No es difícil imaginar que esos datos puedan servir para que un delincuente logre suplantar nuestra identidad y lograr por ejemplo un duplicado de nuestra tarjeta SIM. El inquietante SIM swapping está a la orden del día, será él quien reciba el PIN para hacer esa transferencia bancaria o completar esa compra en Amazon, no tú, pero serás tú quien pague el pato (y la factura).
|
etiquetas: sms , autenticación
Los MMS solo llegaron a funcionar en EEUU y la única ventaja sobre los SMS es que se podían enviar imágenes, a un precio mucho más altos.
El futuro, es todo VozIP, el resto de tecnologías son intentos por parte de las operadoras por recuperar el control.
La mayoría de los bancos europeos ya se han pasado a mandar las claves por su propia aplicación.
Pero yo personalmente me fío menos de la seguridad de las aplicaciones Android que de los SMS.
Si te clonan la SIM, te das cuenta de que tu teléfono pierde la cobertura. Estamos continuamente mirando el móvil, así que no tardaríamos mucho en darnos cuenta.
El problema es que si recibes el SMS en un smartphone, cualquier aplicación con permiso de acceso a los SMS va a tener acceso.
Con las aplicaciones se mejora la seguridad porque tendrían que encontrar un agujero para acceder a los datos de la aplicación del banco, o hackear la aplicación del banco. Se supone que el sistema operativo del móvil es seguro, pero seguro que tiene agujeros.
Yo me fiaría más de recibir un SMS en un teléfono tradicional sin conexión de datos, del que esté pendiente de que se conecta a la Red y no han dado la SIM de baja para reemplazarla por otra. Pero veo imposible tener la SIM en otro teléfono y además estar pendiente de eso.
En la zona donde vivo, pierdo la cobertura con frecuencia, así que no es un buen indicador para mí.
Ten en cuenta que estas aplicaciones de 2FA tienen un punto extra de seguridad. Prueba a hacer una captura de pantalla, casi seguro que no puedes. Yo, desde luego, en la de Comdirect o en el Google Authenticator, no puedo.
Depende mucho del banco, pero decir que las App son mejores sabiendo lo nefasta que es la seguridad en los móviles tiene tela.
#12 ¿Te has enterado de la alianza de Commerzbank con Google? La seguridad no tiene por qué verse afectada, pero la poca privacidad que había a tomar por saco.
www.commerzbank.de/de/hauptnavigation/presse/pressemitteilungen/archiv
Yo veo más inseguro el SMS, pues su hackeo es trivial. Simplemente pides un duplicado de SMS. Fácil.
Una aplicación de Android requiere de buscar agujeros de seguridad, exploits... Vamos que no es tan trivial.
ING no envía SMS, utiliza su aplicación con contraseña. Arquia sí que envía pero te pide una opracion matemática con la clave que te envía que tienes que combinar con posiciones de la contraseña.
www.xatakandroid.com/aplicaciones-android/como-activar-mensajes-rcs-wh
- SMS para los vagos.
- Aplicación de autenticación.
- Key USB.
Y qué cda uno use el que quiera.
Al principio pensaba que lo que querían decir es que a pesar de que tuvieras la identificación en dos pasos, como la seguridad de Facebook es tan mala, se han colado en sus servidores y han copiado tus datos. Así que oye, como Facebook tiene una seguridad de mierda, no sirve de nada ningún método de autenticación.
Pero no. No es eso lo que quieren contar en el artículo.
Lo que cuenta finalmente el artículo, es que como tienen tus datos tu nombre, apellidos, sexo, dirección, fecha de nacimiento, fotos... Pues pueden aprovechar esos datos para pedirle a tu operadora un duplicado de tu tarjeta SIM.
Pero eso no es algo que tenga nada que ver con el robo de datos a Facebook. También tienen tu nombre dirección y fecha de nacimiento los del hotel donde has pasado tus vacaciones, y los del concesionario donde has comprado el coche... E infinidad de personas que han podido filtrar tus datos.
Es una cagada por parte de Facebook que se haya cometido esa filtración, sí. Pero antes de que se produjera dicha filtración ya estabamos expuestos, pues damos nuestros datos continumente a muchímas empresas y cualquiera podría filtrarlos.
Supongo que te referirás a pedir un duplicado de SIM. Eso no es tan fácil, y lo que digo es que lo más difícil es no darse cuenta rápidamente de que te lo han hecho.
De lo de la alianza de CoBa con Google no tenía ni idea. Lo que acabo de leer por encima en el enlace que me has pasado es que el banco va a empezar a utilizar Google Cloud, lo cual me parece un poco raro conociendo las estrictas normativas de protección de datos europeas, y no digamos ya especialmente alemanas, que ponen muy dificil que ciertos datos confidenciales se ubiquen en otros países donde no se respetan estas leyes.
