ING: habrá que instalar obligatoriamente la APP para poder operar

Yo pregunto si han tenido en cuenta que cuando se opera desde la APP no hay autentificacion de 2 factores porque la operacion se realiza en el mismo dispositivo que hace de segundo factor.

Asi, si un hacker ha tomado el control del telefono movil tiene acceso a todo el proceso de verificacion en un solo dispositivo
 
Poseidón dijo:
Yo he realizado algunas compras por internet y si me ha pedido validacion movil. Uno un pedido en la web de adidas de 26 euros y otro por unas piezas para el ordena en otra web. En cambio en amazon nunca me han pedido nada.
Hacer clic para expandir...

progenitora mía, ¿con el marrón que tienen con las notificaciones para entrar en la web/app se meten las tarjetas también sin avisar? Las tarjetas no entran en PSD2 hasta de aquí a un año y pico. ¿Este banco quiere suicidarse o qué?

Por cierto, he tenido que sacar el dinero de ING enviando desde mi cuenta naranja que todavía utiliza validación SMS, porque no había manera con la cuenta nomina.

También han reconocido oficialmente que si llamas y cumples algunas condiciones, te pueden a pasar a validación SMS. Sospecho que hace falta tener broker y/o plan de pensión.

App ING: ING valora permitir a algunos clientes poder operar sin 'app' tras el aluvión de críticas
 
TRAGATOCHOS dijo:
Seguimos sin saber que es ese misterioso ID. Si te refieres al IMEI, hay maneras de cambiarlo sin root. Si es otra cosa y hace falta root, pues seguramente que sea mas facil trucar la aplicación para que no haga esa comprobación que hackear la red móvil.



Aquí vienen a decir que como ahora los móviles llevan sensores biométricos avanzados, ya no es necesario instalarlos por separado.



Estos dos tratan de que alguien se hace pasar por ti ante la compañía telefónica para conseguir un duplicado de tu SIM y que las llamadas/mensajes le lleguen a el. No dice nada de hackear la red directamente.
Hacer clic para expandir...

veo que no entiendes muy bien el ingles, lo que estan diciendo es que la identificacion biometrica falla con falsos positivos o falsos negativos una vez cada 5 millones, y que por eso es mejor utilizar los identificadores del movil.

no habla del IMEI, sino de los identificadores en su conjunto, y hay varios, desde el ID del telefono, que no es el mismo del IMEI de cada ranura de SIM, el ID del bluetooth, numero de compilacion, etc, es algo asi como la identificacion que hacen algunos sitios web basados en una serie de datos que cada uno de ellos no es unico, como el numero de compilacion y el canvas de la pantalla, pero que en su conjunto es casi unico.

ING no esta diciendo cuales de esos identificadores esta utilizando, y no debe, se lo pondria mas facil a los atacantes, pero por las pruebas que he hecho parece que esta utilizando la cuenta de google que tengas en el telefono, porque la he cambiado y ha dejado de funcionar la validacion movil, esto quiere decir que un atacante tendria que hackearte tambien tu cuenta de gmail para conseguir el acceso a la validacion movil.

el SIM swapping es una posibilidad pero no la unica, ni la peor, porque toman el control total del telefono, incluidas las llamadas, y eso te alerta, es peor interceptar exclusivamente los SMS atacando la red.

aqui xataka da en el clavo, los bancos deben dejar de usar los SMS's.

Qué es y qué puedes hacer para evitar el 'SIM swapping', el ciberataque que causa estragos y que permite vaciar cuentas bancarias
 
1) Deberian de dejar de utilizar el SMS pero deberían pasarse a algo que funcione y ING no lo ha hecho.

2) Por mucho que ING coja cuatro identificadores del móvil, sólo hace que el grupo detrás de Ginp descompile el apk para ver los datos que recoge y recoger las mismas. ING, como todos los bancos, debería utilizar un dispositivo como lector de tarjetas, etc... (como no canso de decir) o como mínimo una app de autenticación estándar que funciona offline.

3) Tu móvil rompe/se queda sin batería/sin cobertura y estas estropeado.

4) Por ultimo si tienes una app bancaria en tu móvil y te quieren vaciar la cuenta, sólo hace falta que te amenacen con un cuchillo:

security.png


Así que no, no quiero ni debo estar obligado llevar las llaves de mis cuentas bancarias en una estación de tren de mala gloria a medianoche.
 
euriborfree dijo:
Yo pregunto si han tenido en cuenta que cuando se opera desde la APP no hay autentificacion de 2 factores porque la operacion se realiza en el mismo dispositivo que hace de segundo factor.

Asi, si un hacker ha tomado el control del telefono movil tiene acceso a todo el proceso de verificacion en un solo dispositivo
Hacer clic para expandir...

un factor son las claves que estan en tu cabeza con las que entras, el segundo factor es una firma que esta tambien en tu cabeza y que solo puedes introducir cuando se te solicita, y se te solicita en un telefono unico con una identifiacion unica para ese telefono.
 
