Portada
mis comunidades
otras secciones
#51:
#1 trabajo en un banco y no es tan sencillo como crees. Todo está monitorizado, y hay filtros de rate limit para absolutamente todo. Normalmente si pones mal la contraseña tres veces tu acceso queda bloqueado, si alguien intenta fuerza bruta para sacar información rápidamente bloqueamos su IP y aunque vaya cambiando de IP detectamos patrones para impedir que realice fuerza bruta.
Por no decir que no se pueden realizar peticiones basadas en una serie de parámetros muy seguidas, en nuestro caso dos peticiones en menos de un segundo y ya te bloqueamos.
Por no decir que no se pueden realizar peticiones basadas en una serie de parámetros muy seguidas, en nuestro caso dos peticiones en menos de un segundo y ya te bloqueamos.
#26:
Moraleja: Incluso cuando el banco está obligado por ley a devolverte el dinero, de entrada no lo hacen para ver si así pillan a un incauto y se ahorran la devolución. Sólo actúan ante la amenaza de pleito.
#23:
#8 los numeros de tarjeta con su icc y nombre/apellidos correspondientes se venden en la darknet entre 5 y 25 euros por numero, en lotes de cientos de numeros. Los obtienen de robos a paginas webs, de intranets corporativas.. etc. Esto lo explican en cualquier charla de ciberseguridad, quiero decir que estamos hablando de "nivel basico".
Asi a bote pronto se me ocurre el ejemplo del robado masivo de datos de phonehouse. Tuve acceso al fichero robado y mi nombre aparecia en el listado aunque hace mas de 10 años que no entro en sus tiendas. Por suerte la compra no fue con tarjeta asi que no tenian esos datos, pero cualquiera que hubiese pagado con tarjeta alli estaba la tarjetita disponible.
Dicho eso, como habras podido comprobar en primera persona a la hora de hacer una compra por internet a veces con esos datos es suficiente para pagar.
Asi a bote pronto se me ocurre el ejemplo del robado masivo de datos de phonehouse. Tuve acceso al fichero robado y mi nombre aparecia en el listado aunque hace mas de 10 años que no entro en sus tiendas. Por suerte la compra no fue con tarjeta asi que no tenian esos datos, pero cualquiera que hubiese pagado con tarjeta alli estaba la tarjetita disponible.
Dicho eso, como habras podido comprobar en primera persona a la hora de hacer una compra por internet a veces con esos datos es suficiente para pagar.
#1:
A mi me preocupa la seguridad de mi banca online: para entrar basta solo con el nº de mi DNI sin letra y una contraseña de tan solo 6 números ¿¡!? . Vamos algo muy fácil de hackear. Por lo menos, con la nueva normativa, me piden de vez en cuando un código numérico que me envían por SMS. De acuerdo que luego para hacer otras operaciones como trasferencias, operar con la tarjeta de prepago... hay ya seguridad más fuerte. Pero con una contraseña de solo 6 números es sencillisimo entrar y ver todo lo que tengo en mi cuenta bancaria .
#8:
#3 yo tengo lo mismo y aún así me metieron un cargo de 300 euros en un TPV virtual.
Cuando pregunté al banco como es posible que me hagan un cargo cuando yo para hacer cualquier pago tengo que usar la doble verificación..... "Son webs fraudulentas" me dijeron..... Es decir, aunque tengas toda la seguridad que quieras, te pueden meter un cobro que tú no has realizado y luego a reclamar. Llevo 2 semanas reclamando y aún no se nada.
Cuando pregunté al banco como es posible que me hagan un cargo cuando yo para hacer cualquier pago tengo que usar la doble verificación..... "Son webs fraudulentas" me dijeron..... Es decir, aunque tengas toda la seguridad que quieras, te pueden meter un cobro que tú no has realizado y luego a reclamar. Llevo 2 semanas reclamando y aún no se nada.
Comentarios
Moraleja: Incluso cuando el banco está obligado por ley a devolverte el dinero, de entrada no lo hacen para ver si así pillan a un incauto y se ahorran la devolución. Sólo actúan ante la amenaza de pleito.
#26 >> Incluso cuando el banco está obligado por ley a devolverte el dinero, de entrada no lo hacen para ver si así pillan a un incauto y se ahorran la devolución.
