¿Por qué los bancos tienen seguridad de mierda?

Kookiu

Es algo que me toca las narices, no entiendo por qué las apps de banco o el propio área de clientes en modo web tienen una seguridad de mierda con todos los métodos que existen a día de hoy para proteger una cuenta.

En mi caso, tengo una cuenta en Openbank y lo único que necesito saber es el PIN de 4 dígitos y mi DNI y puedo entrar desde cualquier dispositivo, sea desde España o Pekín, que se lo fuma todo y entra igual. Y creo que esto es la tónica general en prácticamente todos los bancos.

Joder, es que ni un triste 2FA que hasta apps open source creadas por un solo tío tienen.

FerPina

Open bank como todo banco necesitas un 2FA para hacer cualquier movimiento y si es de más de X cantidad la clave de firma.

Además, no puedes entrar dese cualquier dispositivo, solo te deja tener 1 dispositivo de confianza y tienes que desvincular el anterior si quieres vincular uno nuevo, que lo tuve que hacer hace poco al cambiar de móvil porque no podía usar la app en el móvil nuevo.

Con el código Pin y DNI solo puedes llamar por tlf para consultas ya que cualquier operación ya pide el SMS (2FA), tu móvil y/o tu clave de firma.

1 respuesta
Loler

Existen varias razones por las cuales puede parecer que la seguridad bancaria es deficiente en algunos casos:

Evolución constante de amenazas: Los ciberdelincuentes están constantemente desarrollando nuevas técnicas para vulnerar sistemas de seguridad.

Comportamiento humano: Muchos problemas de seguridad bancaria surgen por errores humanos, como el uso de contraseñas débiles, caer en estafas de phishing o compartir información sensible.

Complejidad de los sistemas: Los bancos operan con sistemas tecnológicos muy complejos que deben integrarse con múltiples redes y servicios, lo que aumenta la posibilidad de vulnerabilidades.

Enfoque en la experiencia del usuario: Los bancos a menudo buscan facilitar el acceso y uso de sus servicio. Por ejemplo, hacer que las aplicaciones sean fáciles de usar puede hacerlas mas vulnerables.

Incidentes aislados: Es posible que hayas experimentado un caso particular donde la seguridad falló, pero esto no necesariamente refleja el sistema general de un banco.

1 respuesta
jmdw12

#3 resume el mensaje anterior.

4
Tarles

Pues yo en Openbank lo veo todo de puta madre incluso puedes ponerle la huella y para comprar cualquier cosa me pide verificar el pago. Lo único que veo que pueden hacerte así fácil es clonarte la tarjeta, cosa que me hicieron incluso en HSBC UK y que puede pasarte en prácticamente cualquier banco.

eXtreM3

#2 te parece poco tener acceso de lectura completo a todos tus datos bancarios?

Aunque no puedas operar, es una barbaridad.

1 1 respuesta
GaN2

Porque en el mundo donde vivimos es más fácil pagar una multa por un incidente de robo de datos o accesos no autorizados que gastarse la pasta en tener un infraestructura en condiciones y con su seguridad correspondiente

FerPina

#6 si, cierto, pueden acceder a tus datos (tu Iban y tu saldo y movimientos recientes). Si, no es poco, pero tampoco van a poder operar con ello.

En cuanto entres desde cualueir lado te llega un push y un correo del banco para avisarte de cualquier logeo.

Wue no lo defiendo eh, pero que no es tsnto como que con el Pin y tu DNI ya tienen todo.

d4n1p3

Con los temas de seguridad, phising y tal... ya conozco un par de casos relativamente cercanos que han palmado pasta...

A la hermana de una amiga le "llamaron" de BBVA pidiéndole códigos y tal pq habían detectado unas transacciones sospechosas en su cuenta de empresa... palmó 30k.

Otro me dijo que a su padre le clonaron la tarjeta de la cuenta familiar estando de viaje en Holanda y le soplaron 24k.

Kbarton

Si cada vez que tenga que entrar al banco a consultar recibos, pagos o cualquier historia tengo que hacer el 2FA

Me cagaria en los muertos de alguien

Aziwar

tener que poner un pin de 4 digitos parece una chorrada hoy en día, verdad? Sin embargo, te olvidas de una cosa que hacen los bancos y no tu típico servicio web: te bloquean al par de intentos.

Por lo que sí, un PIN de 4 dígitos parece inseguro, pero no le puedes hacer fuerza bruta.

1 respuesta
eXtreM3

#11 pero eso es casi peor, no? Alguien que sepa automatizar por ejemplo instancias de AWS y lance logins aleatorios contra todos los Dnis, bloquea absolutamente todos los usuarios de ese banco xD

1 respuesta
TripyLSD

Pues yo he tenido problemas por justo lo contrario, con ING, al iniciar sesión desde otro teléfono en otro país me bloquearon temporalmente la cuenta hasta que no contactase con el banco para confirmar que era yo

En cualquier caso 2FA con confirmación por SMS es obligatorio para todos los bancos. Otra cosa es que en tu móvil tengas ya creada una llave de autentificación para la cual solo te pide un pin de 4 cifras y tu dni

Christian2

Añado que me da muchísimo porculo (Imaginbank) que no puedas forzar a que te pida contraseña o autorización para todas las transacciones. Me parece super random que una vez has hecho una compra en un negocio conocido o vuelves al mismo varias veces, no te pidan nada. ¿Rollo y si me roban la tarjeta? Te pueden desplumar fácil y aunque les pidas que lo hagan, no lo hacen.

1
pardier

son un cebo para ver si picas, robar bancos es inviable hoy dia

apopo

Estas tu que alguien va a correr el riesgo de ir a prision para robar los 200 euros que tienes en la cuenta corriente XD

WaRdIx

Pues en ING a mi me pide la confirmación de la huella en el movil si entro desde un PC.

O sea lo tengo configurado en mi movil con mi número de teléfono y entrada por huella. Si entro en un PC me sale Pop en el móvil que si no acepto no me deja entrar.

Luego me avisa de todo al movil.

Aziwar

#12 ese tipo de ataque se detectan con cierta facilidad, seguramente incluso queda bloqueado antes de que consigas si quiera un DNI de alguien que tenga cuenta en el banco.

Suponte que lanzas 1000 instancias, con cada una intentas 4 logins para el mismo DNI, al final estas probando 1000 DNIs y haciendo 4000 requests. Primero, eso salta la alerta ya que es un comportamiento inusual, y por otro lado, seguramente la probabilidad de que de esos 1000 DNIs uno sea cliente del banco es muy baja.

alexw0w

Yo hoy ya llevo robados 4

2

Usuarios habituales

  • Aziwar
  • WaRdIx
  • Christian2
  • TripyLSD
  • eXtreM3
  • FerPina
  • Kookiu