La (in)seguridad bancaria

Hola,
quisiera abrir un hilo sobre la (in)seguridad bancaria. Recientemente he vivido un par de experiencias que me hacen pensar que vamos a volver a la época de nuestros abuelos: todos con el dinero en el calcetin. En los Bancos, o no te lo dan ellos o te lo quitan otros, como cuento a continuación.
Parece que Internet o el avance de las tecnologias de escaneado e impresión, están siendo de más beneficio para los estafadores que para los usuarios honrados, y los bancos y los poderes publicos no encuentran forma de pararlo.

Sin ir más lejos, hoy me he encontrado con la imposibilidad de poder sacar mi propio dinero del Banco, en el que me he presentado con mi libreta y mi DNI. Empiezan que si necesitan una confirmación de la sucursal en la que tengo abierta la cuenta. Media hora esperando. Cuando ya exploto, ante lo que supone una molestia y una humillacion, pido explicaciones: cómo es posible que con mi DNI, con el Banco sabiendo que tengo saldo suficiente, esté ocurriendo esa situacion. Y me contesta el interventor que "a lo mejor la firma no coincide con la que ellos tienen guardada". Entonces ¿¿¿para que vale el DNI??? Rojo de ira, me marcho sin completar la operacion. Y ahora viene la segunda parte... recibo una llamada de que " se le han bloqueado sus cuentas porque una persona sospechosa ha tratado de sacar dinero de su cuenta en una sucursal" . Evidentemente, !!el sospechoso soy yo mismo!!. Y así me encuentro, no sólo me impiden sacar mi dinero, me califican de sospechoso y me bloquean todo.. Llamo a la sucursal: "Que si hay bandas que roban los DNIs y cambian la foto con un escaner y se dedican a ir a otras sucursales... que si tal que si cual, que perdone usted". El banco se llama BBVA, imagino que lo conocéis. La pregunta es: ¿cómo saco MI dinero, cuando no me llegue el límite del cajero, o este esté estropeado -por cierto, bastante habitual en el susodicho banco-? ¿Lo que es un derecho -disponer de nuestros ahorros- se ha convertido en un "favor" de la sacrosanta banca, hay que entrar rezando a la sucursal para ver si no te quieren humillar, no les pareces sospechoso y tenerte toda la mañana esperando?.

Y si te pones a operar a Internet, pues alucinas aun mas: una persona del trabajo se conectó la semana pasada a Banesto. Directamente, no a través de esos correos que te llegan pidiendote que te conectes al Banco (lo que se conoce como "phising") y en los que te dirigen a una Web pirata gracias a un error del Explorer. Repito, directamente. Y le pidieron todas tus claves de operación bancaria. Cuando se volvió a conectar, otra vez lo mismo: entonces, comenzó a sospechar -trabajamos en temas de informática-.
Pues resulta que a banesto le han hecho lo que se conoce como "envenenamiento de DNS"; básicamente, cada dirección Web tiene asociado un numerito -la dirección IP- que es realmente la que identifica a los equipos de forma única -igual que las persoans tenemos un nombre y un NIF-, y esa relación entre, por ejemplo, www.banesto.es y su IP se guarda en unos ordenadores que se llaman servidores de DNS, que se consultan cada vez que tecleamos una dirección www para ver cuál es la IP correspondiente.
Pues algún hacker ha conseguido pegar el cambiazo en un DNS y ha cambiado el www.banesto.es por una IP suya, y ha sacado los datos a toda la gente que se haya conectado a través de un proveedor de Internet que use esa DNS envenenada. Cuando mi compañero informó del tema, se presentó en el trabajo todo el departamento de seguridad de Banesto.

Así que en esas estamos, si vas físicamente al Banco, que si el DNI puede ser falso y a tenerte dos horas esperando. Si te conectas por Internet, hay que andar con mil ojos, comprobando certificados de las páginas para ver que estás realmente en un servidor seguro del banco al que te querías conectar.
Asi que, como decia al principio, a este paso, de nuevo el dinero en el calcetín y las acciones en papel.

