Seguridad informática
- Autor King Conan
- Fecha de inicio
Discord Pie
iOS Developer
Tim
Miembro habitual
- Mensajes
- 32.982
- Reacciones
- 24.890
¿Por qué metéis tarjetas de crédito en algún sitio? A la hora de apostar por un banco, deberíamos analizar sus posibles sistemas de seguridad.
El BBVA permite usar tarjetas con el CVV dinámico. Bueno, no está mal.
www.bbva.es
Personalmente me parece una solución intermedia, que no me convence. Tengo cuenta en el BBVA y las tarjetas no sólo están en un cajón, es que ni siquiera las tenemos activadas.
Abanca, que me da infinitos quebraderos de cabeza con ciertos temas y me iría si no fuera por ciertas condiciones que tengo, aunque qué banco no da problemas, tiene el mejor sistema.
Por una parte, algo que BBVA también tiene y que poca gente usa: encender y apagar las tarjetas. Enciende la de crédito cuando sea imprescindible. Acabo de venir de un viaje y para el dinero que te hacen de reserva del alquiler del coche has de hacerlo con una tarjeta de crédito. La encendí, hice el pago, la apagué. No estuvo encendida más el de diez segundos.
Pero como decía, el CVV dinámico no me va. Al fin y al cabo estás dando tus datos reales. Para eso Abanca tiene la tarjetas virtuales. Se pueden crear de tarjetas de débito o crédito. Si sabes lo que vas a pagar, generas una tarjeta, que puedes poner con una duración de uno o dos meses, con la cantidad exacta. Eso genera una tarjeta con un número aleatorio completo, incluyendo el CVV. Como además tiene una cantidad fija, es al mismo tiempo de prepago. Puedes tener una tarjeta de crédito y de prepago simultáneamente. Todo desde la app del móvil en segundos.
Hace muchos años que no uso las tarjetas. Cualquier pago es generando una tarjeta virtual, ya sea para pagar 500€ o 5.
Desconozco cómo hacen otros bancos, pero revisad el tema. El BBVA no está mal pero es bastante flojo para el banco que es. Comentad qué medidas tiene vuestro banco, siempre es interesante. Yo estoy en BBVA por dos detalles a raíz de un tema de una herencia y dejamos la cuenta gratuita pero no usamos nada más. En Abanca uso las tarjetas porque es el banco que más seguridad aporta.
El BBVA permite usar tarjetas con el CVV dinámico. Bueno, no está mal.
¿Qué es el CVV dinámico y cuál es su función?
Descubre que és el CVV dinámico y cómo te ayuda a blindar aún más tu seguridad al realizar compras online con tu tarjeta. Entra en BBVA e infórmate.
www.bbva.es
Personalmente me parece una solución intermedia, que no me convence. Tengo cuenta en el BBVA y las tarjetas no sólo están en un cajón, es que ni siquiera las tenemos activadas.
Abanca, que me da infinitos quebraderos de cabeza con ciertos temas y me iría si no fuera por ciertas condiciones que tengo, aunque qué banco no da problemas, tiene el mejor sistema.
Por una parte, algo que BBVA también tiene y que poca gente usa: encender y apagar las tarjetas. Enciende la de crédito cuando sea imprescindible. Acabo de venir de un viaje y para el dinero que te hacen de reserva del alquiler del coche has de hacerlo con una tarjeta de crédito. La encendí, hice el pago, la apagué. No estuvo encendida más el de diez segundos.
Pero como decía, el CVV dinámico no me va. Al fin y al cabo estás dando tus datos reales. Para eso Abanca tiene la tarjetas virtuales. Se pueden crear de tarjetas de débito o crédito. Si sabes lo que vas a pagar, generas una tarjeta, que puedes poner con una duración de uno o dos meses, con la cantidad exacta. Eso genera una tarjeta con un número aleatorio completo, incluyendo el CVV. Como además tiene una cantidad fija, es al mismo tiempo de prepago. Puedes tener una tarjeta de crédito y de prepago simultáneamente. Todo desde la app del móvil en segundos.
Hace muchos años que no uso las tarjetas. Cualquier pago es generando una tarjeta virtual, ya sea para pagar 500€ o 5.
