Algún informático? Posibles fallos de seguridad en el BBVA (biometría en el móvil)

Archivado
A un familiar le han estafado: Una persona se hace con tus datos, desde otro móvil consigue entrar en tu área de usuario de la app, activa la huella digital (biometría), extrae 1.500 euros y sólo te notifican en tu móvil la operación una vez realizada.

Llamas al BBVA, cancelas tarjeta, bloqueas todo tipo de acceso, etc. y te devuelven momentáneamente el dinero pero después de unas horas deciden confirmar el cobro.

El SAC y el Defensor deciden que tu caso es uno de esos que no se devuelve y reclamas ante el Banco de España. El BBVA presenta un tocho de folios donde lo más relevante es que confirman con sus datos de trazabilidad biométrica que no coincide el modelo de móvil, ni la IP donde se conecta este familiar (la suya es WIFI y ellos aportan una de 4G) y que el operador de ambos es distinto.

Mi intención es intentar "demostrar" que las medidas de seguridad existentes del BBVA tienen fallos y que carecen de otras medidas relevantes. No tengo ni idea del tema de seguridad y lo mismo algo de lo que pongo es una bobada, perdón de antemano. Estas son las ideas, por si alguien puede darme alguna pista:

1. El id para acceder es el NIF del propietario de la cuenta y no se puede cambiar.

2. La app puede instalarse en varios dispositivos sin ningun tipo de confirmación del cliente. Además se asocia a un numero pero no a un modelo de dispositivo.

3. El BBVA no informa a través de ningun canal ajeno a la app de los inicios de sesion realizados en la app. Tampoco informa de la activacion de la huella digital (biometría).

4. La firma biométrica la configuras en cualquier dispositivo, no se guarda en BBVA.

5. Entiendo que la huella digital para "firmar/autorizar" operaciones evita la necesidad de SMS y código de confirmación... ¿No sería más seguro que mantuvieran también las otras dos como requisito?

6. No hay una clave de firma diferente a la clave de acceso a la hora de usar la huella digital.

7. Hay una alternativa a la biometria y al envio de SMS y código de confirmación que es igual de insegura: confirmar una operación sólamente a través de una llamada de teléfono.

8. Tampoco disponen de una medida que analice, antes de las operaciones, la IP desde donde se opera. Entiendo que si dispusieran de un rango habitual de IP podrían bloquear toda operativa y el acceso temporalmente hasta poder confirmar la identidad.

9. No incluyen entre las medidas la tarjeta de coordenadas física del cliente.
tiene un fallo si le han robado el dinero a tu familiar... de todo el tocho que has puesto

Una persona se hace con tus datos, desde otro móvil consigue entrar en tu área de usuario de la app, activa la huella digital


Primero hay que ver como lo han conseguido y qué datos entiendo que DNi y clave? Entiendo que habéis denunciado a la policía? Yo siempre he creido que los bancos tenían seguros para eso incluso las propias tarjetas.

El otro día descubrí una manera de estafa que era precisamente la de las opciones de llamada para confirmar... si apagas el movil y tienes el contestador activado sin configurar, nose muy bien cómo entraban y escuchaban el mensaje de confirmación (supongo que a través de un número alternativo)
Me extraña que para entrar a la app no le hayan enviado un sms, y me extraña más que para hacer una transferencia no le hayan enviado un sms al móvil para confirmar la transferencia, ya que cada vez que haces una transferencia si no es un sitio habitual te envían siempre un sms, sinceramente lo que creo que le habrá pasado es que habrá entrado en algún link de phising y le han robado el dinero
Yo cada vez que uso la aplicación de BBVA y hago una transferencia mínimamente grande me llega un sms y un correo de aviso. No sé si se lo mandaron. Y además tienes que meter un número para la firma que te llega por sms.
Saludos
Plage escribió:Me extraña que para entrar a la app no le hayan enviado un sms, y me extraña más que para hacer una transferencia no le hayan enviado un sms al móvil para confirmar la transferencia, ya que cada vez que haces una transferencia si no es un sitio habitual te envían siempre un sms, sinceramente lo que creo que le habrá pasado es que habrá entrado en algún link de phising y le han robado el dinero


Si han cambiado el numero de movil para los avisos nada más entrar en la app, te puedes imaginar lo que te va a llegar...
No es phising, el BBVA en su escrito asegura que es por biometría.
cheated escribió:
Plage escribió:Me extraña que para entrar a la app no le hayan enviado un sms, y me extraña más que para hacer una transferencia no le hayan enviado un sms al móvil para confirmar la transferencia, ya que cada vez que haces una transferencia si no es un sitio habitual te envían siempre un sms, sinceramente lo que creo que le habrá pasado es que habrá entrado en algún link de phising y le han robado el dinero


Si han cambiado el numero de movil para los avisos nada más entrar en la app, te puedes imaginar lo que te va a llegar...
No es phising, el BBVA en su escrito asegura que es por biometría.