Coño, envenenamiento de dns. yo lo había leído, pero lo veía lejano, como el ip poofing. Qué fuerte, ¿cuándo fue? salu2
por cierto, bbva es así de estúpido con el cliente. Llamaron un par de veces a mi casa con número privado preguntando por mi madre. Y como siempre, yo pregunto para qué y quién. Pues dijeron el bbva y no se lo vamos a decir nada más que a su madre, con bastante secretismo, por cierto. ¿Raro? Pues miren, resulta que era porque había solicitado acceso a bbva net para controlar los gastos. Otra vez igual y era para publicidad. Por cierto, si leen ésto, que sepan que ando en proceso de rescatar a mi madre de un banco tan caro y desagradable. Por lo pronto ya no se van a hartar a cobrarle comisiones de visa y descubiertos, eso se lo garantizo.

Hola Bacalo,

Es normal que la sucursal solicite una autorización a tu sucursal (más si el importe que ibas a retirar es grande). Lo que no es normal es que requieran de tanto tiempo para realizar el proceso y además bloqueen la cuenta.

Entiendo que el proceso de verificación es bueno para evitar el fraude, pero se debe llevar a cabo diligentemente.

En cuanto al envenenamiento de DNS, debemos tener en cuenta que cuando nos dirigen a otra dirección IP los estafadores deben haber creado un entorno de interacción exactamente igual que el del banco y para poder robarnos dinero deben tener tanto el usuario, como la contraseña, como la clave operativa (o en su caso la tarjeta de coordenadas).

Un cordial saludo.

Sí, es normal que el Banco quiera asegurarse de la identidad de las personas. Pero creo que hay métodos que permiten hacerlo sin molestar al usuario: en Cajamadrid, si no recuerdo mal, va la firma en la propia libreta, así que pueden comprobarla en cualquier sucursal. E imagino que otros bancos deben tenerla escaneada y pueden consultarla en cualquier sucursal -aunque no he operado con ellos, seguramente Patagon, por ejemplo, lo haga, ya que te permite sacar dinero en cualquier sucursal de Banesto-.
Los del BBVA decían que llevan mucho tiempo con esa norma de pedir autorización. Pero claro, si tienen que invertir en libretas más seguras o en un sistema de escaneado, eso cuesta dinerito, y asi no se llegan a los 3.000 millones de beneficio, se quedan en 2.995 y eso no puede ser.
Por mi parte, tengo claro que han perdido un cliente -aunque siempre me he considerado un cliente a la fuerza, por la hipoteca que venia con la casa-, me llevo la nómina, los recibos y todo lo que tengo en ese Banco a otro sitio.
Es la principal fuerza que tenemos, ya que lo único que le duele a la Banca es el bolsillo.

Sobre lo de los ataques, efectivamente los estafadores suelen elegir bancos que no usan tarjetas de coordenadas, sino el sistema de las dos claves -la de usuario y la operativa, o como la llame cada entidad- y replican exactamente la web original.
Aún así, los bancos se cuidan muy mucho de informar con diligencia a sus clientes. Con los correos del "phising", cuando algunos contactaron con sus clientes, ya llevaba algun tiempo el tema y se habian producido bastantes estafas. Y con esto del envenenamiento del DNS, no lo he visto anunciado por ningún lado, si me he enterado ha sido por el caso que conté en este foro y que conozco al afectado directamente.

El consejo es que miréis que, cuando os conectéis a cualquier banco o broker, comprobéis que estáis en una web segura -en el Internet Explorer, aparece abajo a la derecha un candado cerrado, pulsando en él se ve el certificado con el que se está trabajando-.

Dice Vd. que prefiere que la firma del titular vaya incorporada en la libreta, en vez de estar guardada en un sistema interno de comprobación.

En nuestra opinión, y sin entrar en el desagradable suceso provocado por la sucursal del BBVA, a nostros nos parece que no es la mejor opción que la firma del titular vaya incorporada a la libreta, puesto que si ésta se pierde daría mejor ocasión para una extracción fraudulenta de fondos en caso de pérdida, del que aun siendo responsable la propia entidad, tampoco mejora en nuestra opinión la seguridad.

Hay entidades que lamentablemente todavía tienen problemas en la digitalización y transmisión entre disitintas sucursales de las firmas que constan en las tradicionales cartulinas de firma.

La seguridad es una cuestión completamente relevante, pero no debe servir de excusa para causar perjuicios al cliente.