No se hasta que punto es 100% responsable el banco de que uno ande metiendo su usuario y contraseña en el primer enlace que le llega por mail, o si tiene el ordenador lleno de porquería. También la gente debería de preocuparse de adquirir un mínimo de conocimientos sobre seguridad si va a tener una cuenta online.

En este caso la sentencia ha dictaminado que no se puede considerar una negligencia grave tener 'malware' siempre y cuando el usuario tenga instalado un programa antivirus para evitarlo.

Ojo que el antivirus te puede salvar el culo.

Iba a poner un comentario alegrándome, pero tras leer la noticia ya no veo motivo. Destaco:
"En este caso la sentencia ha dictaminado que no se puede considerar una negligencia grave tener 'malware' siempre y cuando el usuario tenga instalado un programa antivirus para evitarlo."

No me parece muy lógico, la verdad. Creía iba en otro sentido, tipo que debe ser el banco el que ponga medios para evitar que solo hackeando la cuenta el "hacker" ya tenga vía libre para transferir el dinero que quiera (vía mensajes de seguridad al móvil, vía tarjeta de coordenadas, vía lo que inventen y funcione).

Lo cierto es que los bancos cobran a sus clientes por el acceso on-line, cuando en realidad les supone un importante ahorro, además de desincentivar las consultas fisicas, así que es normal que sean en parte responsables. Si un pc es inherentemente inseguro, no deberían permitir que los clientes arriesgaran su dinero desde él, o informar claramente de los riesgos, o del perfil de cliente con suficientes conocimientos informáticos. Eso, sin llegar a pagar los platos del cliente llanamente irresponsable.

#6 O ofrecer un software anti-virus que proteja las transacciones o medie para evitar malware.

Mi banco, por ejemplo sería dificil, la aplicación mueve los botones del PIN de sitio, confirmación de SMS en transferencias y alguna más tenía.

#5 Es brutal, ¿para qué coño está la verificación de doble vía?

#8 para que te peten el movil ademas del ordenador?

#7 mal plan, al final te obligaran a instalar la app del banco para acceder, app que aprovechara para espiar todo lo que pueda claro.

Hombre faltaría más. Aunque visto lo que ha pasado con la sentencia de las preferentes uno ya se espera cualquier cosa.

En el mismo momento que tenga la sensación de que la gestion online de mis cuentas puede volverse en contra mia no la usaré jamás.
Lo que hacía falta, les ahorro pasta (y bien que me parece) y si se saltan sus controles de seguridad palmo yo. No no no
Para eso tengo las tarjetas de coordenadas, y si eso no es suficiente que vayan pensando en algo

Tiene que haber un error, los jueces nunca sentencian contra los bancos. Supongo que los responsables de esto serán expulsados de la carrera judicial a más tardar.

Normal, como si atracan un banco, si el negocio del banco es proteger tu dinero, tiene sentido.

#3 Me parece que el Juez no tiene ni idea. El banco tiene muy pocos mecanismos para saber que el uso no es legitimo. Puede meter controles, pero si un cliente se infecta.... es el cliente el que se infecta y el responsable del robo no es el banco es quien roba.

Al final conseguirán que para hacer una transferencia tengas que ir a una oficina a firmar, de ese modo se aseguran que el pc no tiene virus y que el usuario no ha dado sus datos en un ataque de phising.

como se supone que la entidad bancaria va a garantizar la seguridad de un dispositivo que no controla?

Estamos llegando a un punto en que el usuario nunca es responsable de nada, se le toma por un pelele tonto incapaz de tomar sus propias decisiones que debe ser tutelado en cada momento por el estado o por las empresas aunque esa tutela sea imposible como en este caso.

#17 Tarjetas de códigos + segunda verificación por app segura en el móvil. No tienen medios, no...

El banco no puede controlar que seas un inutil con el pc, pero si puede controlar los movimientos sospechosos en tu cuenta.
A mi me han llamado varias veces para confirmar si era realmente yo quien estaba sacando dinero de algunos cajeros o haciendo transferencias.
Pero claro, para eso tiene que ser un banco serio y no un nido de ratas.

#14 No se saltaron sus controles de seguridad, se saltaron los tuyos. Si te comprometen el ordenador no hay nada que se pueda hacer para evitar que te roben. ¿tarjeta de coordenadas? no sirve si el malware modifica la página del banco cuando te llega y mientras tú ves algo normal, por debajo envías dinero a otra cuenta. Te llegará un SMS pidiéndote la coordenada y tú la pondrás porque no ves nada raro. Hay malware que reemplaza el navegador entero.

#4 Tiene su lógica. Aunque tuviera malware el usuario no ha hecho un uso negligente. Es como si caes enfermo aunque cuides tu salud: una putada sobrevenida.

