Ciberseguridad: Nueva sentencia contra la banca: ellos son los responsables si hackean tu cuenta. Una nueva sentencia judicial lo deja muy claro: si te roban dinero de tu cuenta corriente con un ataque informático el banco es responsable. Aunque hay excepciones.
|
etiquetas: ciberseguridad , nueva sentencia , contra la banca , hackean , tú cuenta
Ojo que el antivirus te puede salvar el culo.
"En este caso la sentencia ha dictaminado que no se puede considerar una negligencia grave tener 'malware' siempre y cuando el usuario tenga instalado un programa antivirus para evitarlo."
No me parece muy lógico, la verdad. Creía iba en otro sentido, tipo que debe ser el banco el que ponga medios para evitar que solo hackeando la cuenta el "hacker" ya tenga vía libre para transferir el dinero que quiera (vía mensajes de seguridad al móvil, vía tarjeta de coordenadas, vía lo que inventen y funcione).
Mi banco, por ejemplo sería dificil, la aplicación mueve los botones del PIN de sitio, confirmación de SMS en transferencias y alguna más tenía.
Lo que hacía falta, les ahorro pasta (y bien que me parece) y si se saltan sus controles de seguridad palmo yo. No no no
Para eso tengo las tarjetas de coordenadas, y si eso no es suficiente que vayan pensando en algo
Estamos llegando a un punto en que el usuario nunca es responsable de nada, se le toma por un pelele tonto incapaz de tomar sus propias decisiones que debe ser tutelado en cada momento por el estado o por las empresas aunque esa tutela sea imposible como en este caso.
A mi me han llamado varias veces para confirmar si era realmente yo quien estaba sacando dinero de algunos cajeros o haciendo transferencias.
Pero claro, para eso tiene que ser un banco serio y no un nido de ratas.
La banca siempre gana
"Cuando el troyano se ha instalado en el teléfono, espera hasta que presionamos el icono para abrir la 'app' de nuestro banco. Entonces se abre una ventana, pero no es la real sino una copia exacta. El troyano copiará las credenciales que escribamos allí y las mandará a los "malos". Después, se abrirá la aplicación auténtica, para que no sospechemos. Así, pensaremos que nos pide de nuevo las credenciales porque antes nos habíamos equivocado.
Con los datos robados, los malos entrarán en nuestra cuenta bancaria y ordenarán una transferencia. La mayoría de bancos tienen un sistema de doble autenticación, lo que significa que además de introducir nuestras credenciales tenemos que darles un PIN que se nos manda a nuestro teléfono móvil, por SMS. Pero ahí está el troyano infiltrado en nuestro teléfono, esperando a que llegue este SMS para reenviarlo a los malos y esconderlo a los ojos del propietario del teléfono."
Se están viendo también casos de malware que inyectan su propio código en la web del banco al entrar a la plataforma.
Los bancos pueden hacer mucho (y de hecho hacen). Hay equipos especializados en análisis de malware bancario trabajando. Y por cierto, el banco, a dia de hoy, devuelve el dinero a las víctimas de fraude online.
Dejad de lado las ideas de que solo los cazurros/descuidados pueden ser víctimas.
Si es el usuario que por culpa de su torpeza, falta de seguridad en su PC se infecta, podríamos decir que tiene parte de la culpa, pero no toda. Ya que salvo en casos de phishing y técnicas similares donde el usuario por dicha torpeza no verifica la web a la que entra, el responsable directo de la seguridad de una web y/o el webmaster, o empresa que mantiene dicha web. Ya que viendo que la mayoría de los virus se producen por agujeros de seguridad en software o al programar en sí (por ejemplo una web/blog creado con Wordpress) y más si es software privativo, el usuario no es responsable directo incluso aunque su torpeza infecte su PC. Ya que hay una relación causa-efecto entre dichos agujeros de seguridad y la infección de un PC. De tal forma que si dichos agujeros de seguridad no existiesen el usuario no se infectaría, repito salvo en casos de phishing y páginas preparadas expresamente para capturar datos y/o infectar al usuario.
