No hay nadie mas paranoico con la seguridad que los bancos, y con razón. Tratá de certificarte con el estandar de la industria, PCI, y vas a ver el nivel de paranoia. Sin embargo, a veces hacen cosas que te llevan a preguntarte si leen los manuales.
Andrés, un contribuidor del blog, tenía una cuenta en el banco Santander (ex-ABN). Hubo un cambio de sistemas, y el internet banking dejó de funcionar. Nada ayudaba, hasta que en el call center le preguntaron cuantos caracteres tenía la password. «Nueve», respondió Andrés. «Pruebe con los primeros 8» le dijo la operadora del call center. Increíblemente, funcionó. Eso significa que las passwords estaban guardadas sin encriptar, lo que va contra toda norma de seguridad (hay otra explicación posible: que las claves estaban con un sistema de encriptación de clave , y la clave de decriptación estaba bien guardada; lo dudo).
Hay una más interesante. Imaginense un carterista que pueda vaciarte la billetera, sin tocarla ni abrirla, con solo darle un golpecito a través del pantalón o de la cartera. Eso es exactamente lo que se puede hacer con las nuevas tarjetas de crédito de proximidad (en base a RFID). Cualquier chorro que tenga un POS portátil de proximidad, te da un golpecito en el bolsillo donde está la billetera, y te cobra lo que quiere, además de quedarse con tus datos (ver el video abajo). Lo mismo se puede hacer para obtener los datos de un documento con RFID, como ser un pasaporte, aunque es un poco más difícil.
Hace un tiempo viví otra: El BankBoston te permitía consultar el saldo de tu cuenta llamando por teléfono y digitando los números de de la tarjeta de banco, y el PIN. Cualquier hacker que intercepte esas líneas telefónicas se hace de tantas tarjetas como quiere.
Otra más, esta más reciente: Las redes de los bancos tienen un alto nivel de seguridad. Sin embargo, las terminales de autoconsulta de varios bancos tienen los conectores Ethernet a la vista. Si alguien coloca en el medio un routercito WiFi, se puede hacer de datos bastante interesantes.
En resumen, parecería como que las puertas de entrada de los bancos tienen cientos de trabas, llaves y candados, pero a veces las ventanas quedan abiertas.
Qué tan fácil es hacer una estafa hoy? Vale la pena leer la historia de Abraham Abdallah, un limpiacopas de Brooklyn que logró robarle dinero mediante «ingeniería social» a 200 de los 400 tipos más ricos de la lista de Forbes.
Si tienen más ejemplos, ponganlos en los comentarios.
Pablo Brenner & Sergio Fogel Blog 
a mi me paso lo mismo con el Santander…y ahora?
..tambien me llamo Andres…
A mi me paso lo mismo también con Santander sólo que como puse 3 veces mal la clave (yo ponia exactamente la misma que antes sin saber que por algun motivo y sin avisarme le habían borrado un digito) me la bloqueo, la operadora x tel me dijo que habian borrado un digito, pero ya era tarde ya estaba bloqueada, ahora tengo que ir hasta el banco a pedir una nueva, yo me pregunto, estos tipos no saben nada de internet? si quiero hacer transacciones por Internet es porque no quiero ir al banco, podrian hacerla un poco más fácil
El sistema online de Santander apesta big time.
Desde la migración al nuevo sistema he tenido una cantidad de problemas inconcebibles. Incluyendo que me apareciera una cuenta que antes no tenía, con saldo cero, y que a los pocos días me pusieran una multa por saldo insuficiente (!)
Lo de las claves es lamentable. Hace años que vengo quejándome porque las claves solo pueden ser numéricas, y porque enforcean un largo *maximo* de la contraseña, donde en todos lados se enforcea un largo *mínimo*.
Por lo menos ahora están implementando la tarjeta de coordenadas, que en el resto del mundo existe hace, no se, 10 años? 20?