Eso es lo normal en este país de sinvergüenzas. No solo los bancos sino las administraciones públicas, etc. Te ponen multas o tasas que saben son ilegales pero que te sale más barato pagar que reclamar. Ladrones sin vergüenza es lo que son. Y los jueces son parte del problema.
A mi me preocupa la seguridad de mi banca online: para entrar basta solo con el nº de mi DNI sin letra y una contraseña de tan solo 6 números ¿¡!? . Vamos algo muy fácil de hackear. Por lo menos, con la nueva normativa, me piden de vez en cuando un código numérico que me envían por SMS. De acuerdo que luego para hacer otras operaciones como trasferencias, operar con la tarjeta de prepago... hay ya seguridad más fuerte. Pero con una contraseña de solo 6 números es sencillisimo entrar y ver todo lo que tengo en mi cuenta bancaria .
#1 en el mío aparte de usuario y contraseña tengo una app aparte para conformar todo, login, ver pin, ver operaciones de más de 3 meses etc
#7 y todo en el mismo dispositivo?
#38 pues me cambié de móvil y tengo la app en el antiguo, así que sin los dos móviles no manejo el banco
#1 en el bbva cambiaron los números pero hace nada. Ni entendía como podía ser así. Flipante
#13 Yo cambio la clave de vez en cuando, pero un familiar tiene todavía de clave de acceso 4 dígitos, desde hace más de 10 años y nadie le ha obligado a cambiarla.
Luego en cualquier web de mierda, te piden cambio de contraseña cada 3 meses, flipante.
#1 En mi banco para autorizar cualquier transferencia, todas, hay que confirmar con un pin respondiendo a un mensaje no de sms sino generado por la propia app del banco en tu movil.
#15 >> generado por la propia app del banco en tu movil
https://es.wikipedia.org/wiki/C%C3%B3digo_evolutivo
código evolutivo o rolling code
Mi mujer trabaja en un banco y, para mayor seguridad cuando entra en la VPN del banco, tiene un FOB que genera un código cada vez que pulsa el botón. Así es imposible hackearlo.
#55 ¿Que es un FOB?
#72 >> ¿Que es un FOB?
Perdona, que pensaba que era un término común en español y quizá no. FOB en inglés es un pequeño dispositivo electrónico que permite el acceso al coche, ordenador, etc.
https://www.techtarget.com/searchsecurity/definition/key-fob
Puedes buscar "key fob" y verás muchos ejemplos.
El del coche se comunica directamente por radio con el coche pero los hay, como el de mi mujer, que muestran la clave en una pantalla y la introduces por el teclado del ordenador.
El mismo programa podría residir en el teléfono móvil pero entonces es más vulnerable al hackeo mientras que al ser un dispositivo completamente separado y autónomo no hay forma de hackearlo.
Es del tamaño de una memoria USB.
Los de los coches son simplemente códigos evolutivos pero creo que el de mi mujer, además, utiliza la hora como entrada de modo que el código generado es a partir del generador pseudoaleatorio más la hora y la validez es de solo unos minutos.
Para un trabajador con acceso a sistemas bancarios de alta seguridad puede estar justificado pero para los clientes del banco quizá produciría demasiado rechazo el tener que llevar el FOB encima y por eso se rebaja la seguridad y se utiliza la app del banco en el móvil.
#76 Gracias por la explicación , no conocía el dispositivo , ni había oido hablar nunca de él.
#55 nada es imposible de hackear, nada.
#84 >> nada es imposible de hackear, nada.
No sé qué pretendes con este comentario pero espero que me expliques como se puede hackear un FOB que no tiene conexión alguna a nada. Pulsas un botón y te da un número en su pantalla. Ya me explicarás como hackearlo. Si sabes como hackearlo te puedes hacer rico como consultor de seguridad.
Y, aunque fuera posible hackearlo, dentro de los sistemas de seguridad es de lo más alto que hay.
#85 si, es de los altos, pero se puede romper.
Y clonar, se puede clonar. Es más seguro en mi opinión algo como la app de autentificado de Google, pq está en el smartphone y siempre que esté en tu poder estás a salvo. Si lo pierdes, estará bloqueado con tu huella, tu cara…
Puedes bloquearlo de manera remota también, o mandarlo a configuración de fábrica, borrando dicha app.
