ING: habrá que instalar obligatoriamente la APP para poder operar

A primera hora he recibido un mail diciéndome que tengo hasta el 11 de septiembre para actualizar a la v2.5 de la app y que con ella podré tirar la tarjeta de coordenadas una vez activada la verificación de transacciones desde el móvil. No tengo claro si es una opción o una obligación, pero suena más a la segundo.
 
No me creo que nadie les haga ver que la normativa no obliga a una app.

Sigo pensando que al final no habrá un cambio relevante, y si lo hay, solo perderá ing.
 
Raullucu dijo:
A primera hora he recibido un mail diciéndome que tengo hasta el 11 de septiembre para actualizar a la v2.5 de la app y que con ella podré tirar la tarjeta de coordenadas una vez activada la verificación de transacciones desde el móvil. No tengo claro si es una opción o una obligación, pero suena más a la segundo.
Hacer clic para expandir...

hace mucho que existe esa opcion, yo no lo he aceptado y sigo con la tarjeta, y todavia no me han comunicado nade de lo que se habla en este hilo, y si hacen obligatoria la app tampoco me importa, me toca bastante los cigotos la tarjetita de claves, es mas, la voy a escanear, encriptar el achivo y destruir la tarjeta-
 
Hoy he recibido el susodicho mensaje.
Pero al leerlo dice que al actualizar la app se podrán hacer todas las operaciones con la app. Pero no dice nada de que no se pueda desde la web.
Creo que debería ser menos alarmista o al menos los CMs de los otros bancos currarselo un poco más

Si queréis cuando tenga más tiempo copio el mensaje.
 
No entiendo ese "pánico" a las apps de los bancos. Yo llevo varias puestas y no le veo mayor problema mientras no se opere en wifi. Estuve hace poco en Edimburgo y me llamó la atención que en los pubs la mayoría de la gente pagaba acercando el móvil a un artefacto en la barra. Paso del bizum, pero las veo muy útiles para chequeos rutinarios, activar-desactivar las tarjetas e incluso hacer operaciones imprevistas por la calle, transferencias, trading o lo que se tercie.

Quizás al no vivir en Barcelona y tener un móvil de lo más corriente me libre de no tener gran riesgo de que me lo manguen y no veo el peligro.
 
Stopper dijo:
No entiendo ese "pánico" a las apps de los bancos.
Hacer clic para expandir...
No es pánico a las apps de los bancos. Es pánico a las apps que piden acceso a tu cámara de fotos, a tu galería de fotos, a tu geolocalización, a tu libreta de contactos, etc. Es pánico a las apps que aúnan espionaje con gestión financiera.

Yo sigo sin recibir ningún correo de ING-Direct al respecto de esta fruta miércoles.
 
A una amiga le hicieron phishing con Ing direct. 10.000 euros le quitaron.
Lo positivo es que el Banco respondió y le devolvió el dinero tras mil y un trámite.
Pero el susto se queda en el cuerpo. Desde entonces, nada lo quiere hacer online, ni app ni leches.
 
pepinox dijo:
No es pánico a las apps de los bancos. Es pánico a las apps que piden acceso a tu cámara de fotos, a tu galería de fotos, a tu geolocalización, a tu libreta de contactos, etc. Es pánico a las apps que aúnan espionaje con gestión financiera.

Yo sigo sin recibir ningún correo de ING-Direct al respecto de esta fruta miércoles.
Hacer clic para expandir...
No concedas permisos a la app. Tan simple como eso.
 
Rogh dijo:
A una amiga le hicieron phishing con Ing direct. 10.000 euros le quitaron.
Lo positivo es que el Banco respondió y le devolvió el dinero tras mil y un trámite.
Pero el susto se queda en el cuerpo. Desde entonces, nada lo quiere hacer online, ni app ni leches.
Hacer clic para expandir...
Si le hicieron phishing algo haría mal y supongo que por ordenador, no por app.
 
Rogh dijo:
A una amiga le hicieron phishing con Ing direct. 10.000 euros le quitaron.
Hacer clic para expandir...
Es que es relativamente "fácil" para un equipo profesional de "hackers" (para aficionados o un lobo solitario, sería imposible la hazaña) hacer phising en cualquier transacción por Internet, aunque haya "doble factor de autenticación" (2FA) si no existe al mismo tiempo "doble canal de autenticación".

Simplemente hace falta que te conectes a un punto de acceso wifi controlado por los hackers (por ejemplo, en un hotel o en una cafetería, etc.), y donde el DHCP del AP wifi te asigne unos servidores DNS controlados por los hackers. A partir de ese momento, cuando con el navegador web intentes acceder a www.ing.es ellos a nivel de DNS te redirigen a un servidor web controlado por ellos (posiblemente albergado en un "cousin domain", es decir, protegido por HTTPS --para que no sospeches y para que tu navegador web no saque alertas de seguridad-- con un certicado SSL a nombre de ese "cousin domain") que imita en todo a la web oficial de ING-Direct. Esa web falsa intermedia captura en tiempo real los datos que introduces en ella para intentar loguearte en lo que erróneamente pensabas que era la web oficial de ING-Direct, incluyendo capturar cuando la introduces en la web falsa la clave que ING-Direct te envío por SMS como 2FA. Y pum, ya están dentro de tu cuenta de ING-Direct.