Soy del norte dijo:
1) Deberian de dejar de utilizar el SMS pero deberían pasarse a algo que funcione y ING no lo ha hecho.

2) Por mucho que ING coja cuatro identificadores del móvil, sólo hace que el grupo detrás de Ginp descompile el apk para ver los datos que recoge y recoger las mismas. ING, como todos los bancos, debería utilizar un dispositivo como lector de tarjetas, etc... (como no canso de decir) o como mínimo una app de autenticación estándar que funciona offline.

3) Tu móvil rompe/se queda sin batería/sin cobertura y estas estropeado.

4) Por ultimo si tienes una app bancaria en tu móvil y te quieren vaciar la cuenta, sólo hace falta que te amenacen con un cuchillo:

security.png


Así que no, no quiero ni debo estar obligado llevar las llaves de mis cuentas bancarias en una estación de tren de mala gloria a medianoche.
Hacer clic para expandir...

pues no, a mi me molestaria mucho mas tener que andar comprando lectores de tarjertas, no lo compre cuando el DNI electronico y no pienso hacerlo, porque eso si que es para dos dias contados, es como si me dices que me compre un reproductor mp3, pues no, prefiero tenerlo integrado en el movil porque de movil cambio cada cierto tiempo de todos modos.

si se te pierde el movil o se estropea no te quedas en ropa interior, entonces tienes que llamar por telefono para desactivar la validacion movil, eso tambien me ha pasado por instalar varias validaciones moviles de varios usuarios a la vez, al final dejan de funcionar todas y te toca llamar, lo que no me gusta es que creo recordar que no me pidieron posicion de la tarjeta de coordenadas y deberian haberlo hecho, que es para lo que sirve precisamente, para la banca telefonica.

es que no te entiendo, ni a ti ni a todos los que estan muriendo ahogados en un vaso de agua, no os importa tener un movil para recibir un SMS, pero sí os importa que sea moderno para poder funcionar con la app de ING, y eso que os estan diciendo que es mas seguro, no quiero ni imaginar si ING empezase a vender moviles como hace caixabank, diriais que han hecho todo esto para ganar dinero vendiendo moviles...
 
Soy del norte dijo:
Así que no, no quiero ni debo estar obligado llevar las llaves de mis cuentas bancarias en una estación de tren de mala gloria a medianoche.
Hacer clic para expandir...

nadie te obliga a llevar el banco en el bolsillo, puedes operar solo desde casa si quieres desde el PC, o desde banca telefonica si no quieres tener PC, solo con la tarjeta de coordenadas.
 
ING se ha lucido con la miércoles infecta de su app. No hay ningún motivo para seguir aceptando la extorsión siendo clientes, así que adiós. No os olvideis de puntuar debidamente su app propietaria en los mercados privativos donde la distribuyen. A mí ya me han insultado groseramente, no se merecen mantener ni un minuto más el privilegio de custodiar mi dinero ni tenerme en su cartera de clientes.
 
Soy del norte dijo:
progenitora mía, ¿con el marrón que tienen con las notificaciones para entrar en la web/app se meten las tarjetas también sin avisar? Las tarjetas no entran en PSD2 hasta de aquí a un año y pico. ¿Este banco quiere suicidarse o qué?
Hacer clic para expandir...

las tarjetas si entran en PSD2, lo que pasa es que han dado una prorroga, sea por las presiones de algunas tiendas que quieren compras rapidas para que el cliente no se arrepienta en el proceso de pago, o porque muchos bancos no estaban preparados.

ING no ha pasado a rechazar las compras que no pidan firma, lo se porque he comprado hace poco en inditex, que no pide firma, y he podido comprar, y en otras compras de tiendas que piden firma me ha llgado por SMS, no por validacion movil, si a algunos clientes ya se lo han puesto por validacion movil me parece bien, y si algun banco se adelanta a la prorroga y decide rechazar todas las compras sin firma, yo lo aplaudo, porque es un agujero de seguridad para los compradores que llevamos sufriendo mucho tiempo.

pero claro, hay muchos bancos que le estan sacando jugo a esta inseguridad vendiendo tarjetas virtuales y cobrando algun euro en cada recarga...
 
wireless1980 dijo:
Interesante, de todas formas, lo de cambiar el IMEI como facilitaría a un atacante suplantar a la app de ing? Porque no lo acabo de ver.
Hacer clic para expandir...

