los casos que yo conozco por haber salido en prensa, están en juicio con con el banco.
Y es que los casos he leído yo, el número de teléfono desde el que se realizaban las llamadas era el oficial del Banco.
#2 Puedo garantizar que en caso de dos clientes a los que les levantaron 175.000€ y 60.000€ las entidades bancarias corrieron con la reposición de los fondos.
Era una estafa sofisticada, eso sí.
#2 Y si te estafas a ti mismo ?
#53 Eso no es posible, a quién estarías estafando es al banco, tú serías el ladrón y el banco la víctima. Según fuera la cuantía estafada estarías cometiendo un delito.
#54 el banco tendría que demostrar que has sito tú, no un tercer estafador, como por ejemplo diciendo que has sido víctima del phising
#2 ya si... pero no
#2 Aunque a ti te pueda generar molestias, incluso en casos extremos pérdidas, lo que dices es cierto. Tampoco tendría sentido joder totalmente la usabilidad exigiendo un pin de 24 caracteres aleatoria que cambies cada semana, y al final seguramente sería contra producente.
En todo caso, lo del SMS la verdad es que tiene lo suyo y debería mejorar.
Es una pena que en España no tengamos un token criptográfico con capacidad NFC en la cartera.
El DNIe es una gran idea infrautilizada
#11 Yubikey. 45€
NFC.
Además puedes alojar certificados electrónicos (FNMT, Administración pública, etc).
Compatible con OTP, etc,etc.
#27 ¿Seguro que puedes alojar certificados? En mi opinión sería un fallo.
La gracia de un token es que es único y no se puede extraer su clave privada.
Uso un pincho USB Fido U2F habitualmente, pero no es de Yubiko
#31 si lo cargas, si. Tiene una zona SmartCard.
El acceso al certificado es con PIN, con lo que es doble factor (algo que tienes y algo que sabes)
No entiendo como los bancos no nos dejan usar aplicaciones como el Google Authenticator o un token USB/NFC para autenticar pagos.
#33 #37 Creo que Kutxabank cambio de la tarjeta de barcos/cuadricula, a contraseñas por SMS. Podrian dar a elegir al usuario.
#15 Deberia haber una aplicacion de Sofware libre, para operar con los bancos. Asi no tienes una aplicacion para cada banco. Luego para cada banco se guardan unos driver para el protocolo y los certificados y contraseñas necesarios.
Además podria ser auditada por si tiene algun fallo o espia. Tambien podria servir para centralizar un registro de los movimientos y hacer backup de la info de la cuenta o tener avisos, etc.
#46 si los bancos se pusieran de acuerdo en usar la misma API. Podrías tener múltiples aplicaciones que valgan para todos los bancos, al igual que ahora hay múltiples gestores de correo que te valen para cualquier correo.
#15 Hay al menos un banco en España que usa Authenticator.
En mi caso no es posible, mi banco no usa SMS para validación de operaciones, sino una aplicación propia en el móvil, que autentifica con la huella digital.
#1 el problema es que se puede pedir un nuevo pin usando el sms.
#1 Pero una vez que se ha roto la seguridad, ¿qué te impide instalar una aplicación en otro teléfono? Quiero decir que la huella digital no es una identificación biométrica con respecto al banco, lo es con tu teléfono. El ladrón instalará la app igual que lo haces tú y listo...! Bajo mi punto de vista todo ese tinglado produce una sensación falsa de seguridad más perjudicial que otra cosa.
#1 #14 PS. Aparte de que usar una huella como
identificacióncontraseña biométrica tampoco sería buena idea, pero eso es otro tema...#21 Llego tarde: ¡Es lo que quería decir!
#24 Realmente depende, un PIN en sí mismo tampoco es buena idea, pero al final funciona en la gran mayoría de los casos sin mayores problemas. A mi me parece una mezcla de seguridad y comodidad razonable, pero efectivamente tiene sus problemas.
Por ejemplo, si estás dormido o inconsciente, se puede aprovechar de tu huella, aunque eso requiere estar en una situación muy particular.
