En abril de 2021 me hicieron un duplicado de mi tarjeta SIM de Digi, reconociendo la compañía móvil, dónde lo habían hecho y en qué oficina, a 800km de donde yo vivo. Me supuso que accedieran a mi cuenta bancaria y la estafa de x.xxx€, ya que pudieron acceder a una de mis cuentas y hacer cargos hasta que la dejaron a cero. Hoy ha salido la multa de la protección de datos por 70.000€, y lo malo de todo que después de molestarte tengo que denunciar en el juzgado los hechos contra la compañía para yo poder reclamar las cantidades robadas.
|
etiquetas: digi , proteccion de datos , sim , robo , banco
A quien han robado es al banco.
El banco es responsable de asegurarse que es el titular quien ordena la retirada de dinero, si tiene alguna duda puede exigir al cliente que acuda a una oficina con el DNI. Si no lo hace es el banco quien está asumiendo el riesgo y a quien han robado.
Así lo indican múltiples sentencias en contra de la banca, sentencias como éstas:
elfarodeceuta.es/sentencia-banco-condenado-devolver-dinero-estafa/
www.elnortedecastilla.es/valladolid/condenan-banco-santander-202302101
elpais.com/economia/negocios/2022-07-03/los-tribunales-de-parte-de-las
…
Si el banco no reestablece el saldo del cliente es cuando hay que denunciarlo.
Con mi banco, aunque tuvieran mi sim, para entrar en la aplicación hay que poner una contraseña. Y para hacer cualquier transacción, otra contraseña diferente. Imposible que me pudieran hacer eso.
Replican la apariencia de la web oficial y usan una excusa para que la víctima introduzca sus datos y sus claves, por ejemplo pidiéndole que valide que no desea recibir publicidad validando esa petición con su clave de firma.
Ya con esos datos se hace el ataque de SIM swapping y se hace la operación fraudulenta en la que al banco se le roba ese dinero.
Los ataques pueden estar muy bien hechos, el otro día me mandaron un SMS indicando que eran de correos y que necesitaban que verificase mi dirección postal para entregarme un paquete, como es habitual hoy en día tenía algunos paquetes pendientes de recibir así que me lo creí. Accedí por el enlace del SMS, rellené con mis datos personales en lo que creía que era la web de correos, y en la segunda página me pedía un pago de creo 80 céntimos, momento en el que me di cuenta que era un ataque de phishing. Pero mis datos personales ya los había introducido en el formulario anterior.
Soy el tipo de perfil que no debería caer en este tipo de ataques, de hecho he hecho reportes a más de una docena de registradores de dominios por intentos de ataque de phishing que me han intentado hacer de todo tipo de bancos, de la mayoría de los cuales no soy cliente. Y aún así en este de correos me pillaron en un mal momento y caí lo suficiente como para darles mis datos personales. Nadie está a salvo de cometer errores así.
Dicho esto la responsabilidad cuando hablamos de dinero en el banco es siempre del banco salvo que pueda demostrar que el cliente ha sido cómplice o ha tenido una negligencia que va más allá de caer en ataques de calidad como el que acabo de describir.
c/c #6
Recomiendo leer el párrafo (y lo que sigue) que empieza por:
“ La verificación en dos pasos que usan las entidades bancarias y otros servicios para autentificar a sus clientes..”
CC: #13
La multa a su compañía telefónica tendría que ser secundaria, lo primero es recuperar el dinero
En esta espiral de lowcost de mierda en la que vivimos, los bancos como el resto de empresas, por ahorrar costes, no estan invirtiendo lo necesario para dar a los clientes de banca online la misma seguridad que se tenía en una oficina tradicional con un señor que te solicitaba el dni y te miraba la cara a ver si eras tú.
Ellos son los culpables si te roban aprovechando las vulnerabilidades de su operativa online, y como es logico tienen que indemnizar, además, si no me equivoco tienen seguros para estas cosas.
