La autenticación de doble factor es una de las medidas más relevantes que podemos tomar a la hora de proteger los datos. Mediante ella se requiere de una segunda confirmación aparte de la contraseña a la hora de realizar un inicio de sesión. Ahora bien, no significa que sea impenetrable. Una nueva investigación refleja cómo un grupo de hackers ha creado un malware capaz de burlar este método de seguridad.
|
etiquetas: malware , android , autenticación , sms
Es mejor que nada, pero se ha normalizado hasta el punto que es preocupante. La alternativa por desgracia es poco práctica, que es llevar algún tipo de aparato extra que se pueda conectar con el móvil y actuar de doble autentificación.
Con todo hace poco flipé en un proceso de alta donde me ofrecían utilizar Sofort para que la alta fuera instantánea, para hacer una transferencia instantánea entre mi cuenta y su empresa para confirmar el alta al momento. El caso es que al iniciar el proceso de la transferencia instantánea me encuentro con que Sofort me pide las mismas credenciales que utilizo para iniciar sesión con el banco, con dos cojones. Ni de broma las introduje, me parece muy irresponsable que las pidan y no sé si el banco es consciente de que ocurre eso con esa empresa.
Y ¿qué es coinscrap? Pues básicamente consiste en un sistema de redondeo al alza de tus compras. Por ejemplo, que si pagas el desayuno en el bar con la tarjeta y te cuesta 1,50€ el sistema apunta 50c para el ahorro. La operativa consiste en que la empresa con la que lo contratas revisa tus compras (de ahí que necesite tus credenciales de acceso bancarias). Va sumando "mentalmente" todos esos redondeos al alza y cuando llega a una cifra concreta (pongamos 30€) te hace un cargo por ese importe que va destinado a un fondo "de ahorro" a tu nombre.
Yo personalmente no le daría mis credenciales de acceso bancarias ni a mi cónyuge (si lo tuviera) y considero que es la forma correcta de actuar. Pero el sistema está teniendo éxito, sobre podo entre la gente joven, así que ya vez cómo está el patio.....
No creo que sea imposible
En su día, cuando vi Sofort por primera vez, también se me dispararon todas las alarmas, pero tras investigar el tema un par de días resolví que es seguro.
Ya hay bancos que lo hacen y honestamente, no le veo el sentido mas que para las personas que no saben ahorrar por si mismos. También podrían poner una regla para mover 50€ al inicio del mes a otra cuenta y de manera automática y el efecto es el mismo, pero sin otra aplicación para el móvil.
Me equivoco? funciona de otra manera?
Para mi lo ideal sería, ¿entras desde aplicación de móvil? Tarjeta de coordenadas. ¿Entras desde la web? Verificación por SMS.
La razón es porque se supone que desde un ordenador entras desde casa, si alguien consigue entrar en ella, puede acceder a la tarjeta de coordenadas. Y lo de la app del móvil, lo mismo, si entro desde el móvil se supone que tengo el móvil, así que recibiría el SMS.
Pero en el banco, creo que o bien cuentan con información interna, o bien con datos personales que han obtenido por ingeniería social o ambos a la vez y más que no conozco. Porque, efectivamente, hay un PIN que o bien cambiaron o bien manipularon en la BBDD del banco, cosa que me cuesta más creer. Diría que concían algunos datos mio, o los obtuvieron, con teléfono llamaron, les hicieron las preguntas de seguridad por defecto, las respondieron, y listo, pusieron la clave que quisieron y desde ese momento eran tan yo como yo frente al banco.
Lo que después hiceron fue cambiar los límites de disposición de dinero diario y sacar la pasta físicamente de un cajero en Madrid, cuando yo vivo en las islas Canarias.
Que un banco pueda darle acceso a cualquiera que llame respondiendo cuatro preguntas, me parece MUY alarmante.
Como me lo parece que no avisen de un cambio en la clave y/o en el email asociado ANTES de validar dicho cambio. Joder, que esto lo hace hasta Flickr...
Gracias por la información, voy a investigar y, como sea así, adiós ING mañana mismo.
Como tú bien dices ya hay bancos que permiten hacer cosas así desde hace tiempo, pero es tu propio banco el que lo hace, no un tercero al que le has dado tus credenciales de acceso para que lo haga "y de paso conocer todos tus movimientos y sacar una información valiosa de tus hábitos"....
Yo también pienso que es una chorrada, Podrías como bien dices programar una aportación periódica mensual al producto de ahorro que quieras y listos. Pero la cuestión es que han diseñado esto y les funciona porque la gente es tan besuga que no tiene problema en dar sus credenciales de acceso.
Prácticamente todas las apps legales que instalas te solicitan X permisos para poder operar.... No tienen más que solicitar esos permisos en el momento que se cuele (estarás instalando alguna otra cosa en ese momento) y te pensarás que le estás dando los permisos a algo legal.
por otro lado, en la web del banco que sea usan el correspondiente servicio de recuperacion de pin que muchas veces se basa todo o en parte en contactar con el movil registrado en el sistema... para el que acabas de conseguir una SIM nueva.
El sim swapping básicamente es que son capaces de desviar todo el tráfico destinado a una SIM, a otra SIM que es una copia de la original pero está en otro dispositivo. Todo es digital, es decir, no perdí el teléfono en ningún momento, como tampoco perdí ninguna tarjeta ni nada.