El banco te cobra por los depósitos y te cobra por los préstamos. Todo ello quieras o no, porque se van restringiendo las transacciones en efectivo y es más fácil vivir sin DNI que sin cuenta bancaria.



La banca siempre gana

#20 Y por pc? Porque a este usuario se la jugaron en PC.

dependera del zote que sea el titular, por que hay mucha gente que pincha y da sus datos en cualquier sitio

#20 La tarjeta de códigos me han obligado a cambiarla por código en su app de móvil, por normativa europea. Las están quitando en todos los bancos.

#25 Por PC la mayoría de ellos ahora tiene doble verificación, tarjeta de códigos y SMS al móvil.

#2 Lo siento pero no, hay medios técnicos de sobra para controlar el gasto por internet, mi banco por ejemplo, hasta para operar dentrl de su propia página, para operaciones de mover dinero etc... me manda un sms con un código para saber que soy yo quien lo hace... así como en cualquier otra página de internet, por supuesto... si me cobras por proteger mi dinero, no puedes decir, no, es que tú no has tenido diligencia suficiente... es como si yo tengo una caja privada en un banco, se lo digo a alguien, este roba el banco y vacía mi caja... ¿La culpa es mía o del banco? pues aquí igual, qur pongan medios o paguen.

#28 lo de sms al móvil todavía, pero si yo pongo un keylogger.... con tiempo... ni tarjeta ni leches. Es una guerra bien jodida...

#19, acabarán alquilándote un tpv (donde no puedes ver el correo electrónico o pornografía o el facebook) para que hagas operaciones.

#20 #28 #29 Lo del SMS no es la panacea, así actúa un malware diseñado para robar a los usuarios de 3 bancos españoles:

"Cuando el troyano se ha instalado en el teléfono, espera hasta que presionamos el icono para abrir la 'app' de nuestro banco. Entonces se abre una ventana, pero no es la real sino una copia exacta. El troyano copiará las credenciales que escribamos allí y las mandará a los "malos". Después, se abrirá la aplicación auténtica, para que no sospechemos. Así, pensaremos que nos pide de nuevo las credenciales porque antes nos habíamos equivocado.

Con los datos robados, los malos entrarán en nuestra cuenta bancaria y ordenarán una transferencia. La mayoría de bancos tienen un sistema de doble autenticación, lo que significa que además de introducir nuestras credenciales tenemos que darles un PIN que se nos manda a nuestro teléfono móvil, por SMS. Pero ahí está el troyano infiltrado en nuestro teléfono, esperando a que llegue este SMS para reenviarlo a los malos y esconderlo a los ojos del propietario del teléfono."

El nível de sofisticación del malware puede llegar a ser muy alto. He visto casos de infección por, simplemente, abrir una web a la que le han añadido un javascript malicioso (vulnerabilidad del motor JS del navegador que permita ejecución de código y listo). Muchas veces el usuario tiene antivirus y el malware no es detectado o es detectado tarde.

Se están viendo también casos de malware que inyectan su propio código en la web del banco al entrar a la plataforma.

Los bancos pueden hacer mucho (y de hecho hacen). Hay equipos especializados en análisis de malware bancario trabajando. Y por cierto, el banco, a dia de hoy, devuelve el dinero a las víctimas de fraude online.

Dejad de lado las ideas de que solo los cazurros/descuidados pueden ser víctimas.

#20 Ningún sistema es seguro 100%. Y menos con un usuario retrasado, que suelen ser la mayoría.

#30 Sí eso está claro

#32 Madre mía, desde luego está muy bien pensado, razón de más para que el banco se haga cargo del asunto

#32 ¿Quien ha dicho nada de SMS? ¡Un challenge-response! Algo en plan "Escribe este numero en nuestra aplicación del móvil, y escribe debajo la respuesta que aparece en tu móvil". No puede ser que muchos hayamos hecho cosas así hace décadas como trabajo de fin de carrera y ahora no haya cojones de hacer algo así. ¿O que pasa, que no nos podemos fiar tampoco de pagar contactless con el móvil ahora?

Depende de como sea el caso. Ahora parece que las webs no son responsables de nada. El caso es que si por un fallo de seguridad se inyecta un código malicioso, que hace que al entrar un usuarios se infecte su PC, con la posibilidad de que dicho código malicioso le descargue en este anterior, más virus. Por supuesto que la web es responsable. De la misma forma si una web usa algún servicio de publicidad donde se ha inyectado código malicioso en alguno de sus anuncios, tanto el servicio de publicidad como la web son responsables, uno por la mie... de seguridad de su servicio y el otro por no saber a quien contrata.

