Siempre me ha gustado ING y poder operar online, pero hay una nueva forma de trabajar, una forma impuesta, que no se si me convence, hasta ahora tú hacías operaciones y necesitabas de un documento físico para finalizarlas que es la tarjeta de coordenadas, a mí me parecería muy seguro, conseguir tus datos de logueo y la tarjeta a la vez por un ladrón, me parecía complicado. Ahora han quitado la tarjeta de coordenadas y te obligan a crear una validación móvil de tal forma que desde el móvil o el pc (el pc si no has hecho la validación móvil no puedes operar) puedes hacer cualquier operación con solo dos claves, la principal para entrar en la aplicación y una secundaria para autorizar operaciones.... Esto no es muy inseguro? Si alguien consigue control de mi móvil no le será fácil hacerse con las dos claves que además son fijas?.
Despejad mis dudas por favor.
Lo explicaban por mail , que en Septiembre entraba en vigor una normativa Europea de seguridiad PSD2.
La verdad es que la gente suele llevar la tarjeta de coordenadas junto con la tarjeta con lo cual tampoco es bueno.
Eso ha venido de europa y es para todos los bancos, no únicamente para ING.
Mierda se me adelantó #4.
Las tarjetas de coordenadas se podían hackear también.
Con ING hace tiempo que podías activar la omisión de la tarjeta de coordenadas, reintroduciendo la contraseña, si no tenías el móvil rooteado.
Los 3 fundamentos de la seguridad:
Algo que sabes: Tus contraseñas
Algo que eres: Tus huellas o tu cara
Algo que tienes: Tu movil
Si se aplican estos 3 factores es muy dificil que te suplanten.
Debido a que existen varias vulnerabilidades en muchas tarjetas SIM y que incluso existen otras posibilidades para realizar ataques contra usuarios de telefonía móvil, sería conveniente reducir el uso de los SMS como elemento de autenticación. Expertos en seguridad consideran peligroso el uso de los SMS como elemento de autenticación o 2º elemento de autenticación.
Sería mejor usar un sistema de 2ª autenticación distinto, como por ejemplo, códigos temporales, los cuales pueden existir en "tokens" RSA físicos o en forma de códigos QR que pueden usar apps como Authy y otras (protocolo TOTP).
Lamentablemente estamos ante un ejemplo de cómo una regulación puede provocar un problema de seguridad, cuando pretendía mejorarla.
Por mencionar un hecho noticioso relacionado con el objetivo de ilustrar que esto produce problemas en el mundo real, hace poco un atacante consiguió publicar varios tweets en la cuenta de @jack, el CEO de Twitter. En este caso, el hacker suplantó el número de teléfono de @jack para realizar esto.
Por supuesto, también hay muchos casos en los que vulnerabilidades en SMS, GSM o en los protocolos de seguridad de las compañías de telecomunicaciones móviles provocan cuantiosas pérdidas monetarias.
#14 cuando digo "es muy dificil" no estoy diciendo "es imposible".
Si, hay hackers que te pueden hacer el lio, pero repito, es muy dificil y casi siempre que te hacen el lio TÚ tienes gran parte de culpa.
#15 diría que a día de hoy el sitio mas vulnerable son las tiendas físicas de telefonía donde te pueden hacer duplicados de sims.
de hecho hace poco salió la noticia de que le robaron a un tío en EEUU todos sus ahorros (1'8M de euros despues de vender su negocio familiar para jubilarse) así, fueron con un carnet de conducir falsificado, sacaron sim, código del banco y transferencia de todo.
en 10 minutos.
#17 Sí, la verificación mediante SMS o llamada GSM es un eslabón débil, y por lo tanto, se ataca por esa vía.
#17 pero además de el sms necesitas el password de acceso a la aplicación y el password de confirmación de operación.
#19 Ten en cuenta que en algunos sistemas puedes pedir que te manden un código para resetear tu contraseña de acceso (porque la has olvidado) mediante SMS.
Aunque mencionas la contraseña de operación, y esa en la mayoría de los bancos esa contraseña no se puede resetear por SMS. Pero igualmente, no todos los bancos hacen estos. Algunos te mandan el código de confirmación de operación mediante SMS.
#19 necesitas la contraseña de acceso, que consigues haciendo phising. Luego la password de confirmación de operación te la mandan por sms
y puede que en muchos sitios te acaben reseteando la de acceso si tienes el teléfono.
Y no era más peligroso llevar la tarjeta de coordenadas que mucha gente la llevaba en la misma cartera? Vamos yo veo mucho más complicado hackear todo eso que la antigua tarjeta de coordenadas