Precisamente esta es una de las razones del uso masivo de bloqueadores de publicidad para evitar posibles códigos maliciosos en los anuncios y de NoScript y similares para bloquear scripts maliciosos por inyección de código, al aprovechar una o varias vulnerabilidades de, especialmente, los softwares, aplicaciones, programas,... usados para programar una web o bien un fallo de seguridad provocado por la torpeza de quien/es programa/n dicha web. Y como dije en el supuesto de no ser así (famosa guerra actual entre bloqueadores vs antibloqueadores) y algunas webs impidan el uso de estos complementos, deberían ser fuértemente sancionadas por poner potencialmente en peligro la estabilidad y seguridad de los equipos de los usuarios, así como los datos de estos. Sin hablar el poner evidentemente en potencial peligro su derecho a la privacidad e intimidad, en webs que se dedican a capturar datos, crear perfiles, uso de cookies maliciosas, supercookies y técnicas de huella digital tipo canvas así como con técnicas similares.
Todo esto sin hablar de la dificultad de programar, que en muchos casos es alta. Pero repito, especialmente en programas privativos muy caros, esto es más una excusa que otra cosa. Se supone que si se paga por algo es para tener una mínima seguridad, mínima seguridad que no siempre existe.
Salu2
Desde darle las claves a cualquiera ("no entiendo nada de pc") hacer transferencias erróneas (sí, aunque suene increíble) a usar navegadores específicamente no recomendados. máquinas desactualizadas, etc.
Podés diseñar el sistema a prueba de tontos... pero los tontos son muy persistentes. Y normalmente encuentran los huecos para armar un estropicio.
Dos cosas:
1. Son los bancos los que se empeñan en poner de patitas en la calle a empleados, cerrar oficinas y sustituirlo por sistemas telemáticos. Cuando impones algo tecnologicamente avanzado a una base de usuarios en un pais donde hay una enorme cantidad de gente mayor, echarles la culpa de que no funciona muestra un muy bajo nivel moral.
2. Son los bancos y empresas los que se gastan en muchos casos unos pastizales que a quiene sabemos de esto nos parecen sospechosamente altos y acto seguido, en cuanto falla algo, echan la culpa "al informático". Una vez mas, no exactamente algo precisamente edificante.
1. las herramientas online de los bancos son, hoy por hoy, de uso opcional, sigue existiendo gente realizando operativa bancaria yendo personalmente al banco.
2. no importa cuanto gasten los bancos o las empresas, en este caso hablamos de algo que ocurre en un ordenador que el banco ni ha visto, tocado ni olido, sienta un precedente gravisimo que se responsabilice a alguien del estado del ordenador de su cliente cuando no tiene ningun control sobre ello, simplemente porque "es un banco".
¿Quien es el responsable de la seguridad del sistema informatico que usan los clientes de una empresa? Este punto ha de quedar muy claro, porque si la responsabilidad es de la empresa habra que pensar que mañana puede ser lo mismo con cualquier otra empresa que no sea un banco y en esas condiciones lo normal es que cualquier empresa quiera poner pies en polvorosa de este pais.
El coeficiente de caja es el porcentaje del dinero de los clientes que debe mantenerse líquido, es decir, sin invertirlo en algo ni usarlo para dar un préstamo. Según leo, para España y zona euro es actualmente del 1% desde el 2011 (para cuentas a la vista y similares, si es un depósito por lo visto es menos, el 0%)... que sería como decir que si metes 100 euros, sólo hay 1 euro que según la ley el banco debe "guardar"... digamos que el 99% restante el banco puede usarlo como le venga en gana.
Supongo que a eso se refiere el comentario, que el banco no está obligado a guardar tu dinero... y como no está obligado lo normal es que no lo haga.
"Desde que existe el coeficiente de caja, el banco no puede cobrarte. Tu dinero no está guardado."