Que yo sepa desde la app ni desde al web se puede cambiar el número de teléfono (lo acabo de mirar), tienes que ir al banco a cambiarlo, pero bueno, si denuncias a la policía el seguro del banco te tendrá que devolver el dinero
¿Habéis descartado que haya habido un duplicado de SIM?
Plage escribió:
cheated escribió:
Plage escribió:Me extraña que para entrar a la app no le hayan enviado un sms, y me extraña más que para hacer una transferencia no le hayan enviado un sms al móvil para confirmar la transferencia, ya que cada vez que haces una transferencia si no es un sitio habitual te envían siempre un sms, sinceramente lo que creo que le habrá pasado es que habrá entrado en algún link de phising y le han robado el dinero


Si han cambiado el numero de movil para los avisos nada más entrar en la app, te puedes imaginar lo que te va a llegar...
No es phising, el BBVA en su escrito asegura que es por biometría.


Que yo sepa desde la app ni desde al web se puede cambiar el número de teléfono (lo acabo de mirar), tienes que ir al banco a cambiarlo, pero bueno, si denuncias a la policía el seguro del banco te tendrá que devolver el dinero


Yo también lo he mirado y no se puede cambiar.
Hoy en día los bancos se han modernizado tanto que las notificaciones las envían a la propia app, así que teniendo acceso a esta.... Estás jodido.
Al principio si te enviaban un SMS, pero eso lo han ido cambiando. Tanta seguridad para acabar vendido si tienen tus datos de la app.


Igualmente con una copia de sim y la app también.
El tema de los bancos en España da escalofríos. Me da más confianza la seguridad de mi cuenta de Google que la de un banco español.

De todas formas:

cheated escribió:2. La app puede instalarse en varios dispositivos sin ningun tipo de confirmación del cliente. Además se asocia a un numero pero no a un modelo de dispositivo.

BBVA tiene una lista de dispositivos donde has hecho login y puedes desautorizar dispositivos.

cheated escribió:3. El BBVA no informa a través de ningun canal ajeno a la app de los inicios de sesion realizados en la app. Tampoco informa de la activacion de la huella digital (biometría).

Te avisa por SMS en caso que el inicio de sesión sea sospechoso.

cheated escribió:4. La firma biométrica la configuras en cualquier dispositivo, no se guarda en BBVA.

Esto es estándar y normal. Tus datos biometricos nunca dejan tu dispositivo.

cheated escribió:6. No hay una clave de firma diferente a la clave de acceso a la hora de usar la huella digital.

No entiendo esto.

cheated escribió:7. Hay una alternativa a la biometria y al envio de SMS y código de confirmación que es igual de insegura: confirmar una operación sólamente a través de una llamada de teléfono.

Lo ideal sería que permitieran usar aplicaciones de autenticacion o dispositivos hardware como la yubikey. Pero eso no lo vas a ver.

Por eso digo que me siento más seguro con mi cuenta de Google que con la del banco.

cheated escribió:8. Tampoco disponen de una medida que analice, antes de las operaciones, la IP desde donde se opera. Entiendo que si dispusieran de un rango habitual de IP podrían bloquear toda operativa y el acceso temporalmente hasta poder confirmar la identidad

Eso es inviable ahora que trabajamos con el 4G y viajamos continuamente.

Lo más que podemos hacer es bloquear tráfico extraño/sospechoso.

cheated escribió:9. No incluyen entre las medidas la tarjeta de coordenadas física del cliente.

Esa medida es totalmente inviable ahora que existen móviles con cámara. El cliente medio hará fotos a la tarjeta, fotos que se sincronizaran con la nube y que además se transmitaran por WhatsApp.

Si quieres algo físico, lo correcto sería usar una yubikey.
amchacon escribió:El tema de los bancos en España da escalofríos. Me da más confianza la seguridad de mi cuenta de Google que la de un banco español.

De todas formas:

cheated escribió:2. La app puede instalarse en varios dispositivos sin ningun tipo de confirmación del cliente. Además se asocia a un numero pero no a un modelo de dispositivo.

BBVA tiene una lista de dispositivos donde has hecho login y puedes desautorizar dispositivos.

cheated escribió:3. El BBVA no informa a través de ningun canal ajeno a la app de los inicios de sesion realizados en la app. Tampoco informa de la activacion de la huella digital (biometría).

Te avisa por SMS en caso que el inicio de sesión sea sospechoso.

cheated escribió:4. La firma biométrica la configuras en cualquier dispositivo, no se guarda en BBVA.

Esto es estándar y normal. Tus datos biometricos nunca dejan tu dispositivo.

cheated escribió:6. No hay una clave de firma diferente a la clave de acceso a la hora de usar la huella digital.

No entiendo esto.

cheated escribió:7. Hay una alternativa a la biometria y al envio de SMS y código de confirmación que es igual de insegura: confirmar una operación sólamente a través de una llamada de teléfono.

Lo ideal sería que permitieran usar aplicaciones de autenticacion o dispositivos hardware como la yubikey. Pero eso no lo vas a ver.

Por eso digo que me siento más seguro con mi cuenta de Google que con la del banco.

cheated escribió:8. Tampoco disponen de una medida que analice, antes de las operaciones, la IP desde donde se opera. Entiendo que si dispusieran de un rango habitual de IP podrían bloquear toda operativa y el acceso temporalmente hasta poder confirmar la identidad

Eso es inviable ahora que trabajamos con el 4G y viajamos continuamente.

Lo más que podemos hacer es bloquear tráfico extraño/sospechoso.

cheated escribió:9. No incluyen entre las medidas la tarjeta de coordenadas física del cliente.

Esa medida es totalmente inviable ahora que existen móviles con cámara. El cliente medio hará fotos a la tarjeta, fotos que se sincronizaran con la nube y que además se transmitaran por WhatsApp.

Si quieres algo físico, lo correcto sería usar una yubikey.

Bankinter y Unicaja siguen teniendo tarjeta de coordenadas
Soothered escribió:
amchacon escribió:
cheated escribió:9. No incluyen entre las medidas la tarjeta de coordenadas física del cliente.

Esa medida es totalmente inviable ahora que existen móviles con cámara. El cliente medio hará fotos a la tarjeta, fotos que se sincronizaran con la nube y que además se transmitaran por WhatsApp.

Si quieres algo físico, lo correcto sería usar una yubikey.

Bankinter y Unicaja siguen teniendo tarjeta de coordenadas

No si cuando digo que los bancos españoles me dan poca confianza...
Soothered escribió:
amchacon escribió:El tema de los bancos en España da escalofríos. Me da más confianza la seguridad de mi cuenta de Google que la de un banco español.

De todas formas:

cheated escribió:2. La app puede instalarse en varios dispositivos sin ningun tipo de confirmación del cliente. Además se asocia a un numero pero no a un modelo de dispositivo.

BBVA tiene una lista de dispositivos donde has hecho login y puedes desautorizar dispositivos.

cheated escribió:3. El BBVA no informa a través de ningun canal ajeno a la app de los inicios de sesion realizados en la app. Tampoco informa de la activacion de la huella digital (biometría).

Te avisa por SMS en caso que el inicio de sesión sea sospechoso.

cheated escribió:4. La firma biométrica la configuras en cualquier dispositivo, no se guarda en BBVA.

Esto es estándar y normal. Tus datos biometricos nunca dejan tu dispositivo.

cheated escribió:6. No hay una clave de firma diferente a la clave de acceso a la hora de usar la huella digital.

No entiendo esto.

cheated escribió:7. Hay una alternativa a la biometria y al envio de SMS y código de confirmación que es igual de insegura: confirmar una operación sólamente a través de una llamada de teléfono.

Lo ideal sería que permitieran usar aplicaciones de autenticacion o dispositivos hardware como la yubikey. Pero eso no lo vas a ver.

Por eso digo que me siento más seguro con mi cuenta de Google que con la del banco.

cheated escribió:8. Tampoco disponen de una medida que analice, antes de las operaciones, la IP desde donde se opera. Entiendo que si dispusieran de un rango habitual de IP podrían bloquear toda operativa y el acceso temporalmente hasta poder confirmar la identidad

Eso es inviable ahora que trabajamos con el 4G y viajamos continuamente.

Lo más que podemos hacer es bloquear tráfico extraño/sospechoso.

cheated escribió:9. No incluyen entre las medidas la tarjeta de coordenadas física del cliente.

Esa medida es totalmente inviable ahora que existen móviles con cámara. El cliente medio hará fotos a la tarjeta, fotos que se sincronizaran con la nube y que además se transmitaran por WhatsApp.

Si quieres algo físico, lo correcto sería usar una yubikey.

