BNP Paribas

Por favor, no demos más pistas a los kakos ;-)

Estimado Almax, creo que tienen sobrado fundamento sus razones.

Yo también tengo cuenta de valores en BNP Paribas y, al tiempo que recibí la noticia sobre el envío del SMS al teléfono móvil consignado en la plataforma, les escribí para felicitarles por sus iniciativas de mejora. No obstante, les expresé con claridad que deberían deshabilitar el cambio del teléfono móvil desde la plataforma on line una vez tomase efecto la implantación de esta nueva medida de seguridad, si es se pretende realmente que sea de alguna efectividad.

Ciertamente, una password inferiror a 12 caracteres no es una password fuerte y, por lo tanto, cognoscible mediante fuerza bruta con los algoritmos adecuados para alguien que tenga conocimientos en materia de criptografía y de computación.

Se echa de menos también la exigencia de la introducción del NIF para acceder a la plataforma, así como la tenencia física de una tarjeta de coordenadas plastificada para los movimientos de suscripción y de reembolso.

Cuando tome efecto la mejora que nos ha anunciado BNP Paribas P.I., volveré a escribirles para recordarles lo que acabo de comentarles a todos ustedes aquí, a saber :

- Deshabilitación de número de móvil "favorito" para SMS de seguridad on line

- Posibilidad de escribir password fuertes ( robustas ) con más caracteres ( preferiblemente 12 o más 9

- Posibilidad de introducir NIF además de Código de usuario

- Uso de tarjeta de coordenadas física para los movimientos de fondos

En la era de Bitcoin, en pleno siglo XXI, estas consideraciones sobre seguridad ( y no soy un experto, seguramente otros que se dedican profesionalmente a implementaciones de seguridad informática podrán aportar mucho más ) me parecen insoslayables.

Por mi parte, hasta que no me sienta perfectamente atendido en estas solicitudes, pienso dejarles bien claro por escrito que cesaré temporalmente en mis aportaciones a los fondos de Vanguard que tengo con este bróker. Ciertamente, me es un bróker simpático, ciertamente creo que han ido mejorando y que quieren mejorar pero, también ciertamente, los inversores queremos ver resultados concretos en materia de seguridad informática.

Muchas gracias y un saludo.

Muchos bancos online utilizan la tarjeta de coordenadas (física). ¿Qué grado de seguridad crees que aporta este sistema?

Estimado contertulio Trapero

Leo con atención muchas de sus exposiciones, que me han sido de gran utilidad. Gracias por ello.

Ya le digo que no soy un experto en seguridad informática, pero en los últimos tiempos leo mucho sobre la tecnología Bitcoin que me interesa mucho, y es fácil darse cuenta de que hoy día existen poderosos medios computacionales para dar al traste con sistemas que se tomen la seguridad un poco a la ligera.

El asunto de las passwords fuertes es central, por ejemplo.

Respecto a las tarjetas físicas de coordenadas, sinceramente, a mí es lo que más garantías me ofrece. Es un poco el equivalente a la "cartera fría" en el mundo Bitcoin.

SelfBank la proporciona, y creo que el resto de los bancos sistémicos ( conozco Sabadell, ING Direct y Deutsche Bank ) también. Renta 4 no la proporciona, pero es cierto que supera en seguridad ( por lo ya comentado por aquí por el usuario Almax ) a BNP Paribas P.I.

Mantengo mi decisión de escribir una comunicación formal a BNP Paribas P.I. próximamente trasladándoles estas inquietudes que les expongo aquí, y les animo a que todos ustedes, los que tengan cuenta de valores con ellos al menos, tomen una resolución similar. Creo que una iniciativa conjunta redundará, a la larga, en beneficio de todos, nosotros y ellos ( el bróker ).

Un saludo,

Yo creo que la seguridad mínima que se le podría pedir a cualquier banco (BNP es uno de ellos) es la que tiene implantada Coinc, que por un lado envía un SMS con un código de confirmación, y por otro lado sólo permite enviar transferencias a cuentas donde previamente han identificado que tú eres titular.

Y la seguridad relativamente adecuada ya sería la que ofrece Openbank, con clave de acceso, clave de operaciones y mensaje al móvil con código.

La tarjeta de coordenadas hoy en día es irrelevante.

La combinación de Renta4, con Google Authenticator para evitar que nadie opere en tu cuenta + la clave al SMS para las salidas de capital de la cuenta es también bastante interesante.

Almax, ¿ podría aclarar por qué la tarjeta de coordenadas es algo irrelevante ?

Seguramente, en mi ignorancia, a mí era lo que más tranquilidad me daba.  Tal vez, bien pensado, se trata en definitiva de claves muy cortas. Aunque cada tarjeta está asignada a cada cliente por un número más largo.

También es muy interesante ( lo olvidé mencionar ) lo que usted apunta sobre la cuenta asociada para transferencias externas, tipo Coinc.

Saludos,

Porque el código OTP, el que se manda por SMS al móvil ya hace las veces de la tarjeta. Es un código cada vez diferente a un dispositivo físico, que es lo que sería la tarjeta de coordenadas. Lo interesante sería añadir a eso una clave de operaciones distinta a la de acceso, como la que tiene Openbank.