Si a continuación el hacker intenta transferir tu dinero a un banco en bielorrusia, y te saca en la web falsa que estás viendo una solicitud de la posición 23 de tu tarjeta de coordenadas, y tú como engañado que estás la metes en la web falsa que se te intenta hacer pasar por ING-Direct, adiós ahorros, hamijo.

Obviamente, este tipo de hackeo es difícil de hacer porque necesitas un equipo de gente profesional que sepa hacer una web imitando convincentemente en apariencia y funcionalidad a la zona de clientes de la web oficial de ING-Direct, y que sepa montar un AP wifi pirata con servidores DNS configurados al efecto, que sepa registrar un "cousin domain" apropiado y configurarle su SSL, y que monte una aplicación web en la web falsa que te pida en tiempo real la información que ellos necesitan introducir en la web real para acceder a tu cuenta, etc. Por ejemplo, un equipo de hackers como el descrito aquí rompiendo la 2FA de Google y Yahoo: Iranian phishers bypass 2fa protections offered by Yahoo Mail and Gmail

Este tipo de hackeos no lo hacen niños ardilla ejecutando un script PHP en un VPS cutre de modo indiscriminado "a ver quién pica" (como sería el caso del bichito cryptolocker y demás), sino que son lo que se conoce como "Advanced Persistent Threat" (APT) y se hacen enfocados contra una(s) persona(s) concreta(s) con nombre y apellidos, porque son muy costosos de llevar a cabo en términos de mano de obra altamente especializada y se intenta maximizar la probabilidad de éxito y que el éxito sea económicamente rentable.

Obviamente, si el usuario está atento a que no está yendo a un "cousin domain", no se la cuelan. Obviamente, el 80% de los usuarios son incapaces de detectar un "cousin domain".

Así que sí, contra ese escenario de ataque, una app en el móvil que estuviera pre-configurada para acceder sólo a la web oficial de ING-Direct sería un remedio (pues aunque el DNS falso del wifi pirata pudiera redirigirte las solicitudes del nombre www.ing.es a una web falsa, la verificación del certificado SSL de la misma fallaría --los hackers supuestamente no pueden obtener un certificado SSL para una web que no controlan realmente, aunque ha habido casos de Autoridades Certificadoras que han emitido certificados SSL a hackers a nombre de por ejemplo "*.google.com"). Pero también sería remedio que el 2FA fuera un pincho USB con un certificado o el DNI-e en el PC del usuario.

Visto así, es más "usable" como 2FA una app de ING-Direct en el móvil que lidiar con el DNI-e conectado al ordenador.
 
Última edición:
a mi me ha llegado un mail de la caja rural que para seguir usando la linea por internet, tengo que dar un codigo que me envien al movil, que vaya a la oficina a decir el movil, y que cada 3 meses toca repetir lo del código de activación. ni app ni bananas, simplemente la ruralvia por el pc.
 
Stopper dijo:
No concedas permisos a la app. Tan simple como eso.
Hacer clic para expandir...
Si fuera así de fácil, no tendría tantas páginas este hilo. Si no aceptas los permisos la app no funciona. Puede que haya alguna versión de Android que te permite aceptar individualmente, pero lo normal es un todo o nada y si no aceptas todo, no funciona la app.

Y la respuesta que ofrecen para justificar es tan infantil (todo es opinable) como por ejemplo "es necesario el acceso a la cámara o galería de fotos por si quieres adjuntar un ticket o recibo a un gasto y así lo tienes catalogado".

Perfecto, que cada cual use las prestaciones y acepte los permisos que estime conveniente en función de como quiera usar y configurar su cuenta y productos bancarios y que la app funcione. Pero no, si no aceptas todo, no funciona. Así que ¿cuál es el motivo real (o añadido para sacar alguna pasta extra) de la app, la seguridad o espiar y comercializar con tus datos privados, además de los financieros?
 
BurbuSound dijo:
Si fuera así de fácil, no tendría tantas páginas este hilo. Si no aceptas los permisos la app no funciona. Puede que haya alguna versión de Android que te permite aceptar individualmente, pero lo normal es un todo o nada y si no aceptas todo, no funciona la app.

Y la respuesta que ofrecen para justificar es tan infantil (todo es opinable) como por ejemplo "es necesario el acceso a la cámara o galería de fotos por si quieres adjuntar un ticket o recibo a un gasto y así lo tienes catalogado".

Perfecto, que cada cual use las prestaciones y acepte los permisos que estime conveniente en función de como quiera usar y configurar su cuenta y productos bancarios y que la app funcione. Pero no, si no aceptas todo, no funciona. Así que ¿cuál es el motivo real (o añadido para sacar alguna pasta extra) de la app, la seguridad o espiar y comercializar con tus datos privados, además de los financieros?
Hacer clic para expandir...
Tengo apps de cuatro bancos y en todas desactivados todos los permisos. Las apps funcionan perfectamente. Ahora no recuerdo si al instalarlas era obligatorio aceptar los permisos, pero se pueden desactivar después, al menos en las que yo manejo. Pero es algo que hago por sistema, no uso apps que accedan a información que no necesitan para funcionar. De hecho, apenas uso apps y paso de redes sociales y insensateces del estilo.
 
Iniciar sesión o registrarte para responder aquí.
Volver