Ese dispositivo del que hablas, no tiene bloqueo por datos biométricos, mal asunto si lo pierdes.
#1 La seguridad online en los bancos nunca ha sido muy buena. Total, ¿qué guardan? ¿Únicamente dinero?
#1 Normalmente solo puedes ver, el daño está muy contenido a cambio de una experiencia de usuario mejor. Siempre suele ser lo que se pone en la balanza: seguridad vs UX. En cuanto intentas hacer una operación te pide una autenticación más segura in segundo factor de autenticación, etc.
#1 ¿Sencillísimo entrar? Normalmente al tercer intento de bloquea, así que tienes 3 posibilidades entre un millón.
#1 trabajo en un banco y no es tan sencillo como crees. Todo está monitorizado, y hay filtros de rate limit para absolutamente todo. Normalmente si pones mal la contraseña tres veces tu acceso queda bloqueado, si alguien intenta fuerza bruta para sacar información rápidamente bloqueamos su IP y aunque vaya cambiando de IP detectamos patrones para impedir que realice fuerza bruta.
Por no decir que no se pueden realizar peticiones basadas en una serie de parámetros muy seguidas, en nuestro caso dos peticiones en menos de un segundo y ya te bloqueamos.
#1 tu banco es el BBVA, el que más presume de seguridad, y hace eso
#1 es algo que nunca he entendido. Mi contraseña de correo electrónico tiene una cantidad enorme de caracteres, combinando mayúsculas, minúsculas, números y símbolos. Y en cambio el pin del banco unos poco caracteres numéricos (ahora 6 pero antes eran 4) sólo.
#1 en el mio hace falta la clave sms para todo.
De hecho, lo que me molesta mucho es que sin la clave sms no puedo hacer nada. Estuve en el extranjero (el de verdad, donde no sabia si me llegarian los sms) pero necesitaba manejar operaciones en casa (internet sí tenía). Cuando le plantee la cuestion, me dijeron que sin el movil para recibir sms, la banca online no se podia manejar. Que le diese mis claves a alguien de confianza. Lo cual es una brecha de seguridad mayor que darme una puta tarjeta de coordinadas como se hacia hace unos años…
#63 cual es el extranjero de verdad? Fuera de la UE?
(Es offtopic total, y te pido perdón de antemano, pero nunca había escuchado la expresión y me ha entrado curiosidad)..
#68 era Libano en una mision humanitaria en la frontera con Siria.
He dicho eso porque la UE a muchos niveles es como seguir en tu pais, telefonía incluida.
Quizas es una expresion incorrecta, pero queria remarcar que no me habia ido a Francia o Alemania
#69 si sí! Correctísima, perdona! Era curiosidad! Pero desde luego que super correcta la expresión!
Gracias
#70 jajaja oye que me has sacado una sonrisa con tu buen humor mañanero. Mis dieses!
#69 Muy correcta, hay distintos niveles de extranjeros, Portugal y Andorra son seguramente los países menos extranjeros. Alemania es más extranjero que Portugal pero menos que Japón. Y Japón es menos extranjero que Siria, o Líbano. Y probablemente esos sean menos extranjeros que Corea del Norte.
#8 los numeros de tarjeta con su icc y nombre/apellidos correspondientes se venden en la darknet entre 5 y 25 euros por numero, en lotes de cientos de numeros. Los obtienen de robos a paginas webs, de intranets corporativas.. etc. Esto lo explican en cualquier charla de ciberseguridad, quiero decir que estamos hablando de "nivel basico".
Asi a bote pronto se me ocurre el ejemplo del robado masivo de datos de phonehouse. Tuve acceso al fichero robado y mi nombre aparecia en el listado aunque hace mas de 10 años que no entro en sus tiendas. Por suerte la compra no fue con tarjeta asi que no tenian esos datos, pero cualquiera que hubiese pagado con tarjeta alli estaba la tarjetita disponible.
Dicho eso, como habras podido comprobar en primera persona a la hora de hacer una compra por internet a veces con esos datos es suficiente para pagar.
