BBVA seguridad web

Estoy leyendo por internet estos días casos de estafas, phising y demás, y el nombre del BBVA sale mucho a relucir, de hecho hace unos días lei uno en forocoches de una persona  que le habían hacheado la cuenta e incluso le habían pedido un préstamo en este mismo banco, sin pinchar en nada raro y tomando todas las precauciones lo habían conseguido, parece ser que están desviando los sms de alguna manera, incluso con alguien dentro de la  misma compañía telefónica.

Y la verdad de los bancos que operó el BBVA es el más flojo en esta materia sólo contraseña y sms.

En cambio el bankinter conserva tarjeta coordenadas, para mi el mas seguro al no intervenir compañías telefónicas, e incluso ing con su app  me parece más seguro al obligarte a introducir una contraseña diferente a la de entrada al mismo.

Saludos 

¿Y no te preguntas la razón de que la mayoría de bancos haya suprimido las tarjetas de coordenadas?

Pues precisamente lo han hecho por falta de seguridad.
La PSD2 las ha suprimido porque los algoritmos con los que se generan han sido comprometidos.
Así que el hecho de que te sientas más segura con una tarjeta de coordenadas es autoengañarte.

Deberías preocuparte más de la razón por la que algunos bancos aún las mantienen, incumpliendo la PSD2 en vigor.

Desconocía esta filtración, de todas formas clave+ coordenadas + sms, mejor que clave +sms, y agua deberá de llevar el río, cuando en todos los casos que leo, no hay ninguno con tarjeta de coordenadas implicados.
La directiva habla de doble identificación, no de obligarte a sms como norma obligatoria, de hay que tarjeta de coordenadas sea legal.

Los SMS los acabarán quitando como medio para enviar OTP y sustituyendo por notificaciones push de las apps y/o biometría en esas mismas apps.

Pero el agujero de seguridad no está en los bancos, sino en la falta de control de las operadoras móviles sobre sus empleados y subcontratas a la hora de hacer duplicados de tarjetas SIM.

Parece ser que es así, consiguen desviarte los sms a otra número con lo que incluso te cambian tu clave de acceso, se supone con personal de la compañía implicado.
Pero mientras tanto me parece que ing y similares con su app de validación, con introducción de otra  contraseña personal....es mucho más seguro que el método del BBVA, el cual está implicado en muchos casos de estafas.

Los SMS no se pueden desviar a otro número de ninguna forma.

Para capturar una OTP enviada a tu número hay varias opciones:
* Hacer un duplicado de tu SIM (dejándote a tí sin línea)
* Hacer una multisim de línea que recibe simultáneamente los SMS
* Instalarte en tu móvil una apk fraudulenta que lea tus mensajes (requiere tu autorización)
* Sacarte el OTP enviado por SMS por ingeniería social (engañándote).

En las dos primeras el punto débil es la operadora y en la dos últimas el usuario.

¿Este hilo es para echar pestes del BBVA o para aportar algo?

https://www.forocoches.com/foro/showthread.php?t=8970794

Explicaselo  a esta persona

Si se parece poco lo que se aporta aquí....la falta de seguridad en un banco ...pues nada... pasalo bien....

Hay una cosa sobre todos estos temas, que los bancos deberían de considerar. O, mejor dicho, que los usuarios pudieran controlar:

 "El tema de los créditos preconcedidos". 
Debería de está prohibido que se ofrecieran en las webs/apps de la banca a distancia pues, ante un hackeo, te pueden hacer mucho daño.

Al menos, deberían de permitir al usuario que pudiese permitir o no, que se le oferten esos créditos en su app/web.

¿Cómo conseguir eso? ¿Habrá que ir a consumo? Lo digo porque, si llamas, ellos dicen que no se puede quitar...

Me he leído entero el enlace de forocoches, y la verdad me he quedado alucinado, incluso ha puesto capturas de pantallas,  y porque parece que es una persona joven y tuvo reflejos rápidamente, si es de una edad mayor o mediana no me quiero ni imaginar.

Parece ser que el BBVA no esta muy fino con esto, mi hija tiene cuenta y no paran de enviarle recuerdos de seguridad al email y cuando accede a la web tiene que aceptar el entendimiento de estas medidas.

Pd. Si alguno tiene cuenta en forocoches y lee el enlace del hackeo en el Bbva, le podía decir al forero que se pase por aquí para darnos información.

Saludos 

Realizar imágenes simulando pantallazos de un móvil con los SMS para aprobar compras no es algo muy complicado de realizar y tampoco lo es realizar una imagen con el alta de un desvío directo para todas las llamadas, pero, bueno... voy a pensar por unos minutos que el caso es real y tal y como se describe en "foro coches" y que el "timador" entra en la cuenta de BBVA sin conocer la clave de acceso del "cliente que intenta timar", solicita un préstamo de 10.000€ y comienza a realizar todas las compras mencionadas en PC-Componentes...

¿No les resulta curioso que todos los SMS de confirmación de pago se envíen al número de móvil del "cliente a timar"? ¿El "timador" no había hecho un desvío directo a otro número de su propiedad?. 

Pero sigamos suponiendo que todo es tal y como se describe o se da a entender.
La conclusión a la que llego es que el único que ha mantenido un criterio de seguridad es la entidad BBVA... pues todas las notificaciones se las ha enviado al número de móvil del cliente... y, si yo lo he entendido correctamente, se contradice con la alerta del mensaje de inicio de este hilo... no sé, tal vez es la hora y en fin de semana.

Un saludo

Los desvíos de SMS no existen. Solo existen los desvíos de voz. 
Lo único que encajaría en esa historia es una multisim con la que los mensajes llegarían a ambos, aunque quedaría por explicar cómo consiguió la contraseña del cliente para entrar en su cuenta. 

Hola @nachocar... pues precisamente por ello... el "supuesto" timador se crea toda la tecnología descrita para solicitar un préstamo, realizar compras y ¿No cambia el número de móvil en la cuenta de BBVA para que le lleguen los SMS a su móvil?

No puede cambiar ese móvil sin acudir a una oficina/cajero en BBVA, con lo que quedaría grabado en las cámaras, y lo que es peor, si pone su móvil se está autoinculpando porque cada móvil tiene un único dueño. Es más, levanta menos sospechas si no lo cambia. ¿Para qué va a hacerlo si ya tiene acceso, y una vez en la App puede configurar que ya no le lleguen SMS y autentificarse con biometría, por ejemplo?

Es lógico actuar como actuó: una vez ganado acceso a la cuenta, hacer todo lo más rápido posible.