Compra online con tarjeta y pin

Iniciado por Becerra, 20 Octubre 2021, 14:37 PM

0 Miembros y 1 Visitante están viendo este tema.

Becerra

Hola

Me ha pasado un caso curioso, recientemente compré en la web de una conocidísima cadena de tiendas (en españa y europa) con multitud de establecimientos físicos.

Al pagar con tarjeta VISA, y como medida de seguridad me envían un SMS en el que dice mas o menos "suma los dígitos 1 y 3 del PIN de tu tarjeta y ese número súmalo a XXXX" (otro número que me dieron). El resultado total había que meterlo en una casilla de verificación de la web.

Y digo yo... ¿Como saben al PIN de mi tarjeta? ¿Con solo meter mi número de tarjeta ya tienen eacceso a esa información?

Nunca me habían pedido este tipo de "verificación de seguridad".

Un saludo
Buenas preguntas obtienen mejores respuestas

Serapis

No. Nadie excepto tu sabe ni tiene que saber ni tu pin, ni ninguno de dichos dígitos de tu tarjeta. Ni el banco tiene por qué saberlo. de hecho si no lo recuerdas, debes ir al bqanco a reclamarlo y el cajero técnicamente solicita un nuevo pin que se imprime y que el cajero no tiene por qué verlo.

Tu pin es solo tuyo y absolutamente nadie, puