Seguridad en bancos (era Re: HA)

Germán Póo-Caamaño gpoo en calcifer.org
Mar Sep 22 12:16:45 CLT 2009 

On Tue, 2009-09-01 at 18:13 -0400, Alvaro Herrera wrote:
> Sebastián Veloso Varas escribió:
> 
> > Puede que sea un problema puntual con el banco. Ya sea por exceso de
> > consultas, o la aplicacion del Santander (hace un tiempo atras, se cayo 1
> > dia entero y mucha gente quedo sin hacer nada online!). En mi caso
> > personal,con BCI, si dejo de trabajar o consultar sobre mi cuenta,
> > automaticamente me expira la sesion. Creo que este es un mecanismo de
> > seguridad de la aplicacion, mas que un problema de balanceo o sesiones. Y de
> > que es molesto a veces? Si! y bastante... (y ni hablar, tener que meter la
> > clave de pinpass, llave segura, etc..etc..)
> 
> A propósito, vi el "pinpass" que le entregaron a mi suegra.  Un chiste.
> 
> En mi anterior banco, el Chile, y en el actual el Scotia, me entregaron
> un aparatito electrónico con un botón.  Al apretarlo me da un número
> seguro para transacciones electrónicas.  Hasta aquí todo bien, y todo el
> mundo debe estar pensando "ah, igual que yo".
> 
> Mi suegra ayer estaba haciendo las transacciones con una cuestión que
> parecía un calendario de bolsillo.  WTF?  Le eché una mirada: una
> tarjeta de cartón con una tabla cuadrada de números, con coordenadas.
> El sitio web entrega tres pares de coordenadas (por ej. A1 D3 F8) y uno
> mira la tarjeta e ingresa los números que ahí dicen.
> 
> Inmediatamente viene a la mente un ... WTF!?!?!?
> 
> Yo francamente no puedo imaginarme una idea más estúpida.
> 
> Imaginen que alguien saca esa tarjeta en un ciber para hacer una
> transacción.  El de al lado tiene la oportunidad perfecta para tomarle
> una foto ... y listo, perdiste la seguridad, aunque conservas la
> tarjeta.
> 
> Si te roban el aparato electrónico por último te das cuenta que no lo
> tienes.  Y definitivamente no hay forma de saber qué número va a generar
> en un instante dado.
> 
> Banco Santander, acompañándote en los períodos de escasez de cerebro.

Volviendo al tema, algunas ideas de como no es una solución real
al problema:
http://www.schneier.com/blog/archives/2009/09/hacking_two-fac.html

-- 
Germán Póo-Caamaño
Concepción - Chile
http://www.calcifer.org/

Más información sobre la lista de distribución Linux