Rankia Chile Rankia Argentina Rankia Brasil Rankia Colombia Rankia Czechia Rankia Deutschland Rankia España Rankia France Rankia Indonesia Rankia Italia Rankia Magyarország Rankia México Rankia Netherlands Rankia Perú Rankia Polska Rankia Portugal Rankia Romania Rankia Türkiye Rankia United Kingdom Rankia USA
Acceder
  1. Inicio
  2. Perfil de Trapero

Trapero

Se registró el 01/03/2012

Sobre Trapero

"No busques la aguja en el pajar. Simplemente compra el pajar" Jack Bogle

También conocido como Juan
--
Publicaciones
862
Recomendaciones
29
Seguidores
999.999
Posición en Rankia
999.999
Posición último año
Trapero 13/09/19 15:53
Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)
Según explica en su blog Miguel Ángel Sánchez Barroso, actual director de seguridad informática de ING direct, las posiciones de una tarjeta de coordenadas o bien no se repiten hasta que se han usado todas, o bien al usar todas se manda nueva tarjeta. Si se hace así (estaría por ver) me parece entonces algo más segura la tarjeta de coordenadas (si renovamos la tarjeta tras haber usado todas las posiciones una sola vez). También dice que "generar el código y enviárselo al usuario mediante SMS [...] es menos seguro que las otras alternativas [aplicación de autenticación o dispositivo hardware],  por lo que se recomienda que se use de manera combinada con otros factores como la tarjeta de coordenadas".(fuente: https://technologyincontrol2.wordpress.com/2012/08/27/selecting-a-effective-strategy-to-prevent-online-fraud/ )tarjetacoordenadas.jpg 99.65 KBY en otra entrada posterior de su blog cuenta la razón por la que se está poniendo en ING la aplicación móvil para validar  operaciones y se está retirando la tarjeta de coordenadas. Según las exigencias de la nueva directiva europea PSD2 "la mayor parte de las implantaciones basadas en contraseñas de un sólo uso (OTP) enviadas por SMS y/o en tarjetas de coordenadas no cumplirían con estos requisitos [de Autenticación Reforzada]".  (fuente:  https://technologyincontrol2.wordpress.com/2016/02/08/autenticacion-reforzada-en-el-marco-de-la-directiva-de-pagos-psd2/ )
Ir a respuesta
Trapero 13/09/19 14:44
Ha respondido al tema Bankia pide usuario y pin completo para acceder a oficina virtual
Muy mal hecho en ambos casos (Bankia e ING).Se está diciendo a los usuarios insistentemente "cuidado con el phishing" , "los ladrones pueden engañarle", "NUNCA  dar las credenciales ni las claves por email o teléfono", "es uno de los métodos más utilizados para conseguir robar las cuentas". Y van los bancos éstos espabilados y te las piden por teléfono. Eso lo único que hace es confundir a la gente.Muy mal.AEB: Asociación Española de Bancaphishing.jpg 103.56 KB
Ir a respuesta
Trapero 13/09/19 13:32
Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)
La tarjeta de claves física tiene casi la misma vulnerabilidad que usuario y contraseña. Si tienes infectado el equipo con un programa espía además de saber tu usuario y contraseña el ladrón puede ir tomando nota de cada posición de la tarjeta que introduzcas. Una vez que tiene una buena cantidad de ellas probará arriesgarse a entrar para llevarse tu dinero y que la posición de la tarjeta que le pidan sea de las que ya tiene apuntadas.Por eso se creó el sistema de claves OTP (One-Time Password = contraseñas de un solo uso), para que nunca se repitan las contraseñas y aunque el ladrón las coleccione no le sirva de nada.
Ir a respuesta
Trapero 13/09/19 13:21
Ha respondido al tema Consecuencias entrada en vigor de la regulación PSD2
Sí existía, sí, que a mí me lo explicaron en el banco. Para razonarme que eran seguras me dijeron que en comercios siempre se pide DNI (falso, y además están las autocajas), que las tarjetas tienen un límite de 150€ de compras sin PIN acumuladas (a partir del cual pide PIN), y que hay un seguro de robo. "¿Si me la roban y alguien la usa se hace cargo el banco?" - pregunté; "a partir de 150€" - contestaron. Qué listos.