Desconozco cómo hacen otros bancos, pero revisad el tema. El BBVA no está mal pero es bastante flojo para el banco que es. Comentad qué medidas tiene vuestro banco, siempre es interesante. Yo estoy en BBVA por dos detalles a raíz de un tema de una herencia y dejamos la cuenta gratuita pero no usamos nada más. En Abanca uso las tarjetas porque es el banco que más seguridad aporta.
De las tarjetas que tengo la única que uso es la de crédito de BBVA. Hay gente que no entiende lo que es una tarjeta de CRÉDITO, pero básicamente, los pagos que hago con ella nunca es con mi dinero, sino el de la entidad crediticia que me lo presta a interés cero. Si me roban, si compran, si hacen cualquier uso fraudulento con ella, basta con que denuncie en X días y no es ni será mi problema.
Cada cargo que se produce en ese tarjeta, por pequeño que sea, me avisa la APP al instante. Así que si no he usado la tarjeta, no me puede venir ningún aviso, y si me viene, llamo al banco y aviso, servicio 24/7.
Llevo con el mismo billete de 20 euros en el bolsillo meses. Literal. En la panadería (esa Martaaaaa) pago siempre también con tarjeta de crédito. No uso efectivo jamás.
Tengo más tarjetas y no las he usado jamás. Esta siempre me ha funcionado en todos los países a los que he ido. Antes tenía que ir probando con unas u otras, hasta que un día le dije al banco que o me daban una opción única, o me iba. Para mí es la comodidad absoluta y me da plena confianza.
Cada cargo que se produce en ese tarjeta, por pequeño que sea, me avisa la APP al instante. Así que si no he usado la tarjeta, no me puede venir ningún aviso, y si me viene, llamo al banco y aviso, servicio 24/7.
Llevo con el mismo billete de 20 euros en el bolsillo meses. Literal. En la panadería (esa Martaaaaa) pago siempre también con tarjeta de crédito. No uso efectivo jamás.
Tengo más tarjetas y no las he usado jamás. Esta siempre me ha funcionado en todos los países a los que he ido. Antes tenía que ir probando con unas u otras, hasta que un día le dije al banco que o me daban una opción única, o me iba. Para mí es la comodidad absoluta y me da plena confianza.
Tim
Miembro habitual
- Mensajes
- 32.982
- Reacciones
- 24.890
El problema es que para que te devuelvan el dinero has de ir a la Guardia Civil a presentar una denuncia.
¿Pero para qué usar tarjetas pudiendo no usarlas?
Los móviles o relojes que permiten pagar tienen asignado un número de tarjeta distinto. Cada dispositivo tiene un número diferente. No expones el número de tu tarjeta original. Como además únicamente están activas cuando lo haces en el dispositivo, si te cogen los datos no los pueden usar.
En internet, la solución del BBVA no me gusta, estás exponiendo parte de tus datos. Tarjetas virtuales. Y encendiendo y apagando las originales, que para eso está la funcionalidad.
Esto es como lo que usa Apple cuando te registras con AppleID. Ocultan tu email y lo único que hacen es redirigirte los emails. El mecanismo no puede ser más simple. Lo increíble es que con las tarjetas de crédito los bancos sigan usando mecanismos prehistóricos.
¿Pero para qué usar tarjetas pudiendo no usarlas?
Los móviles o relojes que permiten pagar tienen asignado un número de tarjeta distinto. Cada dispositivo tiene un número diferente. No expones el número de tu tarjeta original. Como además únicamente están activas cuando lo haces en el dispositivo, si te cogen los datos no los pueden usar.
En internet, la solución del BBVA no me gusta, estás exponiendo parte de tus datos. Tarjetas virtuales. Y encendiendo y apagando las originales, que para eso está la funcionalidad.
Esto es como lo que usa Apple cuando te registras con AppleID. Ocultan tu email y lo único que hacen es redirigirte los emails. El mecanismo no puede ser más simple. Lo increíble es que con las tarjetas de crédito los bancos sigan usando mecanismos prehistóricos.
Igual que cuando te roban.... mejor eso que nada. Tampoco es frecuente, ¿cuántas veces te ha pasado en toda tu vida?
No uso reloj y no tengo activado el método de pago por teléfono. No me gusta.
Lo bueno es que haya opciones y que cada cual escoja la que más le gusta o interesen cada momento.
La única vez que pensé que había algo raro con la tarjeta, la desactivé (no cancelar) y tras solventar la duda, proseguí usándola.
