El megapost de las cuentas de ahorro....

Me huele a base de datos entregada a alguna agencia para una campaña o algo así.
 
Si consiguen entran en un banco.... tela!

¿Por qué?
Los sistemas de seguridad de algunos bancos españoles dejan mucho que desear. Lo comenté aquí, el del Sabadell mete miedo. Porque te garantiza el dinero Europa, que si no…

He trabajado para alguno en diferentes proyectos y están lejos, muy lejos, de tener mejores medidas que muchas empresas. Es más, pongo antes la mano en el fuego con la empresa en la que estuve varios años hasta 2023 que por Sabadell, Unicaja y alguno más.
 
"Algunos bancos" imagino que estarán muy por debajo que uno de los principales bancos de España.
Pero como dices, la pasta está asegurada, así que para qué preocuparse?
 
Que me corrijan si alguno trabaja para uno de estos bancos, pero tecnológicamente está por delante Openbank del Santander.

Ser uno de los principales bancos no te garantiza ser uno de los más evolucionados tecnológicamente. Al contrario, como buenas empresas-dinosaurios, suelen tomar decisiones con poca agilidad, justo lo contrario de lo que necesitan los departamentos de IT. Precisamente lo que he visto en bancos es que cuanto más grandes con mecanismos más antiguos trabajan, siendo otros como Openbank o Abanca los que más rápido reaccionan.

Teniendo en cuenta que la implantación de medidas de seguridad es algo que requiere muchísima agilidad, porque salen parches a diario, estas empresas son las que peor lo llevan.

Mientras la app de Abanca tiene implantado hasta las Passkeys, la del Sabadell o el BBVA dan pánico. En el BBVA gracias a Dios que Apple inventó lo de autenticarte con la cara, porque el código de acceso te deja que sea de un par de caracteres y un par de números. Complejidad mínima. En el año 2024. Que entras desde el ordenador a través de un navegador ¡¡y ni siquiera hay doble factor de autenticación!!

Como en tantas otras cosas, si buscáis seguridad, no vayáis a por empresas antiguas por grandes que sean.
 
Os estáis liando. Una cosa es la contraseña de usuario para entrar en tus cuentas y otra la del acceso a un servidor (alojado en un proveedor) aka cloud.


Sent from my iPad using Tapatalk Pro
 
Os estáis liando. Una cosa es la contraseña de usuario para entrar en tus cuentas y otra la del acceso a un servidor (alojado en un proveedor) aka cloud.


Sent from my iPad using Tapatalk Pro

Acabo de hacer una presentación para una administración pública sobre esto. Les he dicho el paso más básico y les he puesto un ejemplo real. Se me han quedado con una cara de asombro alucinante.

Lo mismo le he hecho para bancos y empresas grandes. Te sorprendería ver el nivel.
 
Por cierto, un banco en el que la contraseña de usuario puede ser la más básica me dice muy poco de cómo puede ser eso por dentro. Si no exigen una mínima seguridad para los usuarios…
 
Si, está claro, el que tiene el jardín descuidado, seguramente también tendrá el garaje.

Pero que en este caso, la brecha no está en el frontend de usuarios.

A saber.


Sent from my iPad using Tapatalk Pro
 
En este caso la base de datos la tenía un proveedor, efectivamente. Pero vamos, que este tipo de empresas no están exentas de sufrir un ataque.
 
la mayor brecha esta en los propios empleados, técnicos etc.... como en todos los sitios....
 
Que me corrijan si alguno trabaja para uno de estos bancos, pero tecnológicamente está por delante Openbank del Santander.

En algunas (muy pocas) cosas, si. En otras, están muy detrás. Y Santander sigue siendo proveedor de tecnología de Open pese a que se lo hayan montado por su cuenta. No pueden ni les merece la pena tener una estructura tecnológica 100% propia.

Y Santander tiene hoy de dinosaurio (en lo tecnológico) muy poco por no decir nada, ya hemos hablado aquí de eso...
 
  • Me gusta
Reacciones: Tim
Creo que en el BBVA la contraseña de usuario tiene un máximo de 6 dígitos. 6

Si te roban la contraseña de tu usuario, como mucho vas a saber cuánta pasta tienes y poco más.
Lo cual, dicho sea de paso, pueden hacer solamente buscándote en cualquier red social.