Y no solo es ING. El problema es el esquema de validación que pasa por SMS y móviles que son vulnerables. Se sabe desde hace años pero aún así, se adoptó. No logro entenderlo.
www.ocu.org/tecnologia/telefono/consejos/sim-swapping-timo-duplicado-s
Estamos más bien vendidos hasta que todo el mundo se ponga un poco las pilas.
Creo que esto es un golpe que tiene gente en el sistema. Muy bajo riesgo y altos beneficios. Si el mismo día roban a 10 como a mi, 50 mil lereles a la buchaca en cuestión de horas.
Lo que decía es que si no te notifican en otro sitio, como un email, me parece gravísimo. Que si te roban el teléfono físico pues ya tienen acceso al email si es que usas el mismo para todo (por ejemplo, yo el que uso para bancos, Transferwise, Hacienda, etc... es uno diferente del de uso común, y diferente del que uso para trabajo). Pero siendo todo "virtual"... lo que yo decía es que hasta Flickr me avisa si "alguien" ha cambiado la contraseña o el email de mi cuenta, para confirmar que he sido yo. E igual muchos otros servicios, no recuerdo cual pero el mes pasado alguno no crítico me lo ha preguntado también (quizá Gitlab o alguno de estos, no recuerdo cual).
Para mi es algo básico que cualquier servicio medianamente crítico (dinero y/o datos personales sensibles) haga al menos estas dos cosas:
- No permitir cambiar ni informar nada solo llamando: puedes llamar para que te devuelvan llamada al número que consta en sus archivos, y eso tras confirmar que eres tú por medio de preguntas o, como hace toda fintech hoy día, solicitando un vídeo corto mostrando el DNI o pasaporte.
- Cualquier cambio de datos básicos como email, PIN/password... requiera de una confirmación enviada al email configurado previamente. Además, servicios críticos deberían tener un segundo email "de seguridad" al que simplemente informen de ello, de modo que aunque te entren al email principal y aprueben el cambio, te sigas enterando.
- Por supuesto, no permitir cambiar ambos datos (login y PIN/passwd) a la vez.
- Avisos de cualquier cambio de operativa. Aumentar el límite en cajeros es un ejemplo que el Santander me avisa rápidamente por SMS y por mensaje interno (push) a la app, si ING no lo hace, otro motivo para darme de baja de ellos.
#31 en tu caso, ¿no pudiste reclamar, siendo tan claro si usaron un cajero de Madrid viviendo tú en Canarias? Hace unos años tras un viaje por Portugal me apareció un cargo de 200€ en una estación de servicio, me enteré porque el banco me avisó al instante de hacerse. Fui al banco y les demostré que si ese mismo día había sacado dinero en el cajero de mi calle, donde está mi domicilio y donde llevo sacando dinero años, era bastante difícil que estuviera a la vez en el sur de Portugal (unos 800Km de distancia). Me reembolsaron el cargo al momento. Supongo que me clonaron tarjeta en algún sitio, pero sólo fue ese cargo...
Fíjate que este tipo de cosas: "Avisos de cualquier cambio de operativa. Aumentar el límite en cajeros es un ejemplo que el Santander me avisa rápidamente por SMS y por mensaje interno (push) a la app, si ING no lo hace, otro motivo para darme de baja de ellos." llegan al ladrón. No a ti. Y no tengo claro que pasaría si quisiesen cambiar la contraseña del móvil. En teoría, yo tengo en Google, por ejemplo, vinculada la cuenta al tlf. Podŕian cambiar la contraseña de la cuenta y ya las risas son grandes. Es decir, que si te enviaran un correo, podrían acceder también. Es muy complejo. Centrar toda nuestra vida digital en un dispositivo es la perdición. Las tarjetas de coordenadas volverán.
Todo se solucionó. Ese chequeo físico del que hablas antes eran las tarjetas de coordenadas. Ahora todo es el móvi. Si tengo tu DNI (por ejemplo, se puede sacar del BOE por varios motivos) y algún dato más y tu móvil, eres muy, muy bulnerable. Supongo que irán endureciendo el tema. Pero actualmente, es un cachondeo.
Los bancos quieren ser ágiles, porque mola ser ágil, pero respecto a la seguridad...
Hago lo mismo con cosas como Google, donde tengo el 2FA con códigos planos en un TXT "ofuscado", no con la app.
Lo que decía de los avisos... sí, llegarían al ladrón, pero TAMBIÉN a ti. No impediría la actuación del ladrón, pero te pondría en alerta a tiempo.
Si aún conservas tu móvil (clonado de SIM y tal) el email te entraría al momento y podrías tomar medidas. Si te roban el móvil, lo primero de todo es ir a un PC y cambiar TODAS las contraseñas de acceso a todos los sitios sensibles (bancos, Paypal y similares, emails varios...) y donde te lo permita, hacer el "desconectar el resto de dispositivos".
Por otro lado, como ha dicho alguien por ahí, yo uso un teléfono de doble SIM. La SIM1 es la que uso para datos y teléfono, la SIM2 es la que tengo asociada a bancos, Gmail y tal. La SIM2 tiene PIN (de 6 caracteres, no de los habituales 4) y está siempre "apagada". Esto no me protege de que me la clonen, pero es una capa más de protección ante un robo del móvil.