Seguridad en bancos (era Re: HA)

[Germán Póo-Caamaño]

On Wed, 2009-09-02 at 15:27 -0400, Alvaro Herrera wrote:
> Ricardo Munoz escribió:
> > El 2 de septiembre de 2009 12:32, Alvaro Herrera
> > <alvherre en alvh.no-ip.org>escribió:
[...]
> > con tu clave comun y corriente (obtenida mediante un keylogger en un ciber)
> > yo podria saber la cantidad de dinero que manejas, donde/cuando/como lo
> > gastas, donde trabajas, si tienes hijos y donde los llevas a pasear el fin
> > de semana, etc. luego (si manejas mucho dinero) con esa informacion (podria
> > hacer mucho mas dan~o que una simple transaccion bancaria... por ejemplo,
> > robar las cosas de tu departamento o casa, robar tu auto, secuestrar a
> > alguien de tu familia, etc.
> 
> Bueno, este es otro tipo de ataque, totalmente diferente de los
> anteriores, y para el cual el tipo de solución será obviamente distinto.
> Eso no quiere decir que los otros mecanismos no sean válidos para cubrir
> los otros problemas.
> 
> Para el caso que planteas, creo que una posible solución sería que el
> sitio web del banco desplegara un cierto número de recientes ingresos en
> el sitio.  Así el usuario puede ver si las fechas/horas corresponden o
> no.  Si el banco fuera más sofisticado podría ver si hay patrones en las
> direcciones IP del usuario dependiendo de la hora y día de la semana
> (por ej. entre las 9 y las 7 te conectas de la oficina y siempre vienes
> de la misma IP, en cambio de las 8 en adelante y los fines de semana te
> conectas de tal bloque que pertenece al ISP de tu casa); o incluso, si
> te conectas a horas en que normalmente no lo haces.

Esto último es exigido en la Circular 3400 de la SBIF, para evitar
fraudes.

-- 
Germán Póo-Caamaño
Concepción - Chile
http://www.calcifer.org/