No sé si el banco se verá beneficiado por la venta y utilización del análisis de los datos de sus clientes, de tener una arquitectura de software más rentable, o si simplemente tiene inversiones en Google y le ayuda potenciar su sistema Google Cloud.
Es curioso que hay bancos que no permiten limitar la cantidad en las tranferencias y otros lo permiten pero no permiten restringir las transfer urgentes y/o internacionales...
Pero no tengo ganas de cambiarme de método mientras me lo sigan permitiendo. Aparte de no fiarme de que las aplicaciones no sean hackables, no quiero dejar constancia que utilizo ese banco ni a cualquier aplicación que pueda ver qué otras aplicaciones ni si me miran o roban el móvil.
Sinceramente, mucho mejor con la app. Al final, los problemas que te puedan surgir por usarla casi que te van a surgir también con el SMS: perder el teléfono, romperlo, que te casque la pantalla...
Yo, ni el nombre. De hecho siempre hay algún tontete que me felicita el cumple el día que le dice el FB...
Si utilizas SMSs, cambias la SIM a otro móvil y ya vuelves a poder operar con el banco.
Si utilizas la aplicación del banco, en cambio por el hecho de cambiar la SIM no basta. Tienes que volver a activar la aplicación para el nuevo móvil.
Y bueno, ya dependiendo del banco puede que si encuentras la carta del banco con el QR ese de colores te valga para activarlo de nuevo, pero si el banco sólo permite utilizar el código para activar una vez la aplicación en un terminal, pues te toca volver a pedirle al banco que te manden otra carta con otro QR
Y esto me recuerda a ya el colmo, hay bancos que en lugar de mandarte un QR por carta, para validar la aplicación... ¡te mandan un SMS!
Es decir que de nada sirve la aplicación para evitar el SIM-Swapping. Para lo único que les sirve es para ahorrarse la cantidad que les cobre la operadora por SMS. Que como decía, no creo que llegue a un céntimo y en cambio ellos se permiten en cobrarme a mi nada menos que 12 céntimos por SMS (y una transacción me implica un SMS para iniciar sesión y otro para confirmar la operación).
Vale sí, toca falsificar mi DNI.
Edit: vale, ya me hago una idea: en.wikipedia.org/wiki/SIM_swap_scam
Y además, un método de 2FA u otro, es casi lo de menos, lo importante es que no te cacen el usuario y la contraseña. Porque, como consigan verte el saldo y algunos datos personales, ya te pueden marcar como objetivo para cosas malas varias.
Creo recordar que cuando logeas con un dispositivo nuevo, hay que validarlo vía la app/SMS, así que se reduce la probabilidad de que pase algo. Pero como te usen el PC habitual o pierdas el portátil, puedes estar jodido.
Cuando me abrí la cuenta lo hice porque me pateé todas las sucursales bancarias del barrio y fue donde recibí mejor trato. La verdad que tampoco me puedo quejar salvo por varias mierdas que siempre me han intentado vender... algo que ya sabía desde el primer día cuando me decían si me interesaría una tarjeta de crédito si me dijeran que el primer año era gratis (para qué si en muchos otros bancos la tengo gratis todos los años)... Y ahí tengo cuando me intentaron vender productos de ahorro con riesgo que les pedí lo que no tuviera nada de riesgo y con miles de euros en varios años me ha dado 26 céntimos de intereses.
Quería un banco con sucursal física por lo que dices en #37.
Pero con el corona cerraron temporalmente mi sucursal para mandarnos a todos a otros, algo que no tiene sentido si de lo que se trata es de no concentrar a la gente en un mismo lugar. Pero que lo tiene si de lo que se trata es de cobrar dinero del Gobierno por tener a los trabajadores en Kurzarbeit. Y poco después me encontré con el cierre definitivo de la sucursal del pueblo, sin alternativa en todo el municipio.... ¿Así que para qué coño quiero un banco físico si no tengo una oficina cerca?
Cuando tuve que cambiar de domicilio me dieron la opción de ir a la oficina o hacer un PostIndent... Lo hice, y los putos inútiles no fueron capaces de cambiarme la dirección en más de un mes después de enviarles un par de reclamaciones.
En fin sí, que me tengo que ir del CommerzBank, pero el IngDiBa ahora se pone a cobrar comisiones, y el DKB no me vale. Creo que acabaré yendome al N26, aunque tampoco me termino de fiar de su infraestructura.