#23 por eso hay que usar siempre tarjetas virtuales, muchos bancos tienen la opción de crearlas desde la app , ing tenia con twyp pero lo van a cerrar
#58 Yo tb tengo la tarjeta virtual del BBVA, no sabia que ese servicio se fuera a cerrar ?
#61 no no , va a cerrar solo el de ing (twyp)
#23 a mi mi banco me obliga a entrar en la app y confirmar (previo usuario y contraseña)
Yo tengo cuenta en Caixa Popular, que es del grupo Caja Rural.
Para entrar en la web o en la app te piden un número de usuario de 8 cifras, el DNI y una contraseña de mínimo 6 caracteres.
Para cualquier operación, que no sea ver tus últimos movimientos, te piden dos posiciones de otra clave diferente con 6 cifras, y otra clave de 6 cifras que te mandan al móvil por SMS.
Eso sí, en la app nueva que no usa nadie porque está muy verde y le faltan un montón de opciones, no te pide usuario, solo DNI y contraseña.
Aún no entiendo cómo ha podido suceder lo de la noticia.
#9
mal protocoloPor lo que leo phisihing normal y corriente (foto) le ha dado su clave y contraseña así que ….
#14 Pero lo normal en cualquier banco es que al producirse la transferencia, da igual que tengan todas las claves que tengan, que te manden un aviso al movil que tengas que contestar de alguna forma (con un pin en la app del movil, con un pin de un solo uso en la web de la transferencia, algo) para autorizar la transferencia.
#16 Lo normal. Por eso le habrán devuelto el dinero porque no se entiende
#14 A eso me refiero #16, tiene doble confirmación… pin que tienes y pin que te envían.
#16 Igual dado que tenían todos los datos y claves pudieron cambiar el número de móvil primero
#40 En mi caso, el Santander, tiene dos datos diferentes, uno es el teléfono de contacto, al que te pueden llamar por algún problema, o para spamearte con ofertas y que puedes modificar libremente online, y otro, que el utilizado para la confirmación de operaciones online. Ese segundo número no se puede modificar online. Es directamente imposible. No hay opciones. La única forma es mediante pedir cita en un banco y luego presentarte físicamente en esa oficina para hacer el cambio en persona.
#16 Hace un par de sábados a las 8.30 de la mañana hice desde la app una trasferencia de poco más de 10000€. A los 15 minutos llamada desde el banco al móvil para decirme que estaba retenida hasta que confirmasen que era yo el que la había hecho. Esto fue con la Caixa.
#47 Parecido me pasó una vez. Estando de viaje en Londres me encuentro que los cajeros rechazan la tarjeta. Al final consigo hablar por teléfono y me dicen que esas operaciones han sido bloqueadas temporalmente, ya que se están produciendo muy lejos de lo que es mi situación habitual. Me dicen que les tenía que haber avisado previamente que me iba de viaje, que tardarán unos días en reactivarlo. Por suerte, el pago en comercios seguía activo.
En realidad la seguridad de operación en los bancos es altísima, y cada vez mayor. Por eso no tengo claro la serie de circunstancias que llevaron a la estafa de esta noticia. Algo tuvo que fallar espectacularmente.
#9 yo antes no entendia como caían en las estafas de phising, con emails que sólo en el título del email ya tenía varias erratas y se notaba que eran phising. Pero cada vez se lo curran más.
El otro día me llegó un email, con el mismo formato de los emails que manda mi banco, en perfecto español y lo mas preocupante, dirigido a mi (con nombre y apellidos).
O sea, los cabrones tenian mis datos (nombre, apellidos, direccion email, y saben que tengo cuenta en determinado banco) y el correo estaba perfecto, no estaba escrito por extranjeros mi con erratas. sinceramente estando en el movil ni me di cuenta y le di al boton que venia en el email para ver "mas informacion", y se abrio una pagina web, que nuevamente era identica a la de mi banco pero era una web falsa. y ahi me pedia todas las credenciales de acceso.
Suelo estar muy atento a estas cosas pero esta vez estuve a punto, al abrir correo sin prestar atencion, y luego a punto de meter mis datos de acceso en una web falsa...