Si es el usuario que por culpa de su torpeza, falta de seguridad en su PC se infecta, podríamos decir que tiene parte de la culpa, pero no toda. Ya que salvo en casos de phishing y técnicas similares donde el usuario por dicha torpeza no verifica la web a la que entra, el responsable directo de la seguridad de una web y/o el webmaster, o empresa que mantiene dicha web. Ya que viendo que la mayoría de los virus se producen por agujeros de seguridad en software o al programar en sí (por ejemplo una web/blog creado con Wordpress) y más si es software privativo, el usuario no es responsable directo incluso aunque su torpeza infecte su PC. Ya que hay una relación causa-efecto entre dichos agujeros de seguridad y la infección de un PC. De tal forma que si dichos agujeros de seguridad no existiesen el usuario no se infectaría, repito salvo en casos de phishing y páginas preparadas expresamente para capturar datos y/o infectar al usuario.

Precisamente esta es una de las razones del uso masivo de bloqueadores de publicidad para evitar posibles códigos maliciosos en los anuncios y de NoScript y similares para bloquear scripts maliciosos por inyección de código, al aprovechar una o varias vulnerabilidades de, especialmente, los softwares, aplicaciones, programas,... usados para programar una web o bien un fallo de seguridad provocado por la torpeza de quien/es programa/n dicha web. Y como dije en el supuesto de no ser así (famosa guerra actual entre bloqueadores vs antibloqueadores) y algunas webs impidan el uso de estos complementos, deberían ser fuértemente sancionadas por poner potencialmente en peligro la estabilidad y seguridad de los equipos de los usuarios, así como los datos de estos. Sin hablar el poner evidentemente en potencial peligro su derecho a la privacidad e intimidad, en webs que se dedican a capturar datos, crear perfiles, uso de cookies maliciosas, supercookies y técnicas de huella digital tipo canvas así como con técnicas similares.

Todo esto sin hablar de la dificultad de programar, que en muchos casos es alta. Pero repito, especialmente en programas privativos muy caros, esto es más una excusa que otra cosa. Se supone que si se paga por algo es para tener una mínima seguridad, mínima seguridad que no siempre existe.

Salu2

Pues como sean responsables pero sin efectos retroactivos, no va a servir de mucho.

#12 no es obligatorio, mandan sms con un codigo y lo intruduces en la pasarela.

#23 no digo que no la tenga pero me parece curioso

Trabajo en la mesa de ayuda de un medio de pago (en Argentina) y las cosas que hacen los usuarios son terroríficas.
Desde darle las claves a cualquiera ("no entiendo nada de pc") hacer transferencias erróneas (sí, aunque suene increíble) a usar navegadores específicamente no recomendados. máquinas desactualizadas, etc.
Podés diseñar el sistema a prueba de tontos... pero los tontos son muy persistentes. Y normalmente encuentran los huecos para armar un estropicio.

#9 de que hablas?

Están intentando deshacerse del mayor número posible de trabajadores a costa de que les hagamos el trabajo nosotros desde casa. Muchas veces ni siquiera ponen todo de su parte en seguridad (muchos se han tirado más de un año usando certificados no seguros, y algunos como banco popular aún no lo han renovado). Nos tienen cautivos (han conseguido que en España se tramite todo por el banco). Además son cuatro gatos, así que no les hace falta ni conspirar para ponerse de acuerdo, basta con copiarse. Nuestros ahorros les importan un pimiento porque toda la liquidez la sacan de la inyección de capitales, eso sí, sin hacer que el crédito vuelva a fluir. Así que nos cobran lo que les da la gana por conceptos absurdos. Así que me parece bien que apechuguen con los costes de la banca electrónica, no van a ganar siempre. Si no les sale a cuenta que vuelvan a contratar cajeros (perdón, comerciales de banca, que no es lo mismo), que anda que no hay en paro.

Pero nosotros somos los responsables de rescatarlos.

#19 Estamos llegando a un punto en que el usuario nunca es responsable de nada, se le toma por un pelele tonto incapaz de tomar sus propias decisiones que debe ser tutelado en cada momento por el estado o por las empresas aunque esa tutela sea imposible como en este caso.

Dos cosas:

1. Son los bancos los que se empeñan en poner de patitas en la calle a empleados, cerrar oficinas y sustituirlo por sistemas telemáticos. Cuando impones algo tecnologicamente avanzado a una base de usuarios en un pais donde hay una enorme cantidad de gente mayor, echarles la culpa de que no funciona muestra un muy bajo nivel moral.

2. Son los bancos y empresas los que se gastan en muchos casos unos pastizales que a quiene sabemos de esto nos parecen sospechosamente altos y acto seguido, en cuanto falla algo, echan la culpa "al informático". Una vez mas, no exactamente algo precisamente edificante.

