Preocupación seguridad Abanca.

Hola a todos, 

Por curiosidad he probado a restablecer la clave de acceso a la banca online y únicamente me ha pedido mi fecha de nacimiento y posteriomente me han enviado un código de un solo uso por SMS. Esto lo he hecho desde un móvil en el que nunca me he logueado (ni por app ni por web) en mi cuenta. 
Una vez te dan el código "de un solo uso", te logueas y lo cambias por otra clave (esta ya permanente, por lo que eso de "un solo uso" es falso, después de cambiarlo podrás entrar siempre).

Considero que esto es un problema de seguridad extremadamente grave, ya que tras un SIM SWAP podrían realizar trasferencias libremente.
¿No os preocupa esto? ¿Sabéis si se puede bloquear el reseteo de clave y obligarte a ir por la oficina si te olvidas?

Un saludo.
 (soy nuevo en el foro)

¿ El SMS te lo han enviado al móvil con el que pusiste cuando hiciste el alta de la cta. por 1ª vez ?

Hola, 
Si, al número de móvil que he tenido siempre.

Para que se produzca un SIM Swap como indicas, los estafadores deberían haber conseguido varias cosas: primero conseguir tus datos para suplantarte y solicitar un duplicado de tu tarjeta SIM, de modo que después tendría que recibir un aviso de que tu operadora te envía dicho duplicado. Posteriormente, tu tarjeta SIM se quedaría sin cobertura cuando te efectúen la desactivación de la original, con lo cual tendrían que suceder todas estas circunstancias sin que te enterases.

Hola,
Cuando me de cuenta de la pérdida de cobertura el dinero ya habrá abandonado mi cuenta.
Lo de los datos es sencillo, ya están filtrados en la web.

Respecto al aviso de la operadora no creo que exista una obligación legal de dar ese aviso.
También hay que tener en cuenta que puede ser un empleado (incluso de un call center extranjero) el que realice el cambio de SIM fraudulento, también pueden hackear el equipo informático de una tienda de la empresa de comunicaciones.

Básicamente lo que no entiendo es por qué el banco delega completamente la custodia del acceso a mi cuenta a una empresa de telefonía.

No entiendo que quieres decir con tus datos están en la web, puesto que los estafadores antes de acceder a tu cuenta tienen que conseguir tus datos para solicitar el duplicado de SIM y suplantarte previamente ante tu operadora de telefónia.
Indicas que puede apropiarse de tus datos un empleado de un call center, pero en ese caso también podrían hacerlo muchos otros empleados dónde también están tus datos, como cualquier empleado del banco, cualquier empleado de la AEAT, cualquier empleado de tu ayuntamiento, etc, etc.
Está claro que el mundo digital nos proporciona muchas ventajas, pero también riesgos, lo cual implica extremar la precaución cuando proporcionamos nuestros datos. Lo mismo que tomamos precauciones que cuando acudimos a un festival, y no llevamos la cartera en el bolsillo trasero del pantalón, con todos nuestros documentos y con mucho dinero, por los riesgos que supone.
Para estar más seguro, puedes modificar tus datos en Abanka, solicitando que borren tu número de teléfono móvil indicando porque ya no lo tienes y como teléfono de contacto proporcionas un teléfono fijo.

Me refiero a los correos que recibimos (muchas personas) informándonos de que se han filtrado nuestros datos tras un acceso no autorizado a los sistemas de x empresa, etc.... Están obligados (en caso contrario ni avisarían) a hacerlo tras la filtración y eso significa que ya están en la darkweb a disposición de cualquier delincuente. En algunos casos se han filtrado incluso imágenes de DNI.

 Un empleado de un call center (muchos están en el extranjero) de la empresa de telefonía puede estar compinchado con el delincuente y realizar el cambio de SIM o pueden obtener las claves de acceso al sistema de la operadora, tras un hackeo al empleado de la tienda (donde realizan también cambios de SIM). No sé qué pinta la AEAT, ayuntamiento, etc..... efectivamente ellos tienen los datos para suplantar tu identidad ante la operadora de telefonía por eso es importante que NO se permita resetear la clave mediante SMS, de esa forma aunque consigan hacer un duplicado de SIM tu dinero seguirá a salvo.