#39 Eso le pasó a mi mujer hacer poco con una cuenta de de ING que hace 10 años que no usamos. La combinación de nombre y correo electrónico era única para esa cuenta y solo podía venir de información interna de ING. Aunque entiendo que será que les han tangado la base de datos no directamente a ellos sino a alguna subcontrata, por ejemplo de marketing o lo que sea.
#39 No necesitan saber que eres cliente. Tienes una lista de nombres y apellidos e emails y haces un envío masivo simulando ser el banco X. A los que no sean clientes de ese banco les cantará, pero alguno que sí lo sea picará...
#39 A mí me llegó un SMS diciendo que metiera mi clave en una web, era fishing obvio pero lo que me mosqueó es que el teléfono desde el que venía el SMS era el del banco, lo tenía en mi agenda y desde ese mismo teléfono antes había recibido un montón de mensajes legítimos.
Así que cuidadín, no os fiéis ni de lo que parece fiable.
Me alegro por la víctima. En este caso, el banco tiene parte de culpa por no identificar correctamente al cliente.
#4 ¿te refieres no identificar el cliente destino donde llegó el dinero robado?
No sé cómo lo hacen, pero entiendo que todas las cuentas están identificadas.
#10 No, por no tomar las suficientes medidas para evitar el fraude.
En otros casos, toman medidas como el pin + pin temporal... pero los estafadores consiguen convencer a la víctima, por lo que el banco no tiene culpa, el usuario ha cedido datos que no tenía que haber hecho
Cuando mi padre se puso enfermo, sufrió timos de un grupo de profesionales, le robaron un dineral que nunca volvió. Parece de tontos (y así se sintió mi pobre padre hasta que se murió), pero a veces encuentran una víctima a la que pueden timar
#12 Es el banco el que guarda TU dinero y el que realiza las operaciones y por tanto es el banco el que tiene que responder de lo que ha hecho y demostrar que la operación la ha solicitado el cliente legítimamente. Tú no tienes que demostrar que no te han robado los datos de acceso.
#12 No hablo de la operación fraudulenta, sino hablo de identificar de quién es el titular de la cuenta destino. Sería tan fácil de ver a qué cuenta ha llegado y la Policía pregunta al banco destino de quién es dicha cuenta y a atraparlo.
#31 Una especie en extincion, los que leen la noticia jajaja
Hay bancos que todavía solo tienen una clave con la que entras y haces operaciones. Es mucho más seguro tener una clave con la que entras en tu cuenta y otra para hacer operaciones.
#2 En mi banco tengo que meter a veces hasta tres claves. En primer lugar la clave de acceso a la página web del banco. Después una clave que viene en una tarjeta. Finalmente una clave que te mandan por SMS.
#3 Suerte que tienes.
#3 yo tengo lo mismo y aún así me metieron un cargo de 300 euros en un TPV virtual.
Cuando pregunté al banco como es posible que me hagan un cargo cuando yo para hacer cualquier pago tengo que usar la doble verificación..... "Son webs fraudulentas" me dijeron..... Es decir, aunque tengas toda la seguridad que quieras, te pueden meter un cobro que tú no has realizado y luego a reclamar. Llevo 2 semanas reclamando y aún no se nada.
#2 ¿En que banco tienes clave unica para entrar y para hacer operaciones?
#2 muchas operaciones requieren de tarjeta de coordenadas o de un codigo unico ( te piden varias posiciones del mismo)
Acudió a FACUA.
#TeAhorroUnClick
#25 Menudo ahorro, lo pone en la entradilla
#29 Pues también es verdad. No me había leído la entradilla, directamente entré en la noticia.
Sí, soy raro.
#31 la noticia no tiene entradilla?
Un amigo mío trabajó en una agencia de marketing de programador informático. Le hicieron desarrollar una serie de webs idénticas a GMail, Amazon, Correos y algunas otras. Después los datos de los usuarios acababan en la base de datos de la agencia. También tuvo que hacer emails clónicos a los que envían esas compañías. Al final todo eso se usó para obtener los datos personales del bufete de abogados más grande de España, o uno de los más grandes, de miles de abogados, que a saber qué secretos tienen. Mi amigo se negó a dar el último paso. Dejó las apps hechas y la parte de guardar las contraseñas la dejó comentada, pero como el jefe también sabía informática, es seguro que llevara a cabo el delito. Al final se fue de la empresa por ese y otros motivos. Y el día de irse de la empresa también el piratearon a él mismo, porque en el descanso el jefe averiguó sus contraseñas de GMail y otras redes sociales. En el ordenador del trabajo nunca hay que poner ninguna contraseña personal.