Esa frase tal cual creo que no es cierta, es decir, el banco no está obligado a "guardar" el 100% pero... tampoco está obligado a invertir una parte de tu dinero ni a prestarlo, es decir, podría limitarse a guardar el 100% de lo que metes y cobrarte una comisión por ello. Creo que el banco podría cobrarte diciendo "es por guardarte el dinero" si realmente se limitase a guardarlo, lo podría hacer... de hecho, creo que hay servicios que son así: las cajas de seguridad donde puedes ir y meter lo que quieras (un diamante, como en las películas) y el banco te cobra por "custodiar" o "guardar" lo que hayas metido tú mismo en la caja, sin saber qué es. Eso sí, ese servicio es caro.
Ahora bien, entiendo que con esa frase quiere decir que los bancos, teniendo libertar para invertir el 99%, suelen invertir una parte, normalmente una gran parte, y, por tanto, si actúan así y a la vez te cobran una comisión no podrían decir que esa comisión es por "guardar" tu dinero, porque eso sería una estafa.
Entonces ¿por qué te cobra el banco? Creo que la comisión más famosa es la "comisión de mantenimiento"... que creo que quiere decir "te cobramos una cantidad de dinero al año por mantener tu cuenta: los ordenadores que almacenan tus datos, etc... todos los gastos que conlleva 'mantener' esa cuenta y asegurarte las condiciones que marca la ley, y, supongo que las que no les obligue la ley pero que el banco te ofrece".
Si no me equivoco esa comisión de mantenimiento y otras están reguladas, de forma que si te cobrasen más del límite marcado por la ley podrías… » ver todo el comentario
Negar que los bancos están reemplazando empleados por sistemas telemáticos es un disparate. Hoy hay menos oficinas bancarias que hace ... 30 años.
www.economiadigital.es/es/notices/2015/07/las-oficinas-bancarias-se-de
http://www.a bc.es/economia/abci-mitad-oficinas-bancarias-cerradas-durante-crisis-eurozona-eran-espanolas-201607011847_noticia.html (AEDE capado)
2. no importa cuanto gasten los bancos o las empresas, en este caso hablamos de algo que ocurre en un ordenador que el banco ni ha visto, tocado ni olido,
Claor que so. Exactamente igual que Amazon, Google, Facebook, Whatsapp, PayPal, Netflix, TripAdvisor, Linkedin, AirBnB y un larguísimo etc.
Pero hoy por hoy no es obligatorio tener internet ni un ordenador para tener cuenta bancaria, gracias a ello los clientes pueden operar a distancia, y los bancos necesitan menos personal, es un beneficio para ambas partes.
que dices en el 2? so? si o no? que en tu ordenador haya virus es culpa de amazon? google? facebook? whatsapp? paypal? etc etc permitirias que un tecnico de una de esas empresas lo revisara periodicamente? imagino que no.
Hace 30 años servidora utilizaba cajeros telemáticos.
que dices en el 2?
Que tengo una empresa y he programado yo el interface con varios portales de pago y me hago plenamente responsable de ellos. Si un cliente tiene cualquier problema, le devolvemos su dinero.
Venga ya, en serio? Soy el único que lo ve tan claro cuando llevamos quince putos años usando cifrados de llave publica y llave privada, no es ciencia de cohetes!
Yo tambien tengo una empresa y cada cliente tiene su usuario y contraseña para acceder a un determinado panel, si al usuario le meten un virus y le roban la contraseña ¿me puede explicar como es posible que seamos nosotros responsables de lo que pasa en su ordenador? ni tu empresa ni la mia tenemos control alguno sobre lo que ocurre en su ordenador, sobre que haga click en los adjuntos de emails que le mandan, de si actualiza o no su ordenador cuando salen actualizaciones, etc etc
el interfaz con los portales de pago no sera el script que enlaza con el tpv? supongo que si el fallo esta en tu script le devuelves el dinero pero hay mas situaciones que esa
Cuando llaman, se los identifica y se les dice claramente: no comparta su usuario y su clave con nadie.
Y te dicen alegremente: "la que ingresaba era mi secretaria, renunció y tengo que hacer pagos. ¿Cómo recupero las claves?"