Hablas de un empleado del banco el que haga el robo, pero en ese caso todo el delito se produce dentro del banco, no puede excusarse como si lo hacen en caso de SIM SWAP ("nosotros enviamos un SMS al cliente, no es nuestra culpa"), se le mete en la cárcel y listo ya que en los propios sistemas del banco queda registrado.

En teoría deberías tener un sistema de 2FA para acceder al banco, imaginémonos que es CLAVE + SMS (como efectivamente se usa), en el momento en el que solo con el SMS  puedes generar una nueva clave ya no se trata de 2FA si no de un solo factor de autenticación (el SMS, que te permite generar una nueva clave).
Incluso si usas passkeys no serviría de nada si permites acceder al banco únicamente con un SMS. Tal como he comprobado, a día de hoy, en Abanca con la linea de móvil del cliente puedes entrar en su cuenta bancaria (la parte de la fecha de nacimiento ni la menciono ya que no es un dato secreto ni difícil de obtener)

En este caso no se puede prevenir, ya que el tipo de ataque que estoy comentando (SIM SWAP) no requiere de intervención alguna por parte del cliente (de ahí su gravedad), no es un phising en el que se requiere acción por parte del estafado. Bueno.... si que podría prevenirlo el banco mejorando el proceso de reseteo pero parece que no quieren (cuando más sencillo menos va la gente por la oficina).

La idea de asociar un teléfono fijo en vez de un móvil me parece una buena idea, consultaré si lo permiten. De todas formas me parece que no se debería llegar a esos extremos.

El banco debe ser el que valide nuestra identidad, no una operadora de telefonía. No sé en qué momento hemos normalizado delegar el control de acceso al banco en una operadora de telefonía.

¿De verdad en otros bancos el proceso de reseteo de clave es tan sencillo como enviar únicamente un SMS al móvil?

Aunque visto los comentarios posiblemente sea yo el que está mal

Dado que comentas que todos nuestros datos están totalmente disponibles en la darweb, entonces según tu opinión ya no hay nada que hacer.
Por otro lado, en Abanka puedes activar el sistema Passkey.
Llave ABANCA, el nuevo sistema de verificación de identidad online | ABANCA

Explícame lo de que "no hay nada que hacer" cuando he explicado claramente lo que habría que hacer (dando totalmente igual los datos que se hayan filtrado) de forma que no se podría acceder a la cuenta con ningún SIM SWAP.

También he hablado de la passkey (y que si sigue disponible la opción de resetear la clave no serviría de nada), con todo el respeto creo que no te has leído mi comentario.

Puedes si aseguras que todos nuestros datos están totalmente disponibles en la darkweb, no sólo accederían a tu Abanka sino a todos tus perfiles y servicios digitales y, por tanto, te suplantarían digitalmente para estafarte con tus datos robados, con lo cual ya no hay nada que hacer.
Creo que el que no ha leído has sido tú, puesto que si activas el sistema Passkey de Abanca se elimina el uso de SMS.

 

De poco sirve la llave de abanca, si después puedes resetear la banca online con tu fecha de nacimiento y un sms
Desde mi punto de vista, pediria algo mas que un SMS

Yo añadiría otra clave enviada por email

cuando fui cliente activé la passkey en el móvil (llave abanca ? ) y efectivamente luego no es tan facil volver a resetear el acceso, perdí el passkey y tuve que ir a oficina, creo recordar.

No te pongas tan paranoíco.
Para realizar un duplicado de SIM lo primero que van a solicitar (al demandante) es el DNI del titular de la línea.
El DNI como tal; no el número.
Es un tema muy serio.

Ojo que los cachondos de abanca, en el movil ponen seguridad con el paskey.
Yo pensaba que en la web de abanca te pediria confirmar operaciones por la app, pero no si lo haces por la web con el sms de toda la vida es suficiente