#42 El sistema a prueba de tontos se conoce desde hace mucho: contratar a mas gente de apoyo. Pero claaaaaaaro, es muy bonito lo que ahorrarte dinerito montando maquinitas y echando la culpa a quienes están obligados a usarlas pese a que claramente no las entienden.

¿Es el banco responsable de un usuario que usa un navegador obsoleto y con fallos de seguridad? ¿Debe el banco dar soporte a estos navegadores? Al final lo que queremos todo, que sea super seguro pero que se pueda usar con mi Windows XP y mi navegador viejo que no soporta TLS 1.2 por ponerte un ejemplo

#46 Veo tus 2 cosas y envido

1. las herramientas online de los bancos son, hoy por hoy, de uso opcional, sigue existiendo gente realizando operativa bancaria yendo personalmente al banco.

2. no importa cuanto gasten los bancos o las empresas, en este caso hablamos de algo que ocurre en un ordenador que el banco ni ha visto, tocado ni olido, sienta un precedente gravisimo que se responsabilice a alguien del estado del ordenador de su cliente cuando no tiene ningun control sobre ello, simplemente porque "es un banco".

¿Quien es el responsable de la seguridad del sistema informatico que usan los clientes de una empresa? Este punto ha de quedar muy claro, porque si la responsabilidad es de la empresa habra que pensar que mañana puede ser lo mismo con cualquier otra empresa que no sea un banco y en esas condiciones lo normal es que cualquier empresa quiera poner pies en polvorosa de este pais.

#43 Eso digo yo, tampoco se de qué habla #9

El coeficiente de caja es el porcentaje del dinero de los clientes que debe mantenerse líquido, es decir, sin invertirlo en algo ni usarlo para dar un préstamo. Según leo, para España y zona euro es actualmente del 1% desde el 2011 (para cuentas a la vista y similares, si es un depósito por lo visto es menos, el 0%)... que sería como decir que si metes 100 euros, sólo hay 1 euro que según la ley el banco debe "guardar"... digamos que el 99% restante el banco puede usarlo como le venga en gana.
Supongo que a eso se refiere el comentario, que el banco no está obligado a guardar tu dinero... y como no está obligado lo normal es que no lo haga.

"Desde que existe el coeficiente de caja, el banco no puede cobrarte. Tu dinero no está guardado."


Esa frase tal cual creo que no es cierta, es decir, el banco no está obligado a "guardar" el 100% pero... tampoco está obligado a invertir una parte de tu dinero ni a prestarlo, es decir, podría limitarse a guardar el 100% de lo que metes y cobrarte una comisión por ello. Creo que el banco podría cobrarte diciendo "es por guardarte el dinero" si realmente se limitase a guardarlo, lo podría hacer... de hecho, creo que hay servicios que son así: las cajas de seguridad donde puedes ir y meter lo que quieras (un diamante, como en las películas) y el banco te cobra por "custodiar" o "guardar" lo que hayas metido tú mismo en la caja, sin saber qué es. Eso sí, ese servicio es caro.

Ahora bien, entiendo que con esa frase quiere decir que los bancos, teniendo libertar para invertir el 99%, suelen invertir una parte, normalmente una gran parte, y, por tanto, si actúan así y a la vez te cobran una comisión no podrían decir que esa comisión es por "guardar" tu dinero, porque eso sería una estafa.
Entonces ¿por qué te cobra el banco? Creo que la comisión más famosa es la "comisión de mantenimiento"... que creo que quiere decir "te cobramos una cantidad de dinero al año por mantener tu cuenta: los ordenadores que almacenan tus datos, etc... todos los gastos que conlleva 'mantener' esa cuenta y asegurarte las condiciones que marca la ley, y, supongo que las que no les obligue la ley pero que el banco te ofrece".
Si no me equivoco esa comisión de mantenimiento y otras están reguladas, de forma que si te cobrasen más del límite marcado por la ley podrías…   » ver todo el comentario

#49 1. las herramientas online de los bancos son, hoy por hoy, de uso opcional,

Negar que los bancos están reemplazando empleados por sistemas telemáticos es un disparate. Hoy hay menos oficinas bancarias que hace ... 30 años.

www.economiadigital.es/es/notices/2015/07/las-oficinas-bancarias-se-de
http://www.a bc.es/economia/abci-mitad-oficinas-bancarias-cerradas-durante-crisis-eurozona-eran-espanolas-201607011847_noticia.html (AEDE capado)

2. no importa cuanto gasten los bancos o las empresas, en este caso hablamos de algo que ocurre en un ordenador que el banco ni ha visto, tocado ni olido,

Claor que so. Exactamente igual que Amazon, Google, Facebook, Whatsapp, PayPal, Netflix, TripAdvisor, Linkedin, AirBnB y un larguísimo etc.