Si alguien hace uso fraudulento, lo conseguirá una vez, tal vez dos, y de lo cual me enteraré tan pronto suceda y no tendría reparo en denunciarlo (muy cerca de casa).
No quiero tener mil sistemas ni historias varias. Ya pasé hace años por la BNEXT, tarjetas virtuales y demás. No me interesa nada de eso. Tampoco uso ni tengo tarjetas de débito. Con MI dinero no me gusta jugar, con el del banco me la suda.
No sé si ya conté el calvario que pasó un compi del curro al que le pillaron los datos de la tarjeta y tuvo que mover Roma con Santiago... por ser de débito .
Yo pasarela intermedia… PayPal, Google, Apple,… y si no, tarjeta de crédito de un tercero. También tengo activada la biometría en BVA y toda operación sólo se puede autorizar desde mi teléfono con mi huella dactilar. Ni SMS ni pollas, que eso sí que me parece un coladero y un riesgo inaceptable.
Tim
Miembro habitual
- Mensajes
- 32.982
- Reacciones
- 24.890
El pago por teléfono hace que la tarjeta de débito pase a tener una seguridad que no tiene. Es que no te van a robar el dinero porque estás mostrando unos datos falsos. Aparte de que es un start/stop automático.
En mi caso, la única vez que usé la tarjeta de crédito en una web, fue desde un equipo de empresa securizado, sin apps instaladas, desde una red de empresa con todos los mecanismos de seguridad posibles. Los datos de mi tarjeta los sacaron de la web, creo que había sido eDreams. De esto hace igual 8 años. Efectivamente, presentas denuncia, vas al banco y te devuelven la pasta. Bueno, como dice @TheReeler eliminan el movimiento, porque estás jugando con dinero del Monopoly, el dinero de verdad es de VISA.
Desde entonces, es que ni eso. Desde la propia app del banco genero tarjetas virtuales. Tanto para débito como crédito. Y me ahorro la posibilidad de que usen mis datos.
La otra opción que más uso es Paypal. Con doble factor de autenticación, con el código en Google Authenticator. Mano de santo.
En mi caso, la única vez que usé la tarjeta de crédito en una web, fue desde un equipo de empresa securizado, sin apps instaladas, desde una red de empresa con todos los mecanismos de seguridad posibles. Los datos de mi tarjeta los sacaron de la web, creo que había sido eDreams. De esto hace igual 8 años. Efectivamente, presentas denuncia, vas al banco y te devuelven la pasta. Bueno, como dice @TheReeler eliminan el movimiento, porque estás jugando con dinero del Monopoly, el dinero de verdad es de VISA.
Desde entonces, es que ni eso. Desde la propia app del banco genero tarjetas virtuales. Tanto para débito como crédito. Y me ahorro la posibilidad de que usen mis datos.
La otra opción que más uso es Paypal. Con doble factor de autenticación, con el código en Google Authenticator. Mano de santo.
Yo uso tarjeta de crédito de Openbank y pago con el móvil a través de Google.
Para viajes uso Revolut, que es prepago y de crédito. Además mucho de su negocio es por transacciones internacionales con lo que tienen bastante experiencia en ello e imagino que deben tener desarrollada una buena seguridad al respecto. Además de todas las ventajas a la hora de viajar, con cambios de divisas, seguro de viaje y demás.
Para viajes uso Revolut, que es prepago y de crédito. Además mucho de su negocio es por transacciones internacionales con lo que tienen bastante experiencia en ello e imagino que deben tener desarrollada una buena seguridad al respecto. Además de todas las ventajas a la hora de viajar, con cambios de divisas, seguro de viaje y demás.
Os escribo desde Cabo Verde (sí, hemos vuelto) y aquí el pago sin contacto no existe, todo metiendo el chip en datáfono.
Discord Pie
iOS Developer
¿Y puedes usarla como clave de acceso en todas partes?
Los passkeys son interesantes, pero de momento no me convencen porque no los puedes utilizar en todas los servicios ni en todo tipo de dispositivos, y aunque pueden servir para reforzar más la seguridad de algunos servicios que consideremos más críticos, me parece que les queda recorrido en la adopción, y además hay alternativas que considero suficientemente seguras y que me resultan más cómodas.
Porque no nos olvidemos, mayor seguridad es menor comodidad, eso es un hecho.