Para mi el mejor sistema de seguridad es el del BROU que te da un aparatito que genera códigos numericos, el cual tenes que poner antes de cada transacción, esto hace que antes de hacer cualquier acción importante (transferencia de dinero por ejemplo), te pide además de la contraseña la clave que genera ese aparatito, de esta forma hay un chequeo adicional, no alcanza con la contraseña sino que hay que tener además el aparatito fisico para hackear. Y para mejor la trasicción fue totalmente indolora, me enviaron el aparatito a mi casa sin que tuviera que hacer nada, y dejaron un margen de 3 meses entre que enviaron los aparatitos y comenzaron a exigierlos en la web (de forma de asegurarse que todos los clientes los tengan antes de que sea obligatorio usarlos), nada que ver con Santander que de un día a otro cambio de sistema sin advertencia de níngun tipo, me cambio la contraseña (sin avisarme) y además te hace ir a la sucursal a firmar un nuevo contrato y darte una nueva clave… un desastre!
Umm, Itau por lo menos no ha tenido ese problema
Lo que si me da rabia es lo que dice GabrielG, me fuerzan una contraseña de largo mínimo.
Es muy raro, los bancos no son nada bobos, en lo absoluto. NI en USA ni en Nigeria ni en Uruguay.
¿Por qué pedir una contraseña con largo máximo (es más creo que de 8)
¿Por qué casualidad te aparecería una cuenta «por error» y que luego te empiezan cobrar?
Bobos no son.
Si alguien que sepa me responde la 1, la de la contraseña, se agradece.
donde puse «contraseña de largo mínimo» quise poner «largo máximo»
Aqui otro ejemplo:
http://money.cnn.com/2011/01/24/real_estate/onwuhara_home_equity_fraud_full.fortune/index.htm
Yo estoy convencido q un hacker con media pila, podria dejar en jaque a cualquier banco uruguayo.
Por experiencia dando soporte a clientes, lo que mas me preocupa es el BPS, cada dos por tres hacen cambios en los certificados, pero no los registran de forma debida y me llaman varios clientes diciendome que les salta una advertencia en los navegadores modernos (todo, y digo todo, esta hecho con lo estandares de IE6), y si no colocas la excepcion no te deja (lo peor es que en la pagina siempre esta el aviso de anadir excepcion…pero es un mamarracho de seguridad).
Ni hablar de los formularios en PDF, donde de lectores alternativos ni hablan, y si no tenes la ultima version de Adobe, a llorar y a bajar los 200 MB de instalacion, q si no no podes llenar nada
86-year Old Lady’s Letter to a Bank
Shown below, is an actual letter that was sent to a bank by an 86 year old woman. The bank manager thought it amusing enough to have it published in the New York Times.
Dear Sir:
I am writing to thank you for bouncing my check with which I endeavored to pay my plumber last month.
By my calculations, three nanoseconds must have elapsed between his presenting the check and the arrival in my account of the funds needed to honor it..
I refer, of course, to the automatic monthly deposit of my entire pension, an arrangement which, I admit, has been in place for only eight years.
You are to be commended for seizing that brief window of opportunity, and also for debiting my account $30 by way of penalty for the inconvenience caused to your bank.
My thankfulness springs from the manner in which this incident has caused me to rethink my errant financial ways.
I noticed that whereas I personally answer your telephone calls and letters, — when I try to contact you, I am confronted by the impersonal, overcharging, pre-recorded, faceless entity which your bank has become.
From now on, I, like you, choose only to deal with a flesh-and-blood person.
My mortgage and loan repayments will therefore and hereafter no longer be automatic, but will arrive at your bank, by check, addressed personally and confidentially to an employee at your bank whom you must nominate.
Be aware that it is an offence under the Postal Act for any other person to open such an envelope.
Please find attached an Application Contact which I require your chosen employee to complete.
I am sorry it runs to eight pages, but in order that I know as much about him or her as your bank knows about me, there is no alternative.
Please note that all copies of his or her medical history must be countersigned by a Notary Public, and the mandatory details of his/her financial situation (income, debts, assets and liabilities) must be accompanied by documented proof.
In due course, at MY convenience, I will issue your employee with a PIN number which he/she must quote in dealings with me.