#37 comprometen tu navegador, entras de forma normal a tu banco, metes los codigos, verificaciones, lo que quieras, como siempre porque no deja de ser la pagina legitima de tu banco. Vas a hacer una transferencia, pones el numero de cuenta legitima y mientras en pantalla se pinta la cuenta legitima, por debajo el navegador ha entregado otro numero de cuenta y tu transferencia va a otro lugar. Fin

#51 Yo no niego que gracias a la evolucion tecnologica los bancos necesiten menos personal, hace 30 años entrabas a un banco y en lugar de un ordenador tenian una Olivetti Linea 98 (maquina de escribir gris que todavia conservan en algun ministerio)

Pero hoy por hoy no es obligatorio tener internet ni un ordenador para tener cuenta bancaria, gracias a ello los clientes pueden operar a distancia, y los bancos necesitan menos personal, es un beneficio para ambas partes.

que dices en el 2? so? si o no? que en tu ordenador haya virus es culpa de amazon? google? facebook? whatsapp? paypal? etc etc permitirias que un tecnico de una de esas empresas lo revisara periodicamente? imagino que no.

#53 hace 30 años entrabas a un banco

Hace 30 años servidora utilizaba cajeros telemáticos.

que dices en el 2?

Que tengo una empresa y he programado yo el interface con varios portales de pago y me hago plenamente responsable de ellos. Si un cliente tiene cualquier problema, le devolvemos su dinero.

#52 Haces que el numero de verificación use como grano de sal los datos de tu transferencia. Si cambia una sola coma de los datos, el codigo de verificación deja de servir y falla la confirmación.

Venga ya, en serio? Soy el único que lo ve tan claro cuando llevamos quince putos años usando cifrados de llave publica y llave privada, no es ciencia de cohetes!

#55 hace unos 30 años entraba en una oficina enorme del Banco Hispano Americano con muchas mesas y todos tenian su maquina de escribir

Yo tambien tengo una empresa y cada cliente tiene su usuario y contraseña para acceder a un determinado panel, si al usuario le meten un virus y le roban la contraseña ¿me puede explicar como es posible que seamos nosotros responsables de lo que pasa en su ordenador? ni tu empresa ni la mia tenemos control alguno sobre lo que ocurre en su ordenador, sobre que haga click en los adjuntos de emails que le mandan, de si actualiza o no su ordenador cuando salen actualizaciones, etc etc

el interfaz con los portales de pago no sera el script que enlaza con el tpv? supongo que si el fallo esta en tu script le devuelves el dinero pero hay mas situaciones que esa

#47 ¿En serio? En la página donde doy soporte hay un manual de ayuda. Nadie, absolutamente nadie, lo lee.
Cuando llaman, se los identifica y se les dice claramente: no comparta su usuario y su clave con nadie.
Y te dicen alegremente: "la que ingresaba era mi secretaria, renunció y tengo que hacer pagos. ¿Cómo recupero las claves?"
Cuando hay otro tipo de problemas, les preguntás: ¿cuál es su sistema operativo? ¿Qué navegador usa? No tienen la menor idea. Ni hablar de antivirus o soft de seguridad en general.
¿En serio hay que hacerse cargo de semejantes ignorantes? ¿Cómo? ¿Se les manda a cada uno un técnico a su casa?
Estamos hablando de transferencias bancarias, no de la clave de facebook. Fijáte lo que hacés, está en juego tu dinero.
Pero no, parece que les divierte ser ignorantes. Bueno, disfrutálo mientras dure. Y no te quejes después.

#25 Precisamente por eso la segunda verificación debe ser por otra cosa que no sea un PC. A falta de un dispositivo dedicado y acorazado se puede usar el móvil, por ejemplo.

#59 Si, pero nada impide que una app mange un sms...cuantas apps piden permisos que no deberían pedir...

Cuantas mas capas mejor... pero seguridad... en estos tiempos?????? De verdad que no... (Es mi día a día).

#57 Nosotros SIEMPRE devolvemos el dinero (o hacemos rebaja) en caso de la mas mínima queja, independientemente de quien tenga la culpa. Otra cosa es que en caso de determinados zoquetes nos neguemos a facilitar mas servicio. A raiz de ello, tenemos una reputación a prueba de bombas y un negocio boyante.

#60 Tampoco tiene por que ser un SMS existiendo conexiones seguras (hasta un HTTPS serviría). O puedes mandar por SMS algo firmado con el mismo sistema que un email firmado criptograficamente. Que estamos en 2016, que hay mil tecnologias con las que complicarle la vida a un hacker, por favor. Que esto no es la ultima de espias calentita de hollywood...