Ir a respuesta
Trapero 13/09/19 11:18
Ha respondido al tema Consecuencias entrada en vigor de la regulación PSD2
Antes el límite al partir del cual las entidades asumían pérdidas por robo u operaciones fraudulentas era 150€. Y para protegerse (ellos) ponían el límite de compras acumuladas sin PIN en ... ¡150€! ¡casualidad!Si ahora con PSD2 les obligan a bajar ese límite de responsabilidad a 50€ habrá que ver si no modifican también el límite de compras acumuladas sin PIN.Que ellos cuiden de su seguridad me parece muy bien, lo que me molesta es que no cuiden también de la seguridad de sus clientes. Porque yo intenté que me siguieran dando una tarjeta normal en vez de contactless y no hubo manera. Menos mal que algunos bancos (ING por ejemplo) dejan modificar los límites de compras sin PIN con tarjetas contactless.Seguridad primero. Comodidad después. O al menos que el cliente pueda elegir.
Ir a respuesta
Trapero 13/09/19 10:41
Ha respondido al tema Consecuencias entrada en vigor de la regulación PSD2
¿Sabéis por qué hay un límite de 150€ de pagos sin PIN acumulados a partir del cual será imprescindible introducir el PIN?  Porque las tarjetas tienen un seguro de riesgo y en caso de robo o si falsifican la tarjeta la entidad debe asumir todas las transacciones no autorizadas partir de 150€.No son poco listos ¿eh?
Ir a respuesta
Trapero 13/09/19 10:28
Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)
Hola @deviaje Estaría bien que alguien explicara con detalle cómo funciona la aplicación de verificación móvil de ING, cómo se instala, se conecta y cómo se usa a partir de ahí.Si es como yo creo, el SMS te lo mandan una única vez al principio para vincular la aplicación de validación a tu cuenta de ING. En caso de que tú tuvieras una verificación de segundo factor con SMS (como anuncia que va a hacer Selfbank por ejemplo) recibirías todos los códigos por mensajes SMS. Entonces alguien que tuviera ya el primer factor (usuario y contraseña) en cualquier momento podría bien falsificar la SIM o bien interceptar los SMS, y conociendo los dos factores vaciarte la cuenta.En cambio con este sistema el ladrón tan solo tendría una oportunidad: interceptar AHORA ese SMS que activa la validación móvil, instalarse la validación en su teléfono y utilizarla para vaciarte la cuenta. Si eres tú quien instala la validación móvil en tu teléfono ya no le va a servir al ladrón de nada duplicar la SIM o interceptar los SMS de ahí en adelante.Pero como digo estaría bien conocer en detalle cómo funciona esa aplicación de validación de ING.
Ir a respuesta
Trapero 08/09/19 07:19
Ha respondido al tema ING sólo se podrán hacer operaciones a través del móvil (PSD2)
Señores, a todos nos molesta que nos compliquen la vida, pero hay ciertas pequeñas complicaciones que son necesarias en aras de la seguridad.Un smartphone barato de marca reputada con la última versión del sistema operativo Android cuesta 100€. Poder dormir tranquilos... eso no tiene precio.
Ir a respuesta
Trapero 07/09/19 18:21
Ha respondido al tema Así podemos perder todo nuestro dinero en un instante
Si vas a poner doble factor con aplicación de autenticación ten en cuenta lo siguiente:1- Vincular la cuenta de correo o de banco (o de Amazon) con la aplicación de autenticación significa que ambas partes van a compartir un secreto. El secreto es el código que te va a dar tu cuenta y tú vas a traspasar a la aplicación. Una vez pasas ese código ambos quedan vinculados y la cuenta reconocerá las claves que de ahí en adelante genere la aplicación (las generará incluso offline).2- Es importante que te apuntes ese código inicial, de manera que si pierdes el teléfono o quieres cambiarlo puedas instalar la misma vinculación que te dé las mismas claves en un nuevo teléfono.3- La operación de pasar el "secreto" (el código) desde la cuenta a la aplicación es el momento más delicado. Si un espía conoce ese código tiene tu segundo factor. A partir de ahí usa el sentido común.4- Si después de establecer la vinculación se te ocurre que hubiera habido una manera más segura de haberla llevado a cabo, no hay problema. Puedes deshacer la verificación de dos factores y volver a activarla de nuevo con un nuevo código y una nueva vinculación, haciéndolo esta vez de esa manera más segura que se te ha ocurrido.Si lo haces bien este sistema te va a dar mucha tranquilidad.
Ir a respuesta
Trapero 06/09/19 15:34
Ha respondido al tema Así podemos perder todo nuestro dinero en un instante
"En el 2002 hacían falta muchos conocimientos para dedicarse a cibercriminal. Hoy las herramientas necesarias están en internet al alcance de casi cualquier persona. "Crimeware" es un término utilizado por las fuerzas del orden para describir las herramientas que necesitan los ladrones para cometer cibercrímenes, y esas herramientas están fácilmente disponibles y a bajo coste"'The Secret to Cybersecurity' Scott AUGENBAUMPor cierto, a los que os manejéis con el inglés os recomiendo ese libro que acabo de citar. El autor es un agente del FBI especializado en cibercrimen y está pensado para un lector general que no sabe nada de estos temas y quiere protegerse. Y sí, efectivamente, con unas pocas sencillas medidas como las que he puesto la inmensa mayoría del cibercrimen se puede mantener totalmente a raya.