#14 creo que #1 se refiere a bancos como Caixabank, ya te digo yo a ti que lo de Caixa es mucho más difícil de conseguir configurar en otro móvil, ya es un coñazo cuando uno cambia de móvil pues... Porque es una app aparte (Caixabank Sign) que para configurarla te pide no sólo SMS sino que te manda un e-mail al correo que tengas registrado y ahí tienes que pinchar un enlace en el que tienes que meter de nuevo las credenciales y te da un código que tienes que meter en el Sign para completar el proceso. Un rollo vamos jaja, digo que sería más difícil porque el ladrón tendría que tener también acceso a tu correo.
#1 El uso de la huella sustituye a la contraseña de acceso, con lo que realmente no es un segundo factor
#19 la biometría no es una contraseña.
Un pin puedes cambiarlo. Una huella digital no.
#21 Claro, solo tienen que conseguir un duplicado de tu dedo.
#28 Pues eso no me parece muy difícil.
#28 Las máquinas no usan tu dedo, usan la huella del dedo, y si, has dejado tu huella en cualquier cosa que hayas tocado.
https://www.xataka.com/seguridad/cinco-minutos-plastilina-y-un-molde-con-eso-basto-para-falsear-mi-huella-y-desbloquear-mi-movil
#35 venía a decir lo mismo. Poco seguro me parece
#35 #44 no basta con una huella o un dedo, el móvil tiene que detectar pulso y electricidad estática en el dedo. No crean que los bancos permiten cualquier cosa, los móviles cada vez más tienen que cumplir la normativa PCI-DSS.
#28 Incluso más fácil, les basta tu dedo.
#21 Y no digo que lo sea
#21 error. A ver, está explicado más arriba pero lo explico aquí. La autenticación con huella es contra tu móvil no contra el banco. A ver, el proceso es el siguiente: instalas la app, y entras con tu contraseña, y le dices a la app que si que quieres usar la huella, pues encontonces la app le dice al móvil que guarde la contraseña con la huella, y el móvil te pide la huella para poder guardar la clave en un chip "seguro" en el móvil, el cual solo es accible cuando pones la huella. Cuando abres la app de nuevo, esta no tiene la contraseña de acceso, entonces le dice al móvil que la saque del chip y el móvil te pide la huella para poder acceder a la clave guardada en el chip, entonces la app ya tiene la clave y la usa para autenticarte sin tener que pedirte que vuelvas a entrar escribiendo el usuario y contraseña del primer paso.
Bueno, pues en el primer paso: te instalas la app y accedes con tu usuario y contraseña, es donde entra el SMS, le das a perdí la contraseña y el banco te manda una por SMS para que la puedas cambiar.
#1 Yo tengo banco en Espana e Inglaterra, el de Espana solo pide el codigo de entrada y listo, que efectivamente se puede restablecer si tienes la tarjeta SIM asociada.
El de inglaterra te pide la tarjeta SIM y ademas un codigo aparte, personal para todas las transferencias.
#33 No sé qué banco tienes, pero los dos que yo tengo en España me piden eso. Si alguien me duplica la sim podría ver todo lo que tengo pero no hacer transferencias, ya que tengo que usar un pin diferente.
#37 Santander y Abanca, ambos funcionan igual.
#37 claro que podría, solicitando al banco un nuevo pin,cosa que normalmente puede hacerse por teléfono con los datos que dispone el chorizo de la operadora/tienda que ejerce el simswapping
#40 No, para poder cambiar esa contraseña tienes que ir al banco físicamente o sino te mandan una carta a casa varios días después, y solo se puede cambiar la dirección con esa contraseña, así que no se puede falsificar.
Para poder cambiar la contraseña de transferencias tienes que tener al enemigo en casa.
#41 pues ese es un buen factor de seguridad, puedes decir que banco es?
#42 Santander.
Uso también Evo pero no me acuerdo cómo funciona ahí el cambio de la 2a contraseña (ya que no tienen oficina física)
#51 En Santander, por lo menos hasta hace 6 meses, se podía cambiar la clave de operación por vía telefónica, fui cliente y yo mismo lo hice.
#76 pues habrá cambiado, a peor... Hace años era en la oficina o por carta.
#78 si, hace tiempo era presencial, pero ahora, o por lo menos hace unos meses, no
#33 el código/clave a parte se puede poner como obligatorio para todas las operaciones por ejemplo en OpenBank. La pena es que no venga habilitado por defecto para cambio de claves por ejemplo.