Fijate si es facil de resolver el problema. Piensa en lo que hace Whatsapp para darte paso al interfaz por navegador web. Añadele cifrado decente y firma criptografica del formulario que se envie para que no pueda cambiarse una coma, y ya lo tienes hecho.

#58 ¿En serio hay que hacerse cargo de semejantes ignorantes?

Como he dicho en otro lugar, si en mi empresa no nos gusta un cliente, nos negamos a faciltarle servicio. Tan sencillo como eso.

#62 Si, pero igual que tenemos mil tecnologias de proteccion, a la vez tenemos mil de espionaje. Si entrar ya en malware puro y duro -> las extensiones de navegador ... esas grandes porteras... los privilegios desaforados de las apps. de movil.

Y por cierto Whasapp es mal ejemplo...

#65 Espero impaciente y ansioso un enlace por tu parte a herramienta, noticia o documento sobre como es vulnerable el sistema que emplea Whatsapp para sincronizar la sesion del movil con la del navegador. Algo que ya es la mitad de la solución al problema que es duplicar el "mire usted los datos de la transaccion en la pantalla del TPV para confirmar que no le cobran el triple" que proteje los pagos con tarjeta contactless desde moviles.

#66

enigmedia.es/protocolo-ss7-whatsapp/
cybersecurityventures.com/whatsapp-message-hacked-by-john-mcafee-and-c
...

www.independent.co.uk/life-style/gadgets-and-tech/news/whatsapp-for-we

Esta última parece (por los foros de seguridad donde me muevo que esta ya cerrada)

#54 #64 No, es que tu prosa es muy densa, y el uso de las mayúsculas complica más la lectura.
Por otra parte, si supieras de que hablas sería más interesante. Veras, eso que tu escribes, refleja las tertulias pseudo políticas de la televisión de hoy en día. Creo que eres producto de ellas. Informarte mejor, lee de fuentes fiables, y luego, con prudencia, opina, escuchando, y tal vez, sólo tal vez, si la naturaleza te premió como a otros (eso no tiene mérito, que te conste, ser inteligente o alto o guapo no es producto del esfuerzo) puedas debatir como un adulto.

#70 no cagues ocho semanas seguidas y me cuentas.

Te pregunto de que hablas porque es evidente que no lo sabes, ni que es el coeficiente de caja, ni la creación de dinero, ni su multiplicador ni....
Que luego lo trufes con verdades, opiniones, tus creencias, y afinidades, lo convierte en todologia (técnicamente demagogia) de primer curso de la carrera de Opinador Tertuliano.

#68 Vale, I stand corrected. Aunque sigo pensando que es una buena base sobre la que fortificar, no la solución completa. Y en los links que pones, parece que es más bien una pifia de Android que de Whatsapp. No sé que me da mas miedo...

#72 yo no te he faltado para empezar. Y si te relees, y sabes cómo crea dinero el sistema, como afecta el coeficiente de caja, como se calcula el multiplicador, que son los alp's o a que velocidad circula el dinero, entonces, no habrías escrito eso. Por eso hacía la pregunta.
Yo no quedo o dejo de quedar como un señor, procuro actuar como tal, nada más.

#54 ¿Ya empezamos con los insultos? Solamente te falta ponerme un negativo, que es lo que me encuentro por aquí últimamente: insultos y negativos ¿por algún motivo? No, por preguntar, por debatir... pues vale.

Tu comentario: "...Desde que existe el coeficiente de caja, el banco no puede cobrarte. Tu dinero no está guardado."
Mi respuesta: "de que hablas?"
Tu respuesta: "Sois un poco retrasaditos, ¿no?"

Ahora me explicas donde está la mala educación y la falta de respeto, y si eres capaz, la lógica de tu frase inicial, de la que sigo opinando:
De que hablas?

#73 Sinceramente, ahora mismo en tecnología... que no da miedo???

#38 no se si a la web se le podria añadir una verificacion de md5 o algo asi, que compruebe que el resultado final que recibe el cliente es lo que se espera y no esta manipulado por webs externas.

#49 Y en cuanto llegas a tu oficina bancaria, te mandan al cajero automatico en el 90% de los casos.

#73 En realidad, no es de android ni de whatsapp, es el mismo protocolo ss7 (para todos los sistemas operativos y aplicaciones de moviles).

#56 tu haces 123, ves por pantalla 123 pero el navegador por debajo esta enviando 456, tu banco recibe 456 y como consecuencia te envia el codigo usando la semilla 456. Tu crees que es el codigo para 123, lo metes y aceptas, pero es el codigo para 456. El banco recibe el codigo valido para 456 y procesa la operacion 456.