A dia de hoy, mi solución es utilizar una password compleja, generada por un buen gestor de contraseñas que me permita utilizarlas de forma fácil, con su aplicación propia, con integración con el navegador a través de extensiones o con el sistema operativo a través de sistema de autorrelleno, y que pueda acceder a la caja fuerte que las aloja desde cualquiera de los dispositivos que utilizo, ya sea en macOS, iOS, iPadOS, Android, Windows o Linux.
En su día usaba 1Password, pero su política de suscripción mensual me alejó de ellos, y desde hace ya bastante tiempo mi gestor de contraseñas de confianza es Bitwarden, con el que gestiono unas 400 identidades, todas con contraseñas fuertes que no necesito memorizar, y salvo en los sitios en donde el límite es más pequeño, todas suficientemente complejas como para que un ataque de fuerza bruta lo tenga complicado.
The password manager trusted by millions | Bitwarden
Bitwarden makes it easy for businesses and individuals to securely generate, store, and share passwords from any location, browser, or device. Create your free Bitwarden account today.
bitwarden.com
Alguien podrá decir que todas mis contraseñas están en una caja fuerte alojada en casa de un tercero y que la seguridad será la que ofrezca este, y tendrá razón. Y lo mismo con respecto a la llave maestra para acceder a la caja fuerte, que es el dato que habilita poder descifrar el contenido de la caja fuerte.
No hay seguridad perfecta, pero Bitwarden me convence. La información que se intercambia está cifrada extremo a extremo, y si alguien consiguiera acceder a mi caja fuerte, necesitará una autenticación de doble factor con Authy, Google Authenticator o Microsoft Authenticator, que es mi opción preferente si está disponible. Y eso obliga a usar mi teléfono móvil, que siempre va conmigo y supone un refuerzo importante de la seguridad.
Mi patrón habitual de contraseña tiene 14 caracteres generados aleatoriamente, combinando mayúsculas, minúsculas y caracteres especiales.
Algo como esto, que he generado ahora mismo desde la extensión de Bitwarden en el navegador Edge, en Windows 11 Pro.
Discord Pie
iOS Developer
Como digo la passkey es para el Apple ID.
No solo sirven para el ID de Apple, también se pueden usar para iniciar sesión en apps y sitios web.
Usar llaves de acceso para iniciar sesión en apps y sitios web en el iPhone
En el iPhone, utiliza llaves de acceso para iniciar sesión de forma segura y sencilla en sitios web y apps sin usar contraseñas.
support.apple.com
¿No será otro? Yo sigo utilizando 1Password y no hay subscripción...
1Password es de pago, yo utilizo la suscripción familiar. Me da todo lo que le pido, y la integración es muy buena.
@DeBilbao aparte del precio ¿tiene más funcionalidades?¿echas algo de menos?
1Password se puede probar gratis durante 14 días, por lo que tienes tiempo suficiente para decidir si es adecuado para ti. Al final de la prueba gratuita de 14 días, podrás elegir el plan que mejor se adapte a tus necesidades. Si simplemente quieres generar un nombre de usuario y contraseña fuertes y únicos, prueba nuestro generador de contraseñas y nuestro generador de nombres de usuario en línea gratis.
@DeBilbao aparte del precio ¿tiene más funcionalidades?¿echas algo de menos?
¿Existe una versión gratuita de 1Password?
1Password se puede probar gratis durante 14 días, por lo que tienes tiempo suficiente para decidir si es adecuado para ti. Al final de la prueba gratuita de 14 días, podrás elegir el plan que mejor se adapte a tus necesidades. Si simplemente quieres generar un nombre de usuario y contraseña fuertes y únicos, prueba nuestro generador de contraseñas y nuestro generador de nombres de usuario en línea gratis.
Discord Pie
iOS Developer
No te enteras. Desde iOS 17 se gestiona el passkey del Apple ID automáticamente. Lo que has puesto es que desde iOS 16 el sistema es compatible con passkeys de terceros.No solo sirven para el ID de Apple, también se pueden usar para iniciar sesión en apps y sitios web.
Usar llaves de acceso para iniciar sesión en apps y sitios web en el iPhone
En el iPhone, utiliza llaves de acceso para iniciar sesión de forma segura y sencilla en sitios web y apps sin usar contraseñas.support.apple.com
Un passkey no es algo que sirva para todos los sitios, cada sitio usa el suyo.