Bankinter y Unicaja siguen teniendo tarjeta de coordenadas

Ing tambien, para segun que cosas.
No se como andaran los datos, pero vendieron que hacerlo todo con el movil era lo mas seguro y no se yo, a me me jode mucho tener que recurrir al movil para hacer la minima mierda con el banco en españa.
A mí BBVA me sigue mandando un código de verificación al móvil por cada operación externa que hago. Además soy muy paranoico con mi dinero y tengo desactivadas todas las "facilidades" como por ejemplo el pago por nfc en tarjeta y móvil y petición de pin , etc ...

Pd: una vez compré una tv de 2000€ online y llamaron a mi mujer por si había sido un fraude, vaya susto se pegó por que ella no sabía nada.
feenare escribió:Hoy en día los bancos se han modernizado tanto que las notificaciones las envían a la propia app, así que teniendo acceso a esta.... Estás jodido.
Al principio si te enviaban un SMS, pero eso lo han ido cambiando. Tanta seguridad para acabar vendido si tienen tus datos de la app.


Igualmente con una copia de sim y la app también.


Pero la notificación al móvil va solo al dispositivo asignado como de confianza.
Hace poco cambié el móvil, me descargue la app del móvil y todo bien. Cuando fui a hacer un bizum no me llegaban los códigos y era porque el móvil no estaba puesto como dispositivo de confianza (me llegaban al antiguo si lo encendía). Para modificar el dispositivo de confianza tuve que meter algunas posiciones de la clave de firma.

Es decir, te tienen que robar el móvil o bien saber usuario + contraseña + clave de firma.
Y lógicamente tanto al inciar sesión en la app en el móvil nuevo como cuando lo asigne como dispositivo de confianza me llegaron avisos al móvil viejo e emails informando.
Tengo la app de BBVA y para todo es SMS, por mucha clave / biometría que tengas, sin SMS na que rascar.
Si hago un BIZUM de 20 / 30€ a alguien que ya se lo he hecho varias veces con anterioridad, no me pide SMS, pero a la que pasa de esa cantidad o que sea a alguien nuevo, ya envía SMS con la clave.
@martuka_pzm

Por desgracia cada banco es diferente y tiene una configuración diferente. Yo por trabajo uso una gran variedad y hay quienes tienen contraseña, clave de firma y SMS y otros que no tienen clave de firma, que está medida de seguridad es adicional y con suerte y si pones una diferente, podría haber evitado que le retirarán esa cantidad.

Por ejemplo, banco Sabadell va por SMS o aplicación. No tiene clave de firma. Y por desgracia el BBVA igual.

Banco Santander, la extinta Bankia y ahora Cajamar sí que lo tienen.

Conclusión, poned la pasta en un banco que tenga los tres sistemas de seguridad y claves algo complicadas.

En cuanto al creador del hilo... Si se han desentendido está complicada la cosa.
hal9000 escribió:Tengo la app de BBVA y para todo es SMS, por mucha clave / biometría que tengas, sin SMS na que rascar.
Si hago un BIZUM de 20 / 30€ a alguien que ya se lo he hecho varias veces con anterioridad, no me pide SMS, pero a la que pasa de esa cantidad o que sea a alguien nuevo, ya envía SMS con la clave.


No, se puede prescindir del SMS activando la firma por biometría. Que yo lo tengo así, y no recibo nunca SMS.
Para cambiar el número de teléfono desde la app te pide hacer foto al DNI, una foto a ti mismo e introducir el número de móvil (imagino que el actual y en la app está "tapado" con asteriscos así que o lo sabes previamente o chungo)

Y sobre lo de la biometría... Tuve que desinstalar un par de veces la app en el mismo teléfono y para el acceso a banca nada, se puede activar sin problema, pero para poder activar la biometría en vez de la clave de firma me piden o ir a un cajero del BBVA o bien tener físicamente la tarjeta para poder utilizarla con el NFC del móvil.

Sí que es cierto que si tienes la app instalada en dos dispositivos en el otro únicamente te llega notificación de operación, no de compras con tarjeta si es un ingreso o un cobro de recibido (ni idea de si una transferencia también) vamos que desde ahí no tendrías que aceptar nada.

Y acabo de revisar correos y tengo tanto uno diciendo que había iniciado sesión desde una ubicación diferente a la habitual, otra diciendo que se había activado la activación de firma biométrica y otra que se ha iniciado sesión desde un dispositivo nuevo

Así que realmente no sé si tendréis algo donde rascar
Yo ando con Openbank y la huella del sensor es un chiste... para desbloquear el móvil el dedo debe estar bien limpio, pero para esta app no importa (soy de la rama del metal, no sean mal pensados...