Por cierto, otro motivo principal por el que no me he pirado del CoBa (aparte del tiempo que necesito para encontrar otro banco y realizar los trámites), es por pensar en pedir una hipoteca. Que teniéndome como cliente desde hace años, viendo lo que gano y lo que ahorro, iluso de mi me creo que me podrían dar unas condiciones que no me darían en otro banco.
El otro día en grupos de Vodafone, Yoigo, etc. de Telegram pillaron a unos cuántos intentando reclutar a trabajadores, preguntando si alguien era trabajador y si alguno decía que sí le abrían privado para negociar que le sacaran duplicados, un conocido se hizo pasar por trabajador y lo troleó de lo lindo, hasta el punto de que cuando el pardillo le dió los datos de la persona a la que iba a robar, lo que hizo fué avisar al banco y a la persona, lo jodió pero bien
Eso sí, en Movistar por lo menos creo que no es posible, porque el software les exige el DNI escaneado...
cortarusarY después de eso, el Volksbank nos dio otro préstamo vía KfW para los paneles solares.
Y un consejo valiosísimo para quien lo quiera: comprar la app SafeInCloud . Un gestor de contraseñas buenísimo con generador de contraseñas seguras con versión para todos los sistemas operativos, android, windows, Mac, iOS... (No recuerdo si tiene para linux) ..... Esto es importantísimo ya que te permite tener contraseñas chungas en cada servicio o cuenta que tengas y no necesitarás ni recordarlos. Así, si hackean un servicio ( por ejemplo Facebook) y extraen las contraseñas, solo necesitarás cambiar ESA contraseña, y no las de todos tus servicios (los hackers confían en que usas la misma contraseña en casi todo y por eso tus contraseñas hackeadas se venden) .
La app SafeInCloud no es la única en su clase, pero si es la única de las que teniendo un buen diseño, el pago es único y no está sujeto a la mierda de las suscripciones mensuales de las demás. Keepass sería la alternativa libre y gratuita, pero la interfaz de sus muchas adaptaciones suele dejar que desear.
Animaos, no sabéis la seguridad que da tener esto bien hecho.
Seguridad es:
- Algo que eres (usuario)
- Algo que sabes (contraseña)
- Algo que tienes (token/móvil)
Vale, el usuario también es algo que sabes, pero la diferencia principal entre el modelo clásico de usuario+contraseña y el actual de usar 2FA es que tienes algo encima que añade una barrera. Y si es un token específico como #44, muchísimo mejor. Pero a falta de eso, dame mi Google Authenticator o App específica.
- Algo que solamente el usuario conoce, por ejemplo, una contraseña.
- Algo que solamente el usuario posee, por ejemplo, un teléfono móvil en el que se recibe un SMS.
- Algo propio del usuario, por ejemplo, la huella digital o el iris.
Fuente: www.ocu.org/dinero/cuenta-bancaria/noticias/ing-aplicacion-obligatoria (y si no te gusta la OCU puedes leer la legislación europea, que también lo pone).
Pongo en negrita lo de por ejemplo, porque es eso, un ejemplo, no una obligación. Lo que luego haga el banco es su problema —y el tuyo— pero esta claro que la decisión normalmente es los gestores de IT del banco que en muchos casos son unos imbeciles supinos.
Algo que solamente el usuario posee ya era la jodida tarjeta de coordenadas que funcionaba bien. Si quieres mejorarlo puedes hacer o el SMS o mucho mejor hacerlo con una aplicación del estilo de Google Authenticator (que hay varías, incluidos los gestores de contraseñas), o inventarte algo. Pero no lo hacen.
En el caso del banco en particular del banco la primera linea de defensa que es el usuario y la contraseña en muchos de ellos dan risa y/o directamente no se puede cambiar.
La EU no tiene la culpa que los bancos, en especial los Españoles, sean unos zoquetes en materia de seguridad.
El foro y el blog de Kuketz, si no lo conocéis, es de recomendada lectura. Hablando de bancos forum.kuketz-blog.de/viewtopic.php?f=32&t=3676
Igual le interesa a #37 también.
Y su blog: www.kuketz-blog.de/
No es nivel Xataka, es para gente adulta.
Solo digo que si nuestra identidad digital depende de un móvil, con la cantidad de gente que entra y sale de las compañías...apañaos vamos.
Con las aplicaciones el problema es que en los móviles las actualizaciones son la excepción, no la norma, y salvo que tires por un Pinephone o un librem, todos tienen el modem, que tiene un S.O privativo, lleno de agujeros de seguridad y con acceso total al sistema (da igual que tengas el móvil cifrado, se lo puede pasar por el forro de los huevos). Con lo cual la seguridad es ridícula.
Con lo fácil que es dejar a la gente que use un navegador y que quien quiera use su PC con una web en condiciones...
