Banco Pichincha envía documentación personal al email sin encriptar

Hola

Pues eso, que Banco Pichincha me envía toda la documentación bancaria (cada movimiento, extracto...) adjunta a los emails, sin encriptar ni nada, y no me gusta que toda la información personal viaje por Internet a la vista de cualquiera.

He buscado en las opciones y no he encontrado ninguna para configurar esto. La cuenta de ahorro la he abierto vía online.

¿Alguien sabe si hay alguna posibilidad de encriptar los adjuntos como hacen otras entidades? Como alternativa, ¿existe la posibilidad de ver la documentación exclusivamente en el portal de la entidad?

Un saludo.

Tengo mas de 7 bancos y ninguno me suministra informacion encriptada, ni me suministran una llave de paso privada para poder desencriptarla en destino.

La informacion deberia viajar del servidor del banco al servidor de tu correo (gemail, yahoo, etc)  y de tu correo hacia tu PC encriptada. Si tienes un servidor de correo que no utiliza esto deja de usarlo. No conozco servidores de correos que no encripten las comunicaciones porque seria un disparate o un suicidio comercial.

Internet. ese maremagnun, lo que hace al ser enviado algo (este encriptado o no) es trocearlo en cachos, cada cacho probablemente sera comprimido y enviando hacia ... una serie de nodos segun los algoritmos de enrutamiento. En destino se recogen los paquetes y se ordenan, pueden llegar corruptos, en desorden, se descomprimen y se pasa la informacion como venia en origen. No pasa la informacion por todos los nodos, algunos van por unos, otros por otra parte y nadie se dedica a sniffear en los troncales de red, solo, por ejemplo, en una red privada de casa, hotel, biblioteca o quizas en una intranet empresarial cosa mas compleja.

Si la informacion viene encriptada desde el destino el protocolo que se use, https, ftps, etc se encarga de desencriptarla y mostrartela por pantalla en destino, aunque para ti sea totalmente transparente.

El punto donde tiene mas peligro la cosa suele ser en tu casa, hace poco dieron la noticia que el protocolo WPA/WPA2 tenia un agujero de seguridad en las conexiones wifi. Ya tengas el protocolo mas alto de la gama o el mas sencillo pueden ver el contenido de los paquetes si sniffean la red con las herramientas adecuadas todo aquello que no este bajo https esta expuesto a ser visto.

Esto no tiene nada que ver con que bajemos y pongamos un encriptado  antiguo y debil como WEP en nuestra red, nos pueden hallar la password en 5 minutos y estaremos mas expuestos aun, el agujero de la WPA solo afecta  a los dispositivos wifi y no nos van a averiguar la password, salvo por fuerza bruta utilizando diccionarios. En resumen, tira de ethernet (cable) hasta el pc para lo que quieras estar seguro y reza que la parte wifi no tengas a unos hackers reales cerca , no el tipico juanker niño rata que se cree un figura por usar unos programitas.

La percepción puede ser muy variable en estas cosas...

Tú dices que muchos bancos te suministran información en claro por email; a mí ninguno, que yo recuerde, me manda información "sensible" por medio del correo electrónico... más bien avisos para que entre a verla en el espacio web (que sí está protegido).
Por cierto: existir, me parece que existe o existía alguno que te lo manda cifrado, pero con un adjunto que usa una aplicación propia :/ En todo caso, a falta de una solución real (cifrado basado en estándar, con certificado digital), prefiero el modelo de avisos sin datos; manías que tiene uno ;)

Sobre la parte técnica: en los encabezados del correo se vería por cuántos servidores ha pasado el contenido completo y si la comunicación en el salto ha sido protegida o no; pero esa información ha estado en claro en cada uno de los servidores de correo intermedios (así pues, el problema no necesariamente tiene que estar en capas inferiores, que son las que comentas).
Además, estará almacenada en el servidor de destino al alcance del usuario, del proveedor de correo (no entraré en si leen o no el correo, eso está definido en los términos de uso de cada servicio) y otros tantos elementos de los que no vale la pena hablar ;)

Interesantes las apreciaciones del último tramo (WiFi), buen aporte para no iniciados :) Aunque, como ya dices, se supone que contamos con HTTPS para webmail o el uso también de TLS en clientes locales. No es infalible ante script kiddies, pero me preocuparía más de lo que no está a nuestro alcance que de lo que sí...

Saludos!

Opino como Antss, la mayor parte de los bancos no envía información sensible al email, sólo notificaciones para que la veas en su espacio web.

Y las pocas entidades que sí envían documentos al email, a mí me ha coincidido siempre todo encriptado. Por ejemplo, en el caso del extracto mensual por email del BBVA, lo envía en un archivo comprimido con una clave. En Openbank, si solicitas un certificado de titularidad, por ejemplo, lo mismo, te lo envían al email en un archivo comprimido con clave.

Por eso me ha extrañado que Banco Pichincha envíe todos los datos personales y de las transferencias así directamente al email.