Cuando hay otro tipo de problemas, les preguntás: ¿cuál es su sistema operativo? ¿Qué navegador usa? No tienen la menor idea. Ni hablar de antivirus o soft de seguridad en general.
¿En serio hay que hacerse cargo de semejantes ignorantes? ¿Cómo? ¿Se les manda a cada uno un técnico a su casa?
Estamos hablando de transferencias bancarias, no de la clave de facebook. Fijáte lo que hacés, está en juego tu dinero.
Pero no, parece que les divierte ser ignorantes. Bueno, disfrutálo mientras dure. Y no te quejes después.
Cuantas mas capas mejor... pero seguridad... en estos tiempos?????? De verdad que no... (Es mi día a día).
Fijate si es facil de resolver el problema. Piensa en lo que hace Whatsapp para darte paso al interfaz por navegador web. Añadele cifrado decente y firma criptografica del formulario que se envie para que no pueda cambiarse una coma, y ya lo tienes hecho.
Como he dicho en otro lugar, si en mi empresa no nos gusta un cliente, nos negamos a faciltarle servicio. Tan sencillo como eso.
Y por cierto Whasapp es mal ejemplo...
enigmedia.es/protocolo-ss7-whatsapp/
cybersecurityventures.com/whatsapp-message-hacked-by-john-mcafee-and-c
...
www.independent.co.uk/life-style/gadgets-and-tech/news/whatsapp-for-we
Esta última parece (por los foros de seguridad donde me muevo que esta ya cerrada)
Por otra parte, si supieras de que hablas sería más interesante. Veras, eso que tu escribes, refleja las tertulias pseudo políticas de la televisión de hoy en día. Creo que eres producto de ellas. Informarte mejor, lee de fuentes fiables, y luego, con prudencia, opina, escuchando, y tal vez, sólo tal vez, si la naturaleza te premió como a otros (eso no tiene mérito, que te conste, ser inteligente o alto o guapo no es producto del esfuerzo) puedas debatir como un adulto.
Te pregunto de que hablas porque es evidente que no lo sabes, ni que es el coeficiente de caja, ni la creación de dinero, ni su multiplicador ni....
Que luego lo trufes con verdades, opiniones, tus creencias, y afinidades, lo convierte en todologia (técnicamente demagogia) de primer curso de la carrera de Opinador Tertuliano.
Yo no quedo o dejo de quedar como un señor, procuro actuar como tal, nada más.
Mi respuesta: "de que hablas?"
Tu respuesta: "Sois un poco retrasaditos, ¿no?"
Ahora me explicas donde está la mala educación y la falta de respeto, y si eres capaz, la lógica de tu frase inicial, de la que sigo opinando:
De que hablas?
Pero seguro que hay dispositivos dedicados.
Lo unico que la app te diga, deseas enviae dinero a la cuenta tal? Para que tu te des cuenta de que estas operando 321 y no 123
(EDIT: vale, acabo de releer tu mensaje. Esto me pasa por calentarme y responder del tiron... exactamente lo que comentas en la segunda frase es en lo que yo pensaba, como ves)
Imaginate, quieres transferir 123 a fulano. Rellenas el formulario y la web te dice "estas trasfiriendo 123 a fulano. mete 45678 (o saca una foto con la app a este qrcode) y escribe aqui tu codigo de confirmacion". Imaginate que los malos meten un virus que cambia esa peticion, tal como dices... al meter el codigo en la App puede pasar una de dos cosas.
A) el virus no cambia el codigo que hay que darle al app. En la aplicacion del movil sale "transferencia de 123 a fulano, mete en el navegador el codigo de confirmacion abcdefg". Este codigo, siendo un hash del importe, pagador, receptor y algun otro dato mas para complicarlo, solamente sirve para confirmar una transferencia de 123 a fulano. Es mas, solo sirve para esa transferencia de 123 a fulano, no puedes usarlo para repetir la transferencia. Lo metes en la web, los malos intentan dar el cambiazo a destinatario e importe, el codigo no se corresponde y se cancela la transferencia.