#59 dispositivo dedicado y acorazado... Un viejo movil sin conexion alguna, con un generador de codigos que cambian cada 30 segundos. Escaneas el qr del banco para el generador y como el movil no tiene conexion alguna, no hay forma de hackearlo.

Pero seguro que hay dispositivos dedicados.

#30 #35 ¿ Y el teclado virtual? Yo así entro en mi cuenta paypal.

#84 Me quedo con la duda en ese caso respecto a keylogger. Ahora bien, si esta integrado en web la via de acceso puede ser extension de navegador. Ahora mismo 100% seguro o casi ... no hay. Todo tiene taras importantes. Por ejemplo, hoy mismo por la mañana servidores de Ubuntu han sido hackeados (se ha hecho publico hoy) con una filtración de 2 millones de cuentas de email . Y esas noticias nos las merendamos cada semana.

#85 #84 Si te capturan también la pantalla... De todas formas hay bancos que lo tienen mal implementado y no cambia

#86 No hay conciencia pública del problema de seguridad que tenemos a todas las escalas. Si querer ser "apocalíptico" si tengo que decir que tenemos los ingredientes para que pueda ocurrir un día de colapso parcial del pais (o mundo) de modo global (desde el pc de paco el pescadero a puestos críticos de telecos o banca o seg social ...) a la vez.

#82 Tu haces una transferencia de 123, el banco hace cuentas y te dice "mete 456 en la app del movil". Al meter 456 en la app te dice "dile 789 a la web del banco". Ahora si los malos te intentan cambiar el 123 por 321, cuando el banco hace cuentas al final no le llegará el 789 que espera y te anula la operacion. Exactamente lo mismo que llevamos haciendo 15 años para firmar digitalmente con criptografia de llave publica+privada.

#87 Sólo tienes que ver el tema de los SWIFT y los bancos, la cantidad de millones que llevan robados como si nada...

#88 creo que no nos estamos entendiendo. Tu piensas que hacer 123 porque el navegador te pinta 123 (la cuenta buena), pero por debajo tu navegador en todo momemto esta haciendo 321 (enviando dinero a la cuenta mala), el banco hace cuentas con 321, te dice que metas en la app del movil 654 y la app te devuelve 987, solo que tu piensas que esos codigos corresponden a la operacion 123.

Lo unico que la app te diga, deseas enviae dinero a la cuenta tal? Para que tu te des cuenta de que estas operando 321 y no 123

#89 No no me refiero a eso... me refiero a algo mucho mas gordo.

#91 Ya, ya. Hombre, para eso supongo que tendrían que darse muchos muchos factores... esperemos que nunca ocurra

#92 El problema es que los elementos tecnicos están disponibles y solo hay juntarles en una estrategia.

#90 Eres tu el que no me entiende, es extremadamente facil meter una firma criptografica en el proceso que mande a paseo el man in the middle del que hablas, y llevamos decada y media usandolo para proteger las webs seguras, entre otras cosas.

(EDIT: vale, acabo de releer tu mensaje. Esto me pasa por calentarme y responder del tiron... exactamente lo que comentas en la segunda frase es en lo que yo pensaba, como ves)

Imaginate, quieres transferir 123 a fulano. Rellenas el formulario y la web te dice "estas trasfiriendo 123 a fulano. mete 45678 (o saca una foto con la app a este qrcode) y escribe aqui tu codigo de confirmacion". Imaginate que los malos meten un virus que cambia esa peticion, tal como dices... al meter el codigo en la App puede pasar una de dos cosas.

A) el virus no cambia el codigo que hay que darle al app. En la aplicacion del movil sale "transferencia de 123 a fulano, mete en el navegador el codigo de confirmacion abcdefg". Este codigo, siendo un hash del importe, pagador, receptor y algun otro dato mas para complicarlo, solamente sirve para confirmar una transferencia de 123 a fulano. Es mas, solo sirve para esa transferencia de 123 a fulano, no puedes usarlo para repetir la transferencia. Lo metes en la web, los malos intentan dar el cambiazo a destinatario e importe, el codigo no se corresponde y se cancela la transferencia.

B) el virus cambia el codigo que hay que darle a la app. En la aplicacion del movil sale "transferencia de 300 a soymumalo". Fin del proceso, lo cancelas ahi mismo y pasas el antivirus o le llevas el PC al informático de turno (o sigues adelante y te la cargas tu, porque se ve claramente que te han dado el cambiazo).