#1 Banco o email o redes sociales, etc etc
#1 También ahí discriminan a los ancianos que no tienen smartphone
#52 y no tanto, un familiar tiene un móvil de los antiguos porque los modernos no son lo suyo, llamar, SMS y poco más, nada de aplicaciones móviles, pero bueno es una excepción, no usa tarjetas ni banca electrónica.
Que sorpresa... la validación de doble factor SMS es una puta mierda
#12 SMS + una clave que te sepas de memoria + validación en la app yo lo veo bastante sólido. Mi banco lo hace así.
#12 ¿era mejor antes con solo una contraseña?
Mucho mejor que tomar medidas para que no sea tan fácil duplicar tarjetas sim sería que el banco pidiese autentificación mediante huella digital o reconocimiento facial antes de cualquier operación.
#4 la antigua tarjeta de coordenadas era hasta mas efectiva, sin tanta parfernalia. Piensa en un portatil o en un ordenador de sobremesa.
#7 la tarjeta de coordenadas esta muerta con la poliferacion de los smartphone y el WhatsApp. Haciendo fotos de la tarjeta y pasándola por WhatsApp a la pareja.
#17 quien haga eso se merece lo que le pueda pasar...
#17 juer qué triste hacer eso
#7 las tarjetas de coordenadas se prohibieron, tengo entendido que porque el algoritmo de generación de los números no era del todo aleatorio, o algo así. Entonces puede ser que alguien teniendo una o varias posiciones pudiera generar la tarjeta entera.
#4 Los datos biométricos no deberían usarse nunca como contraseña, sino como simple identificador.
Los datos biométricos no son revocables. No te puedes cambiar la huella del dedo ni te puedes cambiar la cara (bueno, poder puedes, pero te sale caro y/o duele).
#13 Tengo un caso en un cliente que tienen una reseña en el pasaporte que no tiene huellas dactilares. Ni una. Plano. Imposible registrarlo en sistemas biométricos.
Era colombiano.
No quise saber más.
#25 joder....
#25 ¿Qué es es una reseña en el pasaporte?
#57 Los pasaportes pueden tener comentarios como los hoteles en TripAdvisor
En serio, suena a que el pasaporte tiene una anotación especial diciendo que no tiene huellas y que no se pueden comprobar
#66 Pero qué paranoia es esa. Con un pasaporte que diga algo así, más que pasar desapercibido levantas todas las sospechas.
#67 Si ya lo ha dicho, no se trata de ser discreto, se trata de que si físicamente no tienes huellas, pues tiene que quedar anotado para obrar en consecuencia (verificar su identidad de manera alternativa ¿cuál? Ni p idea)
#25 #67 Así como dice #71, seguramente se trata de que no tiene huellas, pueden pasar muchas cosas, accidentes, enfermedades, o que, por ser brutos, un cocodrillo te haya arrancado ambos brazos.
#94 Ah, tiene sentido. Pensaba que era un espía o algo así y que no querían que se le tomaran huellas.
#66 El funcionario de control de fronteras le da cinco estrellas. "Muy colaborador. Lo metimos en el cuarto de registro cinco horas, lo desnudamos y ni una queja. Lo inspeccionaría de nuevo".
#25 No es muy común, pero es posible. Hasta tiene nombre: https://es.wikipedia.org/wiki/Adermatoglifia
#25 da para novela
Tengo una duda/curiosidad... hay cierta entidad bancaria que, con su cuenta online, ofrece una tarjeta de débito que varía en cada operación su numeración y CVV, ¿esa característica la hace más segura que una prepago?
#81 Yo tengo una de esas. En teoria es mas segura porque el CCV es aleatorio para cada operacion ... aunque, por otro lado, tambien la puedes registrar en comercios tipo Amazon o Aliexpress para seguir haciendo pagos como si nada ... y no me da buena espina eso. Cuando pagas en un comercio que no sea Amazon es un coñazo andar buscando los datos necesarios en la app del banco, pero bueno, todo sea por la seguridad.
Ah!, tampoco trae el numero ni la fecha de caducidad impresos en la tarjeta
Pues es casualidad que ahora con la extra de navidad me pillare un par.
y la tarjeta de coordenadas