Ahora es mucho más complicado, para hacer un pago con tarjeta me mandan un codigo por sms que luego tengo que meter en la app o en web. Y si el pago es muy grande, tengo que hacer una trasferencia a la tarjeta para que tenga fondos.
Lo que me contó un amigo es que para que le diera una buena hipoteca otro banco, tuvo que darle las claves de sus cuentas de otros bancos allí mismo en una aplicación que tenían
Con lo de ser españoles, mucho cuidado. He visto muy de cerca como una inmobiliaria de la zona se la colaba a españoles e italianos...
Pero para los bancos siempre pensé que el no ser alemán podría resultar en tener peores condiciones. Intenté cambiar la nacionalidad en mi cuena de CommerzBank cuando cambié la dirección y no hubo manera ni a pesar de haber regitrado en el PostIndent la dirección con el Perso alemán.
#51 Exacto, de N26 no me fío... Pero sin tener una nómina fija hoy en día veo dificil encontrar un banco que no te sable a comisiones. DKB ya tengo y lo que quiero es tener dos bancos por tener siempre uno disponible si tuviera problemas con uno.
Con lo preocupada que está la sociedad alemana con el Datenschutz, y luego entra uno en ese blog, y se la están colando por todas partes.
En el post ese parece que recomiendan el conocido Triodos que no me termina de convencer, y el GLS Bank que no conocía, pero acabo de buscar en Google, y resulta que también es antroposófico...
De todas formas, no veo en qué pudiera servir una captura, si los códigos cambian cada minuto.
Cada vez hay menos, y siempre tienen colas interminables.
Por suerte mi señora es alemana, así que las condiciones no eran muy malas. Tener curro fijo y un "Dr." antes del nombre también ayuda
Sí, te acabas dando cuenta. Pero para entonces ya te han soplado la cuenta.
Recuerdo hace años que incluso en el propio domicilio el cartero te pedía el DNI cuando te entregaba el sobre con la SIM. Y no te aceptaba una fotocopia
En otros países, tienes que ir a la oficina bancaria para registrar tu terminal móvil. Entonces, la aplicación bancaria sólo funcionará con ese terminal en concreto. Y cero verificación por SMS.
En cuanto a los bancos, GLS van de guays y modernos. No sé cuánto tienen hoy en día antroposofía, pero son transparentes y podrás indagar un poco. Aunque no soy amigo de esa cosa de la antroposofía, me parece mejor que estar en un banco con negocios turbios, que ya sabemos lo que son los bancos. Un banco con buena pinta es PSD Bank. Digamos que parecen normales y tienen tradición. Lo malo es que son pequeños y va por región, además de que tienen comisiones altas (pero creo que no abusivas).
Yo estoy convencido de que seguiría siendo mucho más segura la tarjeta de coordenadas o las posiciones de una clave que la autentificación a través de apps. La tarjeta de coordenadas puedes incluso codificarla de forma sencilla como la tenía yo sumando uno o dos números a cada cifra o escondiéndola en una app creada por mí (previamente codificada).
Yo estoy con Pepephone y les pregunté por esto y me dijeron que los duplicados de SIM se entregan con mensajero en domicilio y en persona y con el cliente presentando el DNI, nada de dejarlos en un buzón. No lo he comprobado, pero espero que sea verdad, viendo que es el eslabón débil de la cadena.
Salvo que se me pase algún detalle, esto impediría el duplicado fraudulento a menos que se lo curren realmente, suplantando a la persona de alguna manera en su propio domicilio y con su DNI.
No en que se pidan los datos del DNI para muchas cosas para las que son necesarias.
Los últimos días para montar un consejo oficial, la ley española me pidió una copia del dni de cien personas que avalen la creación. Había muchísima gente motivada por avalar... Pero en cuanto le pedías una fotocopia del DNI, eso ya no te lo podían dar por si cayera en malas manos y alguien les estafara.
A las compañías telefónicas debería de caerles un puro por permitir entregar la SIM sin verificar que se le entrega al propietario.
Gracias por las recomendaciones de bancos. Una pena que el PSD tenga unas comisiones tan altas. Estoy viendo que a partir de 50.000€ cobran 0,5% de interés negativo
Por cierto, ahora que mencionas lo de bancos pequeños y por región, os recomiendo el documental sobre el banco más pequeño de Alemania (y posiblemente de Europa): Schotter wie Heu. Aunque igual si no estás acostumbrado al dialecto (es de la rama del Ostfränkisch) puede costar entenderlo. Creo que lo puse hace tiempo a compartir en el ed2k CC #45.
Aun así me ha aportado mucho tu recomendación. Sin duda, si por lo que sea necesito cambiar de app, Bitwarden será la elegida. Gracias.