Ir a respuesta
Trapero 06/09/19 03:02
Ha respondido al tema Así podemos perder todo nuestro dinero en un instante
No lo sé seguro, pero hazte a la idea de que no. Al fin y al cabo lo que pulsas en ese teclado virtual que aparece en pantalla tiene que traducirse en caracteres: letras, números, signos.Es verdad que en las páginas web de algunos bancos a la hora de introducir la contraseña ponen unos teclados en pantalla que se mueven un poco de posición cada vez que picas con el ratón en una tecla. Se supone que eso es para que sea más dificil de espiar lo que has puesto, pero yo no me haría muchas ilusiones: si la información va por el ordenador seguro que puede espiarse.Es como lo de la huella dactilar. Por mucho que te escanee el dedo luego eso tiene que convertirse en un archivo digitalizado y compararse con otro de referencia. Y si es información que va por internet hay riesgo de hackeo.Por eso la seguridad máxima sería un dispositivo en frío, es decir que esté offline, al margen de internet, y al que no tenga acceso el espía. Eso es lo bueno que tienen las tarjetas de coordenadas, que son objetos "en frío", pero hemos visto cuáles son sus limitaciones.En cambio los dispositivos hardware de autenticación generan unas claves únicas en el aparatito pero el propio dispositivo es inaccesible para un hacker. Lo conectas al equipo con un cable y verifica la operación. Esa sería la barrera más infranqueable de todas.autenticador de hardware
Ir a respuesta
Trapero 05/09/19 16:45
Ha respondido al tema Así podemos perder todo nuestro dinero en un instante
Lo siento @Duckelcano pero no estoy nada de acuerdo con lo que dice ese artículo. Pero nada.De entrada confunde privacidad y seguridad. ¿Qué seguridad te aporta borrar el historial de navegación? Es absurdo. El keylogger ya ha recogido todo lo que has tecleado aunque luego lo borres.Mira, como escribiendo este hilo he puesto un poco mis ideas en orden te voy a hacer un breve resumen de lo dicho hasta ahora:1- Corremos peligro de que los ciberdelincuentes consigan colocarnos en nuestro ordenador un programa dañino que nos espíe y robe nuestras claves cuando las tecleamos.2- Para evitar 1 es conveniente tener un equipo limpio dedicado exclusivamente a cosas importantes donde tendremos extremo cuidado de: no picar enlaces en correos si no estamos seguros ellosno descargar más programas/aplicaciones que los que necesitemos y comprobando su autenticidadno navegaremos por internet excepto lo imprescindible para el uso que estamos dando al equipo y comprobando la seguridad de la página (el candado)no nos conectaremos a wifis dudosas (lo mejor es cable o SIM)no introduciremos memorias usb dudosas mantendremos todo actualizado para arreglar vulnerabilidades3- Con lo anterior reducimos el riesgo al mínimo. Pero vamos a ponernos en lo peor e imaginar que nos han colado el programa espía en el ordenador y que al teclear la contraseña el ladrón la roba. ¿Cómo nos protegemos? Utilizamos la verificación en 2 factores de manera que hace falta un segundo factor además de la contraseña para operar.4- Pero si el segundo factor lo tenemos que teclear en el ordenador ¿qué ganamos? El ladrón lo puede averiguar con su programa espía.Para eso se creó el sistema de tarjeta de coordenadas. Como cada vez te pide una posición de la tarjeta diferente al ladrón no le sirve conocer la clave que ya has metido porque desconoce cuál va a ser la siguiente que el banco va a pedir.Sin embargo la tarjeta de coordenadas tiene una desventaja: las posiciones son limitadas (suelen ser 50) y el que nos espía puede ir coleccionando las claves hasta arriesgarse a que le pidan una que ya ha salido.5- La solución que se encontró es crear unas claves que no se reutilicen NUNCA, que sean de un solo uso y que caduquen cada vez. Además esas claves se conocen por un canal diferente al del ordenador, de manera que el ladrón que espía nuestro ordenador solo las descubre cuando ya se han usado y han caducado. No puede saber nunca la siguiente que le van a pedir.Este es el sistema de código por SMS. Es una buena idea pero tiene un problema: los mensajes SMS son vulnerables (SIM duplicada o interceptar).6- ¿Qué se puede hacer? La respuesta está en seguir utilizando como segundo factor unos códigos de un solo uso, que caduquen y que veamos a través de un segundo canal diferente del ordenador donde se nos ha metido el espía, pero sin recibirlos por SMS.Y ahí es donde entran en juego las aplicaciones autenticadoras que hacen precisamente eso: generar códigos desechables pero haciéndolo desde el propio teléfono (incluso offline). Al crear los códigos en un programa dentro de nuestro teléfono, el ladrón no tiene acceso a ellos aunque hackee la SIM.Y sería prácticamente imposible que el mismo ciberdelincuente consiguiera colar su programa espía en los dos canales a la vez: ordenador y teléfono.