Sent from my iPhone using Tapatalk Pro
 
Creo que en el BBVA la contraseña de usuario tiene un máximo de 6 dígitos. 6

Y además, sin ningún requisito tipo caracter especial o similares. La mia es de cuatro letras y un número. Pero como han dicho, lo único que puedes hacer con ella es mirar el saldo, movimientos, y poco más. Cualquier otra cosa te pide verificación por SMS. Que sigue siendo una mierda, ojo.

El sistema que más me gusta de los que conozco es el del Deutsche Bank. Está su aplicación, y otra de verificación, aparte. Prara autorizar algo, te abre la otra app, y allí la autorizas con biometría. Desde el PC, te manda a la verificación en el móvil. Y te devuelve a la principal. Rápido y cómodo.
 
Y además, sin ningún requisito tipo caracter especial o similares. La mia es de cuatro letras y un número. Pero como han dicho, lo único que puedes hacer con ella es mirar el saldo, movimientos, y poco más. Cualquier otra cosa te pide verificación por SMS. Que sigue siendo una mierda, ojo.

El sistema que más me gusta de los que conozco es el del Deutsche Bank. Está su aplicación, y otra de verificación, aparte. Prara autorizar algo, te abre la otra app, y allí la autorizas con biometría. Desde el PC, te manda a la verificación en el móvil. Y te devuelve a la principal. Rápido y cómodo.

Manu1001 o manu1.


Sent from my iPad using Tapatalk Pro
 
Pues si, la verdad. Hace años colaboré con el Barclays en un tema de estos. Tenía amistad con el director de una oficina, y estaban teniendo casos de gente a la que sacaban el dinero de las cuentas. Usaban una tarjeta de claves, y no sabían como lo hacía el chorizo. Me ofrecí a echar un vistazo al ordenador de un afectado, y tardé cero coma en descubrirlo. La verdad es que para esa época, lo tenía bien montado el cabronazo. Mediante pishing, metía un troyano que cambiaba las DNS del ordenador. Cuando el incauto intentaba entrar en la web de Barclays, en realidad entraba en otra, visualmente IDÉNTICA. Cada vez que ejecutaba alguna opción, el cabronazo replicaba en segundo plano (esta vez, en la web verdadera) lo que este hacía, y le daba la misma respuesta en la web falsa. Pero cuando ordenaba una transferencia, cambiaba el número de cuenta, destinatario e importe. Y al pedir las claves, este se las daba, la web las clonaba en la web del banco... y zas. Dinero fuera.

Lo que más me flipó es que nadie en el banco hubiese caído en como lo estaban haciendo.

Obviamente, me dieron las gracias, una palmadita en la espalda, y ya hablaremos con la central para que tengan un detalle contigo. Aún estoy esperando. :garrulo
 
Yo tengo la app de BBVA todo con confirmación mediante biometría. Ni un bizum sin biometría.
 
Yo tengo la app de BBVA todo con confirmación mediante biometría. Ni un bizum sin biometría.

Eso está genial, pero sirve para el móvil. Cada dispositivo tiene sus sistemas de seguridad. Así que tienes la puerta de casa con puerta blindada, te lee la huella la cerradura… y luego tienes zonas de casa donde abres con una tarjeta de crédito en dos segundos (la web). Y es que ahí con un simple PIN ya entras. No hay doble factor, no hay nada.

Que una empresa como el BBVA ya ha esto demuestra muy poco. Como estará el resto. No me sirve que con eso no me roban dinero, porque ese es un problema suyo. Lo que me demuestran es que mis datos privados están desprotegidos.

Pero es que hay más. El BBVA ni siquiera pide doble factor para todas las operaciones. Si el dispositivo que usas ya ha sido usado varias veces, lo consideran como bueno. Eso sí, te mandan un email para avisarte de la operación. Hace unos días hice una transferencia de más de 7000€ y no necesité volver a poner ningún código. ALUCINANTE. En Abanca para consultar movimientos de más de 90 días atrás necesito hacerlo.

Como digo, porque el dinero está garantizado igual que VISA se encarga cuando pagas a crédito de lo que ocurra. Pero seguridad en muchos bancos españoles… seguridad tiene Zara, pero el resto…
 
Oid, y tengo que resolverlo mañana. Estoy ahora con Open, para un cheque confirmado cobran siempre, me pasó la nómina un mes a otro sitio? Es mejor una OTF y más barata?

Enviado desde mi CPH2247 mediante Tapatalk
 
Arriba Pie