#94 Estamos en el punto B:

"Imaginate, quieres transferir 123 a fulano. Rellenas el formulario y la web te dice "estas trasfiriendo 123 a fulano." "

El navegador por pantalla te puede enseñar misa y hacer lo contrario. Lo que yo digo es que una cosa es lo que pinta el navegador en pantalla y otra lo que el navegador envía por detrás. Si consiguen comprometer tu navegador, la web te dirá por pantalla "estás transfiriendo 123 a fulano" pero el navegador enviará al banco "transferir a 321" y el banco operará siempre con 321 de forma normal y te dirá "mete 87654 en la app" que es un código válido para una operación válida para una cuenta válida, solo que es la cuenta del ladrón, pero el banco no puede saber si esa cuenta que envía el navegador es la misma que tú tecleaste o es la del ladrón.

El banco no puede saber lo que tú tecleas ni lo que tú ves por pantalla, tan sólo sabe lo que le envía el navegador, y si el navegador envía 321, el banco dirá, pues vale, toma el código 87654 para 321, pero tú verás "toma 87654 para 123" y estarás conforme.

Lo único que en la app se detalle la cuenta y el importe que verdaderamente el banco recibió del navegador, para que tú lo veas y lo confirmes. Pero ahora mismo sólo ponen códigos para validar la operación, sin detallarte la operación, entonces tú validas una operación con un código válido sin saber que el navegador te dijo 123 pero hizo 321, y que el código aunque es válido, corresponde a 321.

Hasta que te comprometan también el móvil pero eso ya sería mala suerte.

#95 La web te dira voy a mandar a 123, intenta mandar a 321 y se encuentra un codigo de confirmacion que solo vale para enviar a 123. El banco te anula la peticion y punto. El truco es que no te diga "escribe 12345" en pantalla, te hace sacar una foto con su app a un qrcode con un chorizo de 1024 caracteres dentro y le sobra hueco para poner importe, origen, destinatario, crc y la lista de la compra.

#96 el codigo se genera despues de que tu envies la operacion, para confirmar esa operacion.

En un navegador normal la cuenta bancaria la escribes en un formulario, luego le das a enviar y el navegador envia al servidor lo que tu escribiste en el formulario, a continuacion te pide el codigo de confirmacion de la app para esa operacion.

El problema es que en un navegador comprometido tu puedes escribir como cuenta bancaria 123 y el navegador enviar 321, y el banco lo da por valido porque creee que eso es lo que escribiste, el no puede saber lo que tu escribes realmente. Entonces genera el codigo para 321 y tendras un codigo para 321.

El banco con la app tiene que conectarse directamente a traves de la conexion del movil porque si escaneas un codigo qr generado por la pagina en el ordenador, ahi tu puedes poner el codigo que quieras.

A no ser que sea un qr con contenido cifrado con la clave privada del banco, de tal forma que la app tenga que descifrarlo con la clave publica, de tal forma que si es falso dara error al descifrarlo. Y el contenido del qr sean los datos de la operacion que el banco va a hacer realmente para que tu lo veas.

#93 Me estoy acordando de la Jungla de Cristal 4.0

#97 Paso de escribir. Mejor lees tu... es.wikipedia.org/wiki/Criptografía_asimétrica#Esquemas_para_la_propa

Insisto, llevamos 15 años haciéndolo ya, un nivel 3 es lo que cualquier sistema de correo cifrado basado en certificados digitales es ahora msmo. Es copiar lo mismo en otro nivel distinto y añadir un token físico que no se puede duplicar fácilmente (la puñetera tarjeta contactless sigue siendo un motor criptografico: tu metes un chorizo de letras y sale un chorizo de letras cifrado con una clave que solo puede abrir el banco). Teniendo ese punto asegurado, lo demás es tender pares de claves publica-privada hasta el punto en que aunque no pueda asegurar que tu me mandas la petición correcta, si puedo asegurar que tu vas a validarme solamente una operación correcta, y solo te voy a dejar avanzar si la operación esta validada. Fin del problema.

#99 A riesgo de que se me tilde de marxista, creo que @Marx tiene razón en este caso. Los mecanismos de clave pública y privada sirven para garantizar la transmisión de una información Y cifrada desde una información X del punto A al B de forma segura. El caso que se comenta en #97 es previo al paso X->Y, y por lo tanto poco importa el resto de validaciones, ya que se hacen sobre X' y no sobre X. El proceso de clave pública será fiable, pero los datos de partida son erróneos.

La manera de verificar este apartado es suponer que estamos usando dos dispositivos distintos ( PC y móvil ) y sólo uno de los dispositivos está afectado, y que mostramos la información de la transacción en ambos terminales, para que el usuario compruebe que coinciden. En ese caso, la transacción sería realmente segura, y el mecanismo de clave pública - privada ayudaría a evitar el hackeo. En el supuesto que se está comentando no, ya que el cifrado es ajeno a esa intrusión previa.

Puede que se me escape algo, pero yo lo veo así.