No obstante la entrada de huella o la contraseña de 4 dígitos solo vale para mirar, en caso de hacer cambios, o movimiento de € se necesita la grande y solo desde el ordenador (si me bloquee de propio, para que no se puedan movimiento desde el móvil salvo los fijados en bizum...

[+risas] La pregunta será si los cambios que pedí como precauciones se hicieron...

////
Como curiosidad muchos canales de Youtube se han visto robados, consiguiendo acceder a las contraseñas guardas en el móvil a través de mira el correo y cookies del navegador de páginas Sparrow...
Manint escribió:
hal9000 escribió:Tengo la app de BBVA y para todo es SMS, por mucha clave / biometría que tengas, sin SMS na que rascar.
Si hago un BIZUM de 20 / 30€ a alguien que ya se lo he hecho varias veces con anterioridad, no me pide SMS, pero a la que pasa de esa cantidad o que sea a alguien nuevo, ya envía SMS con la clave.


No, se puede prescindir del SMS activando la firma por biometría. Que yo lo tengo así, y no recibo nunca SMS.

Pues muy mal, SMS siempre siempre. El SMS no lo pagas y siempre es una salvaguardia muy eficaz. Es evidente que tooodo se puede juanquear, pero da mucha seguridad que en caso de perdida o robo de móvil, con tal de dar de baja la SIM ya tienes la seguridad que no van a poder hacer nada con las apps de los bancos.
hal9000 escribió:
Manint escribió:
hal9000 escribió:Tengo la app de BBVA y para todo es SMS, por mucha clave / biometría que tengas, sin SMS na que rascar.
Si hago un BIZUM de 20 / 30€ a alguien que ya se lo he hecho varias veces con anterioridad, no me pide SMS, pero a la que pasa de esa cantidad o que sea a alguien nuevo, ya envía SMS con la clave.


No, se puede prescindir del SMS activando la firma por biometría. Que yo lo tengo así, y no recibo nunca SMS.

Pues muy mal, SMS siempre siempre. El SMS no lo pagas y siempre es una salvaguardia muy eficaz. Es evidente que tooodo se puede juanquear, pero da mucha seguridad que en caso de perdida o robo de móvil, con tal de dar de baja la SIM ya tienes la seguridad que no van a poder hacer nada con las apps de los bancos.


En caso de pérdida o robo de móvil sigue existiendo una cosa que es móvil cifrado con huella y una contraseña en condiciones. En él la única manera de acceder al móvil va a ser borrarlo.
Plage escribió:
cheated escribió:
Plage escribió:Me extraña que para entrar a la app no le hayan enviado un sms, y me extraña más que para hacer una transferencia no le hayan enviado un sms al móvil para confirmar la transferencia, ya que cada vez que haces una transferencia si no es un sitio habitual te envían siempre un sms, sinceramente lo que creo que le habrá pasado es que habrá entrado en algún link de phising y le han robado el dinero


Si han cambiado el numero de movil para los avisos nada más entrar en la app, te puedes imaginar lo que te va a llegar...
No es phising, el BBVA en su escrito asegura que es por biometría.


Que yo sepa desde la app ni desde al web se puede cambiar el número de teléfono (lo acabo de mirar), tienes que ir al banco a cambiarlo, pero bueno, si denuncias a la policía el seguro del banco te tendrá que devolver el dinero


Para cambiar el numero de movil desde la app vas arriba a perfil y te acaban pidiendo: selfie, foto del DNI y el nuevo móvil. Así de simple (confirmado por ellos en Atención al Cliente).
@cheated Pues si se puede cambiar desde ahí, pero vamos si te pide todo eso, es bastante difícil de saltar porque yo lo he hecho eso varias veces para otras cosas y si algo no se ve bien y está correcto te lo tiran para atrás
hal9000 escribió:
Manint escribió:
hal9000 escribió:Tengo la app de BBVA y para todo es SMS, por mucha clave / biometría que tengas, sin SMS na que rascar.
Si hago un BIZUM de 20 / 30€ a alguien que ya se lo he hecho varias veces con anterioridad, no me pide SMS, pero a la que pasa de esa cantidad o que sea a alguien nuevo, ya envía SMS con la clave.


No, se puede prescindir del SMS activando la firma por biometría. Que yo lo tengo así, y no recibo nunca SMS.

Pues muy mal, SMS siempre siempre. El SMS no lo pagas y siempre es una salvaguardia muy eficaz. Es evidente que tooodo se puede juanquear, pero da mucha seguridad que en caso de perdida o robo de móvil, con tal de dar de baja la SIM ya tienes la seguridad que no van a poder hacer nada con las apps de los bancos.

Te clonan la SIM y el SMS ya no es tan seguro.
24 respuestas
Archivado
Volver a Miscelánea