Puedes seguir usando 1Password sin suscripción, pero estarás usando la versión 6, con sincronización del vault (la caja fuerte) a través de iCloud, Dropbox o una carpeta local.
Actualmente 1Password va por la versión 8, y si lo quieres usar tienes que pagar una cuota mensual, que es algo que trato de evitar.
Precios, prueba gratuita de gestor de contraseñas | 1Password
Revisa nuestros precios para Canadá y regístrate para una prueba gratuita para acceder al gestor de contraseñas, bóveda digital, generador de contraseñas, rellenador de formularios, cartera digital y mucho más.
Respondiendo a @WRC, no echo nada de menos usando Bitwarden, y es completamente gratuito para uso personal. También tiene servicio de suscripción para mejorarlo a cuenta Premium (USD$10 al año) o familiar (USD$40 al año para 6 usuarios), que lo hace más competitivo que 1Password.
Bitwarden Password Manager Pricing | Bitwarden
Check out the Bitwarden Password Manager pricing and sign up for a Free Trial to get access to all the great features that will help secure your digital life.
bitwarden.com
Discord Pie
iOS Developer
iOS 17 and macOS Sonoma automatically generate Apple ID passkeys - 9to5Mac
Now that iOS 17 and macOS Sonoma are available, you can forgo entering your password on icloud.com and apple.com domains...
9to5mac.com
C.C. @DeBilbao
+1000
Yo creo que sí, pero igual me estoy perdiendo algo.
@Tim ha preguntado por las passkeys en sentido general o de passkeys de terceros, no de cómo Apple o cualquier otro las utiliza para proteger las credenciales de sus servicios, que como indica el último artículo que enlazas, requieres de un dispositivo con iOS 17, iPadOS 17 o macOS Sonoma para generarlas de forma transparente, y de un iPhone con iOS 17 para poder usarlas.
Para que sirva como ejemplo, cuando accedes al portal de iCloud puedes identificarte con una llave de acceso (passkey) sin necesidad de indicar la contraseña de tu ID de Apple. Eso sí, necesitarás tener el iPhone a mano con iOS 17 para que puedas identificarte, en mi caso con FaceID.
Esto es cómodo, pero solo funciona con el ID de Apple.
El artículo de Apple que te enlazaba, habla de cómo usar llaves de acceso (passkeys) para iniciar sesión en apps y sitios web desde el iPhone y de cómo estas se almacenan en el llavero y se sincronizan usando iCloud, perfecto para quien solo usa dispositivos de Apple, pero no tanto para quien usa dispositivos de distintos fabricantes y sistemas operativos.
En concreto, el artículo explica cómo:
- Crear y guardar una llave de acceso usando el iPhone
- Usar una llave de acceso para iniciar sesión en un sitio web o app en el iPhone
- Usar una llave de acceso guardada en el iPhone para iniciar sesión en otro dispositivo
- Crear una llave de acceso en un dispositivo que no es el tuyo
- Cambiar una llave de acceso
Volviendo al asunto propuesto por @Tim , veo a las passkeys como algo complementario a mi sistema de gestión de contraseñas, pero de momento lejos de ser una alternativa.
Hinomura Krycek
Bayofilo
Los Passkeys están bien pero siempre he preferido los Phoskitos.
Tim
Miembro habitual
- Mensajes
- 32.982
- Reacciones
- 24.890
Es lo que me parecía, que no es un sistema universal. Cagada. Si una web permite registrarse con tu ID de Google imagino que dejará usar su passkey. Lo mismo si permiten usar el de Apple. Haré alguna prueba a ver cómo funciona. Lo que uso ahora incómodo es un rato, como cuando entro en Paypal: usuario, contraseña y código de la app de autenticación. Pero si es por seguridad, tampoco es algo que haga 20 veces al día.
Los de 1Password montaron un portal con una lista de sitios web, aplicaciones y servicios que ofrecen inicio de sesión con Passkeys.
A día de hoy, tiene 75 registros.
Passkeys.directory
A community-driven index of websites, apps, and services that offer signing in with passkeys.
passkeys.directory
Si lo miras con detenimiento, no hay ni un solo banco tradicional. Están Paypal o Binance, pero no Bankinter o BBVA. Estos van con sus sistemas de autenticación independientes y utilizando biometría, que para las aplicaciones en el móvil están bien, pero para el navegador no tanto.