si el IMEI fuese el unico identificador utilizado lo que tendria que hacer es hacerse con el IMEI de tu tlefono y cambiar el de su telefono por el tuyo, y conociendo tus claves instalar la app de ING en su telefono, entonces la solicitud de firma os llegaria a los dos, a ti y al atancante, entonces si cuando te llega a ti te pregunta si eres tu el que has solicitado una firma, si el dice que si y tu dices que no, de ahi no pasaria, si tu tienes el telefono apagado pues solo le llegaria a el.

pero no es tan sencillo, no sabemos cuantos identificadores del telefono utiliza la app de ING, para eso quiere acceder al telefono, no para robarte las fotos de la primera comunion, puede ser el IMEI de la ranura principal, o el de las dos, el ID del telefono, el numero de compilacion, la cuenta de google, el canvas fingerprint de la pantalla, el ID del bluetooth, la MAC de la tarjeta wifi, y que se yo, puede que mas cosas.

algunas de estas cosas se pueden cambiar, otras no, y para cambiar algunas de ellas necesitas root, y no puedes acceder con un movil con root en ING.

me puede alguien explicar como el atacante podria instalar tu cuenta de google en su telefono?, necesita la clave, solo se me ocurren 3 maneras, atacar los servidores de google, haber entrado en alguna pagina que te permite entrar con tus claves de google sin registrarte (ya hace falta ser orate...), llamarte para preguntartela haciendose pasar por un tecnico de google (tambien hace falta ser muy orate...).
 
Última edición:
fijaos como lo hace el santander, esta mañana he visto a un familiar hacer una transferencia desde el santander, se ha pasado en la practica la doble firma por el forro de los corazones, el SMS solo lo pide cada 3 meses y puedes instalar la app en cualquier telefono, entras con tu DNI como usuario y una clave de 6 cifras, y para firma ni SMS ni leches, una clave de 8 digitos, asi que en la practica te vacian la cuenta con una firma de 14 digitos, y la primera firma?, ah es que dura 3 meses y una vez que la has dado el atacante tiene via libre 3 meses sin mas que hacerse con tus claves.
 
cuantos clientes tiene el santander en españa?, cuantos de ellos guardan el contrato de la cuenta junto con los papelitos originales con las claves en un cajon?, mas de los que guardan dinero en efectivo o joyas de gran valor, una jugada para cubrirse de gloria la de santaner no pidiendo ni un triste SMS para firmar, el caco puede entrar en tu casa y en la misma visita vaciarte la cuenta.

ojo, la tarjeta de coordenadas de ING tampoco me gusta, si la guardas en un cajon junto a las claves el ladron puede utilizar la banca telefonica, la tarjeta scaneada y guardarda encriptada en el PC y luego destruirla.
 
El exclavizador de mentes dijo:
no hacia falta, podias haberlo hecho por banca telefonica con la tarjeta de coordenadas.
Hacer clic para expandir...

No, ya no utilizan tarjeta de coordenadas, ahora piden DNI y dos de los seis dígitos.

Y no, llamé y tras esperar media hora para hablar con alguien me dijeron que me bloquearon las transferencias por una "incidencia de seguridad" pero no podía explicar más sobre de que era la incidencia, que ella no podía hacer la transferencia y que me tenían que volver a llamar el día siguiente.

Le dije que no hace falta y que ya lo haría desde otra entidad.

Y más tarde me di cuenta que las transferencias con la cuenta naranja siguen utilizando validación SMS y siguen funcionando así que hice una transferencia a otra entidad con casi todo mi dinero mediante la cuenta naranja en vez de la cuenta nomina.

Así que su "incidencia de seguridad" era que la app no funcionaba, para variar.
 
Última edición:
El exclavizador de mentes dijo:
pues no, a mi me molestaria mucho mas tener que andar comprando lectores de tarjertas, no lo compre cuando el DNI electronico y no pienso hacerlo, porque eso si que es para dos dias contados, es como si me dices que me compre un reproductor mp3, pues no, prefiero tenerlo integrado en el movil porque de movil cambio cada cierto tiempo de todos modos.
Hacer clic para expandir...

Es que no tienes que comprar nada, el banco te lo propociona. No es como el lector de DNI, es una solución totalmente offline como TOTP/HOTP.

Pero si quieres una app, también existe la posibilidad.

Si no te has fijado, yo personalmente no la quiero.


es que no te entiendo, ni a ti ni a todos los que estan muriendo ahogados en un vaso de agua, no os importa tener un movil para recibir un SMS, pero sí os importa que sea moderno para poder funcionar con la app de ING, y eso que os estan diciendo que es mas seguro, no quiero ni imaginar si ING empezase a vender moviles como hace caixabank, diriais que han hecho todo esto para ganar dinero vendiendo moviles...
Hacer clic para expandir...

No me gustan los SMS pero al menos funcionan. No me gustan las apps y peor aún la de ING no funciona. Hay alternativas más seguras a los SMS y las apps.
 
Iniciar sesión o registrarte para responder aquí.
Volver