ING sólo se podrán hacer operaciones a través del móvil (PSD2)

yo he realizado esta mañana una transferencia para vaciar una cuenta de un familiar y no he tenido problema con clave y sms.

Claro, porque tu familiar no tenía tarjeta de coordenadas.

posiblemente,lo que esta claro es que tienen un lio de operativa cojonudo,solo hay que leer comentarios en facebbok y play store

Yo fui a hacer una transferencia a través de la página web. Me salió un aviso de que me mandaban un mensaje para confirmar si era yo (las opciones de respuesta eran Sí y No). Pues le di al Sí y dio error. Al final tuve que hacer la transferencia a través de la app.

Un saludo.

Está claro que no van a cambiar nunca hasta el jefazo en ING que ha tragado Agile se encuentre otro sitio. Hasta tienen un apartado de Agile en el blog de En Naranja.

Para los que no sepan, Agile es una manera de gestionar proyectos informáticos con actualizaciones constantes para arreglar las incidencias constantes que surgen, o sea un descontrol total.

aarroyoc, deberias estudiar e informarte mejor antes de decir que " La red SMS " no es segura. De entrada, no existe red SMS. Dicho eso, dime un solo caso en el que alguien haya "interceptado" un SMS, o alguien que haya recibido un SMS fraudulento (busca, busca en google).

El punto flojo de los SMS es precisamente desde que existen los smartphone y su SO tiene acceso a los ellos. Es ahi donde un malware puede interceptarlo, pero eso tambien les pasa a las APPs y a cualquier cosa que tengas en el smartphone. 

Buenas,

Hacia tiempo que no entraba aqui (se me desactivo el recibir avisos) y veo la cosa, lejos de solucionarse van a peor... y el 10 de Septiembre esta a la vuelta de la esquina. La que han liado los de ING. Os aseguro que "era" un gran banco con el que yo nunca tuve problemas,  al contrario, pero esta vez se han lucido... y pa na.. 

Respecto al problema para acceder a la web desde  https://ing.ingdirect.es/pfm/#login/credentials que todos estamos experimentando, hoy he visto que hay una nueva dirección:  https://ing.ingdirect.es/app-login/ en la que tambien se puede acceder.  Funciona igual de lento, pero es diferente... se ve que algo están cociendo.

Tenia intencion de activar la aplicacion movil en el smartphone de mi mujer, en donde la instale hace unos dias, pero visto el carajal que hay liado voy a estarme quietecito. Eso si, voy a poner en marcha un plan de contingencia por si no puedo acceder en varios dias (osea, traspasar dinero a otro banco, por si acaso) y a seguir viendo que pasa...

Pues yo no he podido hacer la validación móvil.  En la App, dentro de Menú, Área Personal, Seguridad, y Validación Móvil, deberían aparecer 3 opciones: "Qué es", "Activar en este dispositivo" y "Desactivar", pero a mí no me aparecen las dos últimas. Luego, si hago una transferencia desde la App, una vez realizada da la opción de hacer la validación móvil, pero cuando introduzco el código que te envían por SMS no me deja pulsar el botón de Confirmar, pues está como deshabilitado, y de ahí no paso.

Tengo un Sony Xperia E1 con Android 4.4.2 y versión de App 2.6.

Voy a vaciar las cuentas y a cambiar la domiciliación de la nómina, y a esperar acontecimientos.

¿Podrías argumentarme un poco más por qué los SMS son menos seguros?. Por lo que he podido ver la única forma de hacer un ataque MIM contra los SMS es que el móvil en cuestión tenga un troyano que intercepte los SMS legítimos y los reenvíe al atacante. Si el usuario en cuestión tiene un móvil que no es smartphone, ¿cómo le vas a instalar un troyano?. Hoy en día la red GSM se puede descifrar. Tanto voz como datos (sms). Compras una antena usb para ver la TV con determinado chip y, después de pasarle unos cuantos programas a la información "esnifada", puedes sacar el texto en claro, incluso modificarlo y reenviarlo. Pero antes de eso el hacker tendría que conocer la clave de acceso a tu cuenta y la de tu tarjeta de coordenadas si estás operando. O sea, te tendría que meter un troyano en el PC y, de alguna manera (phising, hacer una foto física de ella...), conocer todas las claves de tu tarjeta de coordenadas (pues conociendo sólo una posición no vas a poder operar). Mucho curro para él. Ahora compárame eso con el escenario 2 donde todo le llega al móvil y todo lo teclea en el móvil. Troyano a un móvil ya de por sí desactualizado y LO TIENES TODO. No necesitas descifrar HTTPS ni nada pues accedes al texto en claro ya descifrado en el móvil.

El jueves hice un par de transferencias vía web. La primera fue bien. Código de la tarjeta y sms al móvil. Fui a realizar la segunda de la misma manera y falló. Me decía que no tenía informado el número de móvil. Curioso. Tuve que salir de la sesión, borrar caché del navegador, cerrarlo, abrirlo de nuevo, entrar otra vez ya pude realizar la segunda transferencia de la manera normal.

Eso explicaría por qué este empeño en matar moscas a cañonazos. Parece que alguien ha vendido una moto...

Efectivamente la red SMS como tal no existe, es la red GSM normal (en cualquiera de sus versiones). Respecto a la seguridad de los SMS, un par de enlaces (en inglés todos, lo siento):

https://www.theverge.com/2017/9/18/16328172/sms-two-factor-authentication-hack-password-bitcoin

https://www.quora.com/Why-is-using-SMS-for-two-factor-authentication-considered-insecure

https://www.makeuseof.com/tag/two-factor-authentication-sms-apps/

https://www.slashgear.com/sms-two-factor-authentication-is-unsafe-use-these-instead-27539168/

Dicho lo cuál, voy a ampliar mi respuesta con sistemas alternativos de 2FA que sí se consideran seguros:

Uno de ellos es el estándar OTP (HOTP y TOTP), que lo que hace es criptográficamente genera claves que solo pueden usarse una vez. Esto es lo que hacen aplicaciones como Authy o Google Authenticator o Latch de Telefónica. Para generar estos códigos no hace falta Internet, pero si un móvil «moderno». Para el banco es coste cero.

