Seguridad en bancos (era Re: HA)

Sebastián Veloso Varas sveloso en sevelv.cl
Mie Sep 2 20:55:07 CLT 2009


El 2 de septiembre de 2009 17:34, Ricardo Munoz <rmunoz en tux.cl> escribió:

> El 2 de septiembre de 2009 16:41, Sebastián Veloso Varas
> <sveloso en sevelv.cl>escribió:
>
> > El 2 de septiembre de 2009 16:05, Ricardo Munoz <rmunoz en tux.cl>
> escribió:
> >
> > > El 2 de septiembre de 2009 15:28, Alvaro Herrera
> > > <alvherre en alvh.no-ip.org>escribió:
> > >
> > > > Ricardo Munoz escribió:
> > > >
> > > > > con tu clave comun y corriente (obtenida mediante un keylogger en
> un
> > > > ciber)
> > > > > yo podria saber la cantidad de dinero que manejas,
> donde/cuando/como
> > lo
> > > > > gastas, donde trabajas, si tienes hijos y donde los llevas a pasear
> > el
> > > > fin
> > > > > de semana, etc. luego (si manejas mucho dinero) con esa informacion
> > > > (podria
> > > > > hacer mucho mas dan~o que una simple transaccion bancaria... por
> > > ejemplo,
> > > > > robar las cosas de tu departamento o casa, robar tu auto,
> secuestrar
> > a
> > > > > alguien de tu familia, etc.
> > > >
> > > > BTW solo con el RUT y un poco de plata puedes pedirle muchos datos
> > sobre
> > > > una persona a Dicom.
> > > >
> > >
> > > exacto. por lo mismo dije que lo del Digipass, Multipass, etc. es solo
> > una
> > > ilusion para hacerte sentir mas seguro... ;)
> > >
> > > lo mismo que una alarma o cerradura de seguridad. por mas alarmas,
> > > cerraduras, guardias, etc. que tengas si quieren robarte algo te van a
> > > robar
> > > igual.
> > >
> > >
> > Discrepo en esto. Los tokens de seguridad efectivamente nos dan una
> > seguridad adicional en nuestras transacciones bancarias.
> > De hecho, no puedes ni ver tu cartola sin la famosa token,
>
>
> por lo que entiendo, solo el BCI funciona asi.
>
> ni mucho menos generar un pago. Estas "amarrado" a una 2° validacion
> > robusta. Y siendo
> > honestos, para el comun es complicadisimo quebrar este mecanismo, a no
> ser
> > que se destape un agujero de seguridad de la aplicacion bancaria.
> >
>
> el comun no va andar robando dinero ajeno por internet (estas diciendo que
> todos somos delincuentes? jajaja)... el punto no es que sea mas dificil o
> no
> romper el mecanismo para un "comun". en el link de Wikipedia que entregaron
> [1] bajo "Theoretical vulnerabilities" dice
>
> "Hard tokens on the other hand can be physically stolen (or acquired via
> social engineering) from end users. The small form factor makes hard token
> theft much more viable than laptop/desktop scanning. A user will typically
> wait more than one day before reporting the device as missing, giving the
> attacker plenty of time to breach the protected system."
>
>
Ingenieria social, astucia, mas que conocimientos, son metodos mmm
rebuscados, o sea mas bien, robos dirigidos..muy dirigidos creo yo (p.ej le
quieres robar plata a tu compañero de trabajo y debes averiguar ciertas
cosas antes de...)



> Obviamente, si obtengo el RUT del cliente, puedo hacer muuuchas cosas, con
> > los contactos o "movidas" correspondientes (Dicom, SII, Registro Civil)
> > como
> > ejemplo. Eso nos remonta a tecnicas de espionaje, ingenieria social y
> otras
> > morbosidades mas, que no irian al caso.
> >
>
> porque no irian al caso? de que te sirve tener el famoso digipass si por
> otro lado te pueden robar igual? conoces de algun caso de transacciones
> realizadas por tereceros (via web) *antes* de implementado lo del digipass?
> conoces de casos despues de implementado el digipass? han bajado los casos?
> sin estadisticas a mano es dificil saber acerca de la utilidad del
> aparatito.
>



>
> [1] http://en.wikipedia.org/wiki/SecurID
>
> --
> Ricardo Mun~oz A.
> http://www.tux.cl
>


Más información sobre la lista de distribución Linux