Al que le han robado ha sido al banco.
#19 ninguna penita
#19 >> Al que le han robado ha sido al banco.
Mitchell & Webb Sound - Identity Theft
#36 realmente no es que sea iphone o android, es que tenga cámara de infrarojos o no para la autentificación, a estas no se la cuelas con una foto.
Muchos android baratos usan la cámara delantera porque no tienen la de infrarojos.
No confundir con víctima de fisting.
Luego el día que pierdes el móvil, estás vendido
#37 Face ID, Touch ID, y también los que están en android.
PD. Un iPhone es mucho más seguro que un android en muchos aspectos, empezando por la tienda de aplicaciones, permisos, etc..
Usar una huella dactilar o el rostro no debe ser usado como método para entrar en las aplicaciones. Una huella puede ser reproducida, y una imagen del rostro con una simple foto lo saltas.
#20 Quizá el bloqueo facial de un android de hace 10 años, vale, pero un Face ID, no se salta con una simple foto, sí que es verdad que entre gemelos cuela, y alguna persona con una mascara 3D ha conseguido saltárselo, pero no es una foto.
BBVA te pide Face ID (si lo tienes activado), tu clave de operaciones y confirmar con un SMS recibido para hacer cierto tipo de operaciones
#36 BBVA asume que usas IPhone, mal empezamos.
Me gustaria a mi saber que hacer cuando los que te roban es tu banco. tenia una cuenta sin mantenimiento, fui a por las claves de internet y me hicieron firmar 6 papeles distintos al dia siguiente mantenimiento de 30 euros por la cara... chorizos
#22 ¿Te leíste y te informaste de lo que firmabas?
#41 Imposible de leer, letra pequenya y varias paginas
#59 El perro se comió mis deberes...
Venga ya, menuda excusa. ¿Me estás diciendo que como no pudiste leerlo lo firmaste alegremente? ¿En un banco?
#62 Igual no me he explicado correctamente, pero a ver son varias paginas de texto en el mismo dia y me dijeron venga venga firma que esto es solo para actualizar tus datos, y esto es solo para ... bla bla bla y yo pues firme. Te meten presion para que firmes y te vayas y no te explican nada.
en fin, que si que tengo parte de culpa pero ahora el banco que se despida de mis euros
#73 Está claro que los que te han egañado son ellos.
Pero en el banco no puedes firmar NADA sin leerlo. Si hace falta, te llevas los papeles y los devuelves otro día.
#77 Fui un poco cazurro... pero tenia prisa, me iba de espanya al dia siguiente
#22 Hay bancos que tienen cuentas sin mantenimiento en la que es requisito realizar toda la operativa online, sino es cuenta ordinaria. Tiene pinta de que era una cuenta online que al no cumplir los requisitos se aplicaron las condiciones ordinarias. Por otra parte, muy mal hecho por el empleado al no advertirte de las repercusiones.
#43 Si, parece ser que es el caso, como no tengo nomina o ingresos regulares tengo que pagar. Estoy mirando ahora para cambiarme a un banco sin comisiones.
#60 Sin vinculaciones y sin comisiones prácticamente sólo hay banca online: openbank (grupo Santander), imagin (grupo La Caixa), BBVA creo que también tiene alguna cuenta online... Si vas a operar online y a pesar de la antipatía a los grandes grupos bancarios, yo tiraría por un banco grande porque a la hora de usar las apps se nota quienes manejan más pasta. Pero bueno, es mi opinión personal por ayudar...
#74 Muchas gracias, tenia pensado probar con BBVA! pero mirare las otras dos tambien
Creo que te lo mereces: https://mnmstatic.net/v_149/cache/tmp/tmp_thumb-496784-marcamo-62b40780cf4ba.jpeg
Un familiar le hacían cargos de entre 1 y 10 euros durante meses. Después a reclamar al BBVA y esperar meses y meses con la cuenta a 0. Por lo menos logramos la devolución.