B) el virus cambia el codigo que hay que darle a la app. En la aplicacion del movil sale "transferencia de 300 a soymumalo". Fin del proceso, lo cancelas ahi mismo y pasas el antivirus o le llevas el PC al informático de turno (o sigues adelante y te la cargas tu, porque se ve claramente que te han dado el cambiazo).
"Imaginate, quieres transferir 123 a fulano. Rellenas el formulario y la web te dice "estas trasfiriendo 123 a fulano." "
El navegador por pantalla te puede enseñar misa y hacer lo contrario. Lo que yo digo es que una cosa es lo que pinta el navegador en pantalla y otra lo que el navegador envía por detrás. Si consiguen comprometer tu navegador, la web te dirá por pantalla "estás transfiriendo 123 a fulano" pero el navegador enviará al banco "transferir a 321" y el banco operará siempre con 321 de forma normal y te dirá "mete 87654 en la app" que es un código válido para una operación válida para una cuenta válida, solo que es la cuenta del ladrón, pero el banco no puede saber si esa cuenta que envía el navegador es la misma que tú tecleaste o es la del ladrón.
El banco no puede saber lo que tú tecleas ni lo que tú ves por pantalla, tan sólo sabe lo que le envía el navegador, y si el navegador envía 321, el banco dirá, pues vale, toma el código 87654 para 321, pero tú verás "toma 87654 para 123" y estarás conforme.
Lo único que en la app se detalle la cuenta y el importe que verdaderamente el banco recibió del navegador, para que tú lo veas y lo confirmes. Pero ahora mismo sólo ponen códigos para validar la operación, sin detallarte la operación, entonces tú validas una operación con un código válido sin saber que el navegador te dijo 123 pero hizo 321, y que el código aunque es válido, corresponde a 321.
Hasta que te comprometan también el móvil pero eso ya sería mala suerte.
En un navegador normal la cuenta bancaria la escribes en un formulario, luego le das a enviar y el navegador envia al servidor lo que tu escribiste en el formulario, a continuacion te pide el codigo de confirmacion de la app para esa operacion.
El problema es que en un navegador comprometido tu puedes escribir como cuenta bancaria 123 y el navegador enviar 321, y el banco lo da por valido porque creee que eso es lo que escribiste, el no puede saber lo que tu escribes realmente. Entonces genera el codigo para 321 y tendras un codigo para 321.
El banco con la app tiene que conectarse directamente a traves de la conexion del movil porque si escaneas un codigo qr generado por la pagina en el ordenador, ahi tu puedes poner el codigo que quieras.
A no ser que sea un qr con contenido cifrado con la clave privada del banco, de tal forma que la app tenga que descifrarlo con la clave publica, de tal forma que si es falso dara error al descifrarlo. Y el contenido del qr sean los datos de la operacion que el banco va a hacer realmente para que tu lo veas.
Insisto, llevamos 15 años haciéndolo ya, un nivel 3 es lo que cualquier sistema de correo cifrado basado en certificados digitales es ahora msmo. Es copiar lo mismo en otro nivel distinto y añadir un token físico que no se puede duplicar fácilmente (la puñetera tarjeta contactless sigue siendo un motor criptografico: tu metes un chorizo de letras y sale un chorizo de letras cifrado con una clave que solo puede abrir el banco). Teniendo ese punto asegurado, lo demás es tender pares de claves publica-privada hasta el punto en que aunque no pueda asegurar que tu me mandas la petición correcta, si puedo asegurar que tu vas a validarme solamente una operación correcta, y solo te voy a dejar avanzar si la operación esta validada. Fin del problema.
La manera de verificar este apartado es suponer que estamos usando dos dispositivos distintos ( PC y móvil ) y sólo uno de los dispositivos está afectado, y que mostramos la información de la transacción en ambos terminales, para que el usuario compruebe que coinciden. En ese caso, la transacción sería realmente segura, y el mecanismo de clave pública - privada ayudaría a evitar el hackeo. En el supuesto que se está comentando no, ya que el cifrado es ajeno a esa intrusión previa.
Puede que se me escape algo, pero yo lo veo así.