I regret that it cannot be shorter than 28 digits but, again, I have modeled it on the number of button presses required of me to access my account balance on your phone bank service.
As they say, imitation is the sincerest form of flattery.
Let me level the playing field even further.
When you call me, press buttons as follows:
IMMEDIATELY AFTER DIALING, PRESS THE STAR (*) BUTTON FOR ENGLISH
#1. To make an appointment to see me
#2. To query a missing payment.
#3. To transfer the call to my living room in case I am there.
#4 To transfer the call to my bedroom in case I am sleeping
#5. To transfer the call to my toilet in case I am attending to nature.
#6. To transfer the call to my mobile phone if I am not at home
#7. To leave a message on my computer, a password to access my computer is required.
Password will be communicated to you at a later date to that Authorized Contact mentioned earlier.
#8. To return to the main menu and to listen to options 1 through 7.
#9. To make a general complaint or inquiry.
The contact will then be put on hold, pending the attention of my automated answering service.
#10. This is a second reminder to press* for English.
While this may, on occasion, involve a lengthy wait, uplifting music will play for the duration of the call.
Regrettably, but again following your example, I must also levy an establishment fee to cover the setting up of this new arrangement.
May I wish you a happy, if ever so slightly less prosperous New Year?
Your Humble Client
And remember: Don’t make old People mad.
We don’t like being old in the first place, so it doesn’t take much to piss us off.
Jua, es buena la nota de la veterana.
Les doy otro dato.
En el Discount, con un número de cuenta y usando los primeros 4 dígitos de la CI del cliente como password, podés ver toda la info (saldos, movimientos, deudas, etc) en las terminales de autoconsulta ubicadas dentro del banco.
La única que lo salva es si el cliente en cuestión alguna vez usó esas terminales (que MUY poca gente usa), porque te pide cambiar la clave al usarlo por 1a vez.
O sea que si, casualmente, tenés un número de cuenta de alguien y su número de CI (por ejemplo un proveedor al que hayas tenido que depositarle plata alguna vez), ya sabés.
Y si sos cliente del Discount, andá a cambiar la clave!!!
Tema muy interesante .
1) Los progresos en tecnologia traen aparejado tambien riesgos . Cuando yo comence en la banca se mandaba , por cada transaccion, un telex con clave . Eso llevaba un tiempo importante.
AL multiplicarse el volumen transaccional , y cuando me fui del area financiera de los bancos se colocaban millones , en el telefono. Ahora se hace en una pc.
Es evidente que los riesgos de fallas o desfalcos existesn cada vez mas.
Eso se soiluciona haciendo las cosas bien. Yo he visto cosas terribles , pero no conozco a nadie cuyo bolsillo haya sido afectado por hechos de este tipo. Para eso hay seguros.
Claro, yo recuerdo hace años asesoraba a un banco grande y por 48 horas no podian saber el saldo de un grupo importante de clientes . Y bue, se pagaban los chqeues y se vera . Transmitidos a los clientes esas cosas confusas , en apariencia terriblemente riesgosas dejan una pesima imagen del banco , pero como las aerolineas que jamas cumplen con lo pactado, es decir llevarnos del punto a al b llegando a la hora tal , los bancos claman por nuestra condescendencia y perdopn, y…. se cayo el sistema.
Agrego que no conozco , aunque lo debe haber , un banco en el mundo que se haya fundido por un problema tecnológico.
.
Ello no quiere decir que todos los comentarios sean acertado en las conclusiones.
El mundo de los bancos y su supervivencia tan dificultosa en el mundo de hoy debe superar riesgos mucho mayores que un hacker.
Ademas, esto no lo sabe nadie salvo uds, que entiendo son gente honrada! , saludos y gracias por los buenos datos.
Y q tal el Citi como banco y la operativa?
Justamente yo q chillaba del bps, leanse esto (no le hago propaganda a otro blog, pero me parecio q tenia q ver con la nota, y con mi comentario anterior)
http://fedelosa.com/sitio-web-del-bps-mostrando-el-codigo-fuente/#disqus_thread