Ir a respuesta
Trapero 05/09/19 11:52
Ha respondido al tema Así podemos perder todo nuestro dinero en un instante
A ver, he hecho la prueba de intentar saber el número de teléfono asociado a mi banco sólo con usuario y contraseña.En uno (la primera en la frente) entrando con usuario y contraseña ya puedo saber nombre, dni, fecha de nacimiento, domicilio, teléfono y correo electrónico. Así de fácil. Ahora los ladrones que han conseguido mi primer factor (contraseña) ya saben qué n° de teléfono manipular para tener acceso al código SMS del segundo factor y vaciarme mi cuenta.En el siguiente con usuario y contraseña me permite ver correo electrónico y 5 cifras de las 9 que tiene el teléfono. Podemos pensar que ésto es una barrera pero al parecer se pueden adivinar las otras cifras cruzando datos con el correo (véase http://www.elladodelmal.com/2018/03/como-averiguar-numeros-de-telefono.html?m=1 ). Si utilizas ese número de teléfono exclusivamente para el banco, ahí sí que creo que te puede proteger más.En el tercer banco me pide ya simplemente para conectarme los dos factores de verificación (¡bien por Degiro!).En el cuarto me deja ver 6 cifras del teléfono (solo faltan 3 más por descubrir).Y esto es lo que hay.
Ir a respuesta
Trapero 05/09/19 08:01
Ha respondido al tema Así podemos perder todo nuestro dinero en un instante
Hagamos la prueba. La próxima vez que nos conectemos a nuestro(s) banco(s) a ver si con solo usuario y contraseña somos capaces de ver cuál es nuestro número de teléfono. Y respecto a lo de "cancelar" la trasferencia... me temo que no es tan sencillo. Una cosa es pedir anularla y otra que el dinero vuelva al redil.
Ir a respuesta
Trapero 05/09/19 07:59
Ha respondido al tema Así podemos perder todo nuestro dinero en un instante
Usar un equipo sólo para esos asuntos ya es una medida importante. Lo de Ubuntu, pues yo siempre he oído que con linux estás menos expuesto a programas maliciosos, aunque solo sea porque es mucho más minoritario. Si controlas bien ese sistema operativo puede ser una buena opción para añadir aún más seguridad. Pero ojo que lo más importante es lo que haces tú. No hay que abrir enlaces en correos electrónicos si no estás seguro del remitente (cuidado con el phishing), nada de instalar programas no fiables, etc...
Ir a respuesta
Trapero 05/09/19 06:20
Ha respondido al tema Así podemos perder todo nuestro dinero en un instante
Hola, Analytics Entiendo que la idea de tener un número de teléfono exclusivo para bancos tiene como objetivo, en el caso de funcionar con un sistema de verificación de dos factores con código por SMS como segundo factor, evitar que los ladrones puedan siquiera llegar a conocer cuál es tu número de teléfono para así evitar que dupliquen la SIM o intercepten nuestros mensajes SMS. El problema es que averiguar el número de teléfono que utilizas con el banco, aunque sea diferente del personal, me temo que no es extremadamente difícil. Por poner un ejemplo, si los ladrones ya han conseguido el primer factor (usuario y contraseña) porque han podido colar un programa espía en tu ordenador (pongámonos en el peor de los casos) lo único que tienen que hacer es iniciar sesión en tu cuenta y entrar en la sección "datos personales" para leer tu nombre, correo electrónico, teléfono, etc... O elegir la opción "cambiar teléfono" para que les muestre el número actual y pida teclear el nuevo. (Incluso hay un banco que hasta hace poco si le pedías cambiar tu número de teléfono enviaba el código SMS de verificación... ¡al nuevo teléfono que habías puesto! Así de chapuceros son algunos bancos con la seguridad) Me parece más seguro evitar el código SMS como segundo factor de verificación siempre que te den otras opciones menos vulnerables. Un saludo
Ir a respuesta

Lo que sigue Trapero
dullinvestor