Gracias por vuestra aportación.

A mi BBVA me envia el extracto de movimientos de la tarjeta de credito en un simple pdf adjunto al correo.

Mapfre me envio la carta de renovación del seguro en un pdf protegido con contraseña, (aunq la contraseña es siempre el dni del titular)

Sinceramente no se que opinar, en esas conimicaciones hay datos personales, pero no son pins o contraseñas... es igual que si hace tres años tu vecino, el cartero, o alguien en la cadena de distribucion de correos coge una carta y la lee.

Pues a mí BBVA sí me encripta los extractos de la cuenta con clave, que raro.

Son todos los movimientos de tu cuenta bancaria. Por cada movimiento, Pichincha te envía al email un comunicado con todos los datos, eso viaja por Internet sin ningún tipo de encriptación.

Y para mí no es lo mismo que un cartero abra una carta, que sólo es una persona y además te enterarías (jamás me ha pasado), a que el servidor de gmail recopile todos los datos de tus cuentas bancarias, por ejemplo.

A mi abanca la informacion que me envia tengo que poner mi dni para abrir el pdf adjunto al correo electronico.

Una cosa que estoy viendo fatal ultimamente que me a dejado a cuadros es que las electricas cuando envian el email con el enlace para la factura al pincharlo se me abre la factura sin pedirme ninguna clave ni nada.

Es decir que cualquiera que intercepte ese enlace puede acceder a todos mis datos.

Lo he comnteado por ahi y casi me tratan de tonto... pues me dicen que no entienden que problema hay

Yo no comentaba que recibia informacion sensible de los bancos con emails, era el creador del hilo.

Avisos y demas si. Alguno me notifica algun ingreso o cobro con el importe estilo sms, breve y conciso, pero jamas un estadio de movimientos. Por eso no me preocupaba mucho de que este o no encriptada esa informacion (la mia recibida no la considero sensible). En parte me fio de por donde pasa la informacion por la arquitectura de red y protocolos utilizados en la red.... sobre los que no tenemos control alguno.

Yo queria hacer ver que la informacion viaja de forma anarquica y es muy dificil pillar algo decente en el transporte de la misma salvo en la parte final del usuario (o en el origen suele ser lo habitual que este protegida al exterior pero... he trabajado en bancos, financieras y tienen que ofuscar informacion sensible de clientes VIP a nivel interno...)

Cuando uno se descarga informacion sensible ya sea en pdf o viendolo por pantalla esta protegido ademas por https de los fisgones por norma general. Un foro donde meto mi contraseña sin https, pues me genera desconfianza y necesidad de meter otra contraseña diferente a las que utilizo con https ya que con un sniffer pueden sacar esa informacion y hacerte pupa en otros lados.

Si, es interesante revisar las cabeceras de los emails y ver los saltos que da y donde rebota tu correo y como se puede transformar a veces el emisor desde el inicio a la recepcion de tu correo... a veces miro cuando recibo algo extraño.

Mentafresc es una mala practica, creo que si pero con matices. lo ideal es que mire las cookies y contraseñas almacenadas para verificar tu identidad y sea transparente para ti el acceso y permiso. Si el enlace te sirve en cualquier PC me gusta menos ya que se basa en los parametros de la URL para verificar la identidad... si alguien supiera interpretarlos podria acceder a otras facturas, pero no suele ser sencillo el tema para los juanqueres de pacotilla. Habria que hacer ingenieria inversa para la generacion de esos parametros y poder ver un algoritmo para recrear URL's. De ahi a que la agpd lo considere negligente por su parte hay un trecho.

Otra opcion es utilizar comunicaciones encriptadas entre toda la gente, pero eso volveria locas a las agencias de seguridad.

Yo recuerdo en los tiempos de eresmas.com navegando con su cuenta de correo... aparecia el usuario y la password como parametros de la url... con lo que revisando el historial de navegacion podias pillar datos de los pc's... En fin, las cosas han cambiado afortunadamente.

Gracias @Realista por los ejemplos, no los conocía. Sobre lo que preguntabas inicialmente, prueba si desde atención al cliente te dan alguna opción. Suerte!

@Xlkltln : permite que te diga que tu ejemplo con el correo es muy desafortunado. Te cuento la diferencia más importante: si alguien lee tu correo postal comete un delito; si se accede a una copia de tus mensajes de correo electrónico, no siempre lo es ;)

@mentafresc : lo que dices del enlace puede tener que ver con lo que comentó kerb31 de las cookies o que tengas guardada la información para entrar directamente con ese dispositivo. Prueba si es eso para estar más tranquilo :)

@kerb31 : Tampoco yo dije que nadie te enviara a ti información "sensible" por correo, verdad? ;) Parece que vemos las cosas algo distintas en términos de confiar en la tecnología y lo que hay detrás, aunque coincidamos en muchas otras... pero no creo que sea éste el lugar para entrar en temas profundos :)

Saludos a todos!