Seguridad en bancos (era Re: HA)
Ricardo Munoz
rmunoz en tux.cl
Mie Sep 2 17:34:33 CLT 2009
El 2 de septiembre de 2009 16:41, Sebastián Veloso Varas
<sveloso en sevelv.cl>escribió:
> El 2 de septiembre de 2009 16:05, Ricardo Munoz <rmunoz en tux.cl> escribió:
>
> > El 2 de septiembre de 2009 15:28, Alvaro Herrera
> > <alvherre en alvh.no-ip.org>escribió:
> >
> > > Ricardo Munoz escribió:
> > >
> > > > con tu clave comun y corriente (obtenida mediante un keylogger en un
> > > ciber)
> > > > yo podria saber la cantidad de dinero que manejas, donde/cuando/como
> lo
> > > > gastas, donde trabajas, si tienes hijos y donde los llevas a pasear
> el
> > > fin
> > > > de semana, etc. luego (si manejas mucho dinero) con esa informacion
> > > (podria
> > > > hacer mucho mas dan~o que una simple transaccion bancaria... por
> > ejemplo,
> > > > robar las cosas de tu departamento o casa, robar tu auto, secuestrar
> a
> > > > alguien de tu familia, etc.
> > >
> > > BTW solo con el RUT y un poco de plata puedes pedirle muchos datos
> sobre
> > > una persona a Dicom.
> > >
> >
> > exacto. por lo mismo dije que lo del Digipass, Multipass, etc. es solo
> una
> > ilusion para hacerte sentir mas seguro... ;)
> >
> > lo mismo que una alarma o cerradura de seguridad. por mas alarmas,
> > cerraduras, guardias, etc. que tengas si quieren robarte algo te van a
> > robar
> > igual.
> >
> >
> Discrepo en esto. Los tokens de seguridad efectivamente nos dan una
> seguridad adicional en nuestras transacciones bancarias.
> De hecho, no puedes ni ver tu cartola sin la famosa token,
por lo que entiendo, solo el BCI funciona asi.
ni mucho menos generar un pago. Estas "amarrado" a una 2° validacion
> robusta. Y siendo
> honestos, para el comun es complicadisimo quebrar este mecanismo, a no ser
> que se destape un agujero de seguridad de la aplicacion bancaria.
>
el comun no va andar robando dinero ajeno por internet (estas diciendo que
todos somos delincuentes? jajaja)... el punto no es que sea mas dificil o no
romper el mecanismo para un "comun". en el link de Wikipedia que entregaron
[1] bajo "Theoretical vulnerabilities" dice
"Hard tokens on the other hand can be physically stolen (or acquired via
social engineering) from end users. The small form factor makes hard token
theft much more viable than laptop/desktop scanning. A user will typically
wait more than one day before reporting the device as missing, giving the
attacker plenty of time to breach the protected system."
Obviamente, si obtengo el RUT del cliente, puedo hacer muuuchas cosas, con
> los contactos o "movidas" correspondientes (Dicom, SII, Registro Civil)
> como
> ejemplo. Eso nos remonta a tecnicas de espionaje, ingenieria social y otras
> morbosidades mas, que no irian al caso.
>
porque no irian al caso? de que te sirve tener el famoso digipass si por
otro lado te pueden robar igual? conoces de algun caso de transacciones
realizadas por tereceros (via web) *antes* de implementado lo del digipass?
conoces de casos despues de implementado el digipass? han bajado los casos?
sin estadisticas a mano es dificil saber acerca de la utilidad del
aparatito.
[1] http://en.wikipedia.org/wiki/SecurID
--
Ricardo Mun~oz A.
http://www.tux.cl
Más información sobre la lista de distribución Linux