Otro sistema son las Yubikeys, que son como pinchos USB pero cuya única función es criptográfica. Esto no necesita ningún teléfono, simplemente el aparato conectado al ordenador y pulsar el botón que tiene. Algunos navegadores como Firefox lo soportan así que no hay que instalar nada siquiera. Coste para el banco, cero también.

El problema es enseñar a la gente a usar estos sistemas. Yo uso a diario HOTP en el trabajo para entrar a partes críticas, pero entiendo que la mayoría de la gente no tiene ni idea de como funcionan estos mecanismos. Creo que es el fallo de estos dos sistemas, son más complejos que un SMS o mirar en la app de tu banco.

A tu compañero fsoriano, le he pasado enlaces sobre el uso de SMS como 2FA y por qué se considera inseguro habiendo técnicas mejores (aunque algo más farragosas).

Por otro lado, explicando el uso de la tarjeta de coordenadas, hay otro tipo de ataque que has olvidado mencionar, que es el de tipo replay. Un sujeto escuchando la red (incluso cifrada) podría memorizarse los diferentes paquetes que envías al momento de enviar el código de la tarjeta de coordenadas y simplimente repetirlos cuando quiera autorizarse una operación. Esto es así porque la tarjeta de coordenadas no varía y se puede memorizar. Una técnica para evitar esto es usar un nonce, un número generado aleatoriamente que va en el mensaje cifrado junto con la clave de la tarjeta de coordenadas, dificultando su réplica, pero tampoco es 100% seguro.

Respecto al tema de los troyanos de los sistemas operativos móviles, sí, es un grave problema que estén desactualizados y personalmente opino que se debería obligar a los fabricantes a publicar las correcciones de seguridad durante varios años. Si bien un ataque como el que comentas es complejo (los sistemas operativos modernos ya no cuentan solo con memoria virtual, sino con sistemas de sandboxing más avanzados), pueden fallar y han fallado, así que es un problema real. Solo puede haber sistemas seguros si son actualizados.

Con OTP al final dependes de una app, que si está en el móvil es igualmente hackeable, por ejemplo con un troyano que tengas en el móvil y que ejecute la app a distancia cuando el atacante quiera obtener esa clave de un solo uso.
Con los pinchos usb ya es distinto, pues el atacante no puede conectarlo físicamente a tu dispositivo a distancia cuando él quiera. Tiene que robártelo o tomártelo prestado (sin que te enteres a ser posible).
Te compro que los SMS son hackeables, más cuando esta tarde he estado viendo que hay hackers que han vulnerado la doble verificación accediendo al sistema SS7 de las telecos y desviando tanto llamadas como datos a sus terminales, sin necesidar de "esnifar" y descifrar los datos gsm. Pero aún así tendrían que acceder físicamente a tu tarjeta de coordenadas, al igual que sudece con los yubikeys que mencionas. O eso o hackear el banco donde éste verifica que la coordenada de la tarjeta que has puesto es correcta y robar allí todas las claves de la misma. Ambas cosas son más difíciles que hackear un móvil DESACTUALIZADO, que son la mayoría.
Conclusión: es mucho más inseguro que toda la seguridad esté en un único sitio, por ejemplo tu móvil como pretende ING. Es mejor tener algo físico (yubikeys o tarjeta de coordenadas) que sólo tú poseas porque tienen que robártelo físicamente (o el caso de la tarjeta al menos fotografiártela).
 

Date cuenta que la tarjeta de coordenadas tiene 50 posiciones. Si el algoritmo que elige la coordenada está bien implementado debería elegir una coordenada no usada antes de repetir ninguna y así en cada ciclo de 50. Así que el atacante tiene que esperar 50 transferencias para poder hacer él la suya y robarnos el dinero. Eso aparte de hackearnos el PC para la clave de acceso y el SS7 o GSM para mensaje SMS.

También se puede mejorar la seguridad de la tarjeta de coordenadas haciendo que ING, a medida que vamos usando coordenadas nos la vaya cambiando por otra nueva para evitar repeticiones. O que pongan una tarjeta con 250 posiciones...

Sistema seguro como tal, no existe. Una vez aclarado que por "red SMS" te estas refiriendo a la red privada del ordenador, que ni siquiera utiliza la internet publica para la interconexion entre operadores. En la practica, si no tienes acceso interno a través de un operador, es practicamente imposible acceder. Ademas el numero de telefono no sirve de nada, ya que no es eso lo que utliza para enrutar los mensajes, habria que acceder a la base de datos del operador para poder asociar ambos numeros. Y sí, el video que pones como ejemplo es muy bonito, pero no dice como acceder a la red SS7 ni como obtiene el IMSI (¿a que ni tu ni nadie conoce el IMSI de su telefono movil? ¡la gente no sabe ni que lo tiene!)

Cualquier hacker se limitaria a distribuir un software que se distribuyera en los smartphones y se encargase de reenviarle, al hacker, los SMS y cualquier informacion recibida por el movil. Infinitamente mas sencillo y eficaz. 

Ahora otra pregunta ¿cuantos tienen su SO movil actualizado a la ultima version, cuantos tienen un antivirus, un software de seguridad (como el Trusteer), etc?  Y la gente tan contenta, ¿a que si?

A los hacker se lo estan poniendo a huevo. El unico caso similar que se me viene a la mente es el de Felipe II y el juego de billar.