Gracias. Yo simplemente recopilo información que leo en la red y voy al hilo y la cuento. Intercambiando información aprendemos todos.

Lo que dices es lo que pensaba de las tarjetas de coordenadas, que dan bastante protección. Otro sistema que uso, en este caso para las compras online, es la tarjeta virtual recargable. Me parece muy segura.

Por cierto que yo también me he interesado últimamente por el mundo del bitcoin. Es una pena que en Rankia se hable poco del tema, aunque lo entiendo porque es bastante complejo.

Pero como dice luiscartera el SMS al móvil sería "caliente" porque se transmite por medio electrónico. La tarjeta de coordenadas sería "fría". ¿No?

(y ojo, no digo que el SMS no sea seguro)

Entender técnicamente la programación es complejo, seguramente para especialistas. Se aúnan dos disciplinas, análisis criptográfico y ciencias de la computación.

Pero para el usuario medio, se puede entender cómo es el funcionamiento general usando las apropiadas analogías. No deja de ser una red, unos nodos y un registro de contabilidad que es público.

Pagar y recibir bitcoins también es sencillo, casi más que enviar un email. Basta escanear un código QR.

Sin embargo, sí es muy delicado ( y algo lioso ) el asunto de las carteras, dónde guardar los bitcoins ( o bitcoines ) y cómo manejarse con ellas y las copias de seguridad.

Es cuestión de írselo metiendo poco a poco en la cabeza e ir probando. Desde luego, la tecnología que maneja es fascinante, a mí me parece una verdadera innovación. Y a la moneda bitcoin sólo le veo ventajas. Realmente, ya está dejando de ser algo meramente experimental y hay toda una economía detrás en franca expansión.

Lo que pueda dar de sí Bitcoin en el futuro como moneda dependerá, precisamente, de si su uso se extiende o no.

Un saludo.

Gracias por contestar, Almax.

Entiendo lo que dice sobre la tarjeta de coordenadas, tal vez sea redundante si ya existe el código SMS.

En lo que me pierdo un poco es sobre lo que escribe de la "clave de operaciones" aparte del "código de acceso". Lamentablemente, no conozco, no opero con OpenBank.

¿ Se trataría de aunar el código SMS recibido y la "clave de operaciones" para poder efectuar movimientos de fondos y de transferencias ?

Saludos,

Sí, Openbank funciona:

1) Para entrar un usuario (DNI) y una clave de acceso.

2) Para operar una clave de operaciones de 8 caracteres donde sólo te piden 3 o 4 posiciones aleatorias cada vez. Esto es muy muy importante para combatir key loggers, de forma que nunca se escribe la clave de operaciones entera.

3) Si la operación consiste en sacar dinero a una cuenta externa, entonces además de esas posiciones aleatorias de la clave de operaciones, te mandan un código al móvil para confirmarla.

Para mí esto es suficiente, e ir más allá es rizar el rizo.

También la tarjeta la pierdes al perder la cartera, y sin embargo el móvil aunque lo pierdas lo tienes encriptado y con clave de acceso. Para mí personalmente prefiero el código OTP que la tarjeta de coordenadas de ING Direct, aunque es cierto que ING Direct tiene la tarjeta de coordenadas y para transferencias a una cuenta que nunca hayas hecho una previamente también te manda un código de confirmación al móvil.

En realidad estamos rizando el rizo, de lo que realmente se trata es que BNP ponga un sistema decente que no sea simplemente un usuario y una contraseña, o un móvil que se puede cambiar porque el código de confirmación lo mandan al nuevo.

El tema se les ha reportado repetidas veces, por email y por teléfono, y no hacen nada para solucionarlo. Esto me da a entender que esto es un chiringuito con una oficina en Madrid a los que desde la central no les hacen ni puñetero caso y les han creado una web para salir del paso. De no ser así, es que son realmente unos inútiles (o ineptos, que también puede ser).

Un saludo,

Yo estaba pensando abrir una cuenta en BNP Paribas y al leer todos vuestros comentarios me he puesto en contacto por email esta mañana con el Personal Investor que me habían asignado.

Por lo que he podido comprobar, creo que leen el foro y el hilo (Hola!)

Me ha llamado y os comento lo que me ha dicho para que lo valoreis:

según me ha comentado, por ahora solamente se ha hecho una comunicación a los clinetes y todo este proceso del cambio de seguridad y cambio de móvil está por definir, hacer pruebas, etc... Segun me ha comentado, no es cierto que el código se envíe al código nuevo, estos aspectos están por definir y están revisando muy atentamente las propuestas que la gente les ahce llegar.

Os encaja?

Gracias, sí, ahora lo entiendo. Es similar al sistema que usa ING Direct también. Ellos proporcionan una tarjeta de coordenadas en vez de enviar un SMS. Algo más fuerte me parece el sistema que usted describe en OpenBank, pues tienen "clave de acceso" y "clave de operaciones".

De todas maneras, regresando a BNP Paribas P.I., ellos exponen que tienen un sistema de cifrado garantizado por Verisign. En la pestaña de "Seguridad" puede leerse lo siguiente :