Participaciones del usuario aarroyoc

aarroyoc 31/08/19 22:43

Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)

A tu compañero fsoriano, le he pasado enlaces sobre el uso de SMS como 2FA y por qué se considera inseguro habiendo técnicas mejores (aunque algo más farragosas). Por otro lado, explicando el uso de la tarjeta de coordenadas, hay otro tipo de ataque que has olvidado mencionar, que es el de tipo replay. Un sujeto escuchando la red (incluso cifrada) podría memorizarse los diferentes paquetes que envías al momento de enviar el código de la tarjeta de coordenadas y simplimente repetirlos cuando quiera autorizarse una operación. Esto es así porque la tarjeta de coordenadas no varía y se puede memorizar. Una técnica para evitar esto es usar un nonce, un número generado aleatoriamente que va en el mensaje cifrado junto con la clave de la tarjeta de coordenadas, dificultando su réplica, pero tampoco es 100% seguro. Respecto al tema de los troyanos de los sistemas operativos móviles, sí, es un grave problema que estén desactualizados y personalmente opino que se debería obligar a los fabricantes a publicar las correcciones de seguridad durante varios años. Si bien un ataque como el que comentas es complejo (los sistemas operativos modernos ya no cuentan solo con memoria virtual, sino con sistemas de sandboxing más avanzados), pueden fallar y han fallado, así que es un problema real. Solo puede haber sistemas seguros si son actualizados.

Ir a respuesta

aarroyoc 31/08/19 22:21

Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)

Efectivamente la red SMS como tal no existe, es la red GSM normal (en cualquiera de sus versiones). Respecto a la seguridad de los SMS, un par de enlaces (en inglés todos, lo siento): https://www.theverge.com/2017/9/18/16328172/sms-two-factor-authentication-hack-password-bitcoin https://www.quora.com/Why-is-using-SMS-for-two-factor-authentication-considered-insecure https://www.makeuseof.com/tag/two-factor-authentication-sms-apps/ https://www.slashgear.com/sms-two-factor-authentication-is-unsafe-use-these-instead-27539168/ Dicho lo cuál, voy a ampliar mi respuesta con sistemas alternativos de 2FA que sí se consideran seguros: Uno de ellos es el estándar OTP (HOTP y TOTP), que lo que hace es criptográficamente genera claves que solo pueden usarse una vez. Esto es lo que hacen aplicaciones como Authy o Google Authenticator o Latch de Telefónica. Para generar estos códigos no hace falta Internet, pero si un móvil «moderno». Para el banco es coste cero. Otro sistema son las Yubikeys, que son como pinchos USB pero cuya única función es criptográfica. Esto no necesita ningún teléfono, simplemente el aparato conectado al ordenador y pulsar el botón que tiene. Algunos navegadores como Firefox lo soportan así que no hay que instalar nada siquiera. Coste para el banco, cero también. El problema es enseñar a la gente a usar estos sistemas. Yo uso a diario HOTP en el trabajo para entrar a partes críticas, pero entiendo que la mayoría de la gente no tiene ni idea de como funcionan estos mecanismos. Creo que es el fallo de estos dos sistemas, son más complejos que un SMS o mirar en la app de tu banco.

Ir a respuesta

aarroyoc 28/08/19 21:26

Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)

Siento ser aguafiestas, pero técnicamente los SMS no son un canal seguro de comunicación como mucha gente dentro del mundo bancario piensa. Son muy fácilmente interceptables y manipulables, pudiendo realizarse suplantación de identidad y ataques Man in th Middle de forma «sencilla». ¿El motivo? La red SMS no está cifrada como sí lo es HTTPS, todo lo que pasa por ella se puede ver y modificar. Entiendo que ING quiere elevar su nivel de seguridad usando criptografía más avanzada (que dependiendo del caso ni siquiera necesita conexión a Internet, solo un pairing inicial para obtener la clave privada que usa el algoritmo) como hacen Authy y otras apps genéricas, cosa que con SMS no se puede cumplir.

Ir a respuesta

aarroyoc 22/07/19 19:06

Ha respondido al tema Llega el futuro a la banca: Number26

Como programador te puedo decir que ahora mismo en Android soportar versiones antiguas se está volviendo casi como hacer una aplicación independiente y lleva mucho más tiempo de desarrollo (y gastar más espacio del teléfono, ya que muchas veces se usa código intermedio para poder hacer lo mismo entre versiones). Supongo que habrán analizado cuantos usuarios tienen esas versiones de Android (según AppBrain el 17% de los teléfonos llevan Android 5 o inferior, aunque clientes de N26 puede que sean menos) y les compense. El verdadero problema es de los fabricantes de los móviles, que nunca actualizan el Android de los teléfonos, cuando son dispositivos muchas veces plenamente capaces y ahí se quedan los Android 5, con todos los fallos de seguridad que tienen y demás.

Ir a respuesta

aarroyoc 06/05/19 18:08

Ha respondido al tema Nueva tarjeta 2gether - pago con euros y/o criptomonedas

Me acaba de llegar la tarjeta, soy el "fundador" 1532. Ahora esta tarde voy a salir a ver si puedo cambiar el PIN. Como es una tarjeta de PECUNIA CARDS EDE, es posible que lo pueda cambiar en algún cajero 4B (que también me han servido para Bnext y Verse)

Ir a respuesta

aarroyoc 04/04/19 14:52

Ha respondido al tema MyInvestor - Cuenta de Andbank al 1% los 6 primeros meses y 20€ para el fondo que elijas

Se puede enviar desde cualquier cuenta. De hecho yo suelo enviar más transferencias desde cuentas no nodriza que desde la nodriza propiamente dicha.

Ir a respuesta

aarroyoc 14/03/19 20:57

Ha respondido al tema Ferratum Bank: otro banco móvil llega a España

Si es verdad quelo podrían hacer, pero la cuenta de ahorro aplica los intereses en diciembre así que para las cuenta de ahorro solo necesitas el primer extracto del año.

Ir a respuesta

aarroyoc 13/03/19 17:37

Ha respondido al tema Ferratum Bank: otro banco móvil llega a España

Conmigo han cometido el mismo fallo, aunque me da un poco de pereza ya que la tarjeta la uso casi únicamente online y en el extranjero no creo que de problemas, porque en muchos sitios no saben lo del segundo apellido y mientras aparezca en el Pasaporte lo verán OK.

Ir a respuesta

aarroyoc 18/01/19 14:23

Ha respondido al tema Duda: Retirar dinero en el extranjero?

Buenas Roger375, Existen alternativas muy decentes para no pagar dinero al sacar de un cajero en el extranjero. En mi caso particular, he usado BNext con éxito en Ucrania. Se trata de una tarjeta que recargas (con tu tarjeta de la Caixa la puedes recargar) y puedes pagar en cualquier sitio. También te deja sacar de cajero extranjero gratis tres veces al mes. Y otras tres veces en España también (ellos no tienen cajeros). Yo estoy muy contento con ellos, me funcionó perfectamente en Ucrania y nunca me han cobrado nada. Saludos!

Ir a respuesta

aarroyoc 09/01/19 12:03

Ha respondido al tema Cuenta online BBVA

Eso es falso ya que los que teníamos la Cuenta Blue BBVA por ser menores de 30 años sí que nos han cambiado las condiciones, mandándonos un aviso. Así que yo me temo que harán lo mismo con la Cuenta Online.

Ir a respuesta