Que la operadora de móviles que ha propiciado un robo de identidad, pague tambien multa y daños si procede, no es excluyente.
Con el DNI tambien hay muchos problemas faciles de resolver. Samuel de Policia siglo XXI esta pidiendo algo tan sencillo como una lista de DNIs denunciados para que se comprueben antes de utilizarlos para comprar, etc.
Un que le robaron el DNI, tiene que ir detras de las delitos que se hacen con él y reiterar que le robaron el DNI como el dia del la marmota.
#21 Te podrian mandar la contraseña a casa. Pero si saben la direccion y que hasta las 2 no llega a casa pueden mirar el buzon todos los dias y coger la carta no es muy dificil.
Hoy por hoy, lo ideal sería tener un dispositivo físico otp, y que para activarlo tuvieses que ir en persona a una oficina.
Dependiendo de cómo lo tengas configurado tu proveedor de email, hasta el correo electrónico te pueden birlar para validaciones recibiendo un SMS con el código en tu móvil.
El teléfono móvil es uno de los principales canales y vectores de validación de cara a proveedores de servicios, con un SIM-Swapping te joden vivo.
Coñas aparte, lo que dice #19 también. Si el sistema de validación de tu banco para algo es un simple SMS vamos mal. Lo mínimo sería que fuera un SMS + Algo o sin SMS.
Tener un móvil moderno también ayuda mucho. ¿Toda esa gente que te dice "no sé para qué cambiar de móvil, si mi Nokia 3310 todavía funciona"? Pues ni puto caso, Android garantiza ¿5? años de actualizaciones de seguridad; luego estás potencialmente vendido si una vez tu móvil es vulnerable y lo usas para navegar por Internet o le metes apps, sobre todo si no son oficiales.
Así que o tienes un móvil con la seguridad al día y no le metes mierdas o tienes dos móviles, uno exclusivamente para temas del banco.
Toda la seguridad basada en doble verificación se va al garete si fuerzas a que todo pase por el mismo dispositivo. La teoría es que la clave la conoces tú, el acceso lo haces en un punto, y la verificación se envía a otro. Si todo pasa por el móvil, el modelo de doble verificaciónfracasa.
CC #14
Si consiguen ese duplicado lo único que necesitan es los datos de tu tarjeta o tu clave de acceso a tu banco online, y eso lo pueden conseguir sin tener acceso a tu móvil.
#6 Tienen que tener bastante información previamente, sí. No sólo para poder seleccionarte como víctima y saber qué duplicado solicitar, también para engañar a la compañía telefónica de turno haciéndose pasar por ti. No sé cómo lo harán pero sencillo no parece.
Lo mismo con las llamadas "comerciales" que no dejan de ser estafas puras y duras, diciendo que llaman en nombre de una compañía cuando no es cierto.
Por eso es que esos ataques tienen tanto éxito, si envías un correo a 500 personas, alguna picará...
No me extrañaría ni que tuviera su parte de ingeniería social, lo mismo te enfadas y amenazas con liarla o poner una reclamación, o le cuentas una milonga de que tu madre está muy enferma, necesitas el móvil, y al final el empleado de turno te dice que no debería, pero te hace el favorcillo...
Cada banco establece el límite con el que se sienten cómodos para no pedir el PIN y a su vez deciden en cada ocasión si lo piden o no se haya o no superado el límite. Es el banco quien decide asumir más o menos riesgo aspirando a que se utilicen más esas tarjetas para cobrar comisiones de ello.
Dije cancelo la comprar. Imposible al minuto el paquete ya estaba en camino y les resultaba imposible a deportesvillage realizar la cancelación.
Le dije al banco que cancelase la compra y su respuesta fue que los pagos con tarjeta son una cosa de la que el banco bla bla bla.
Acabé recuperando 20€ porque el paquete tardó en llegar no se 10 días después de lo previsto.
A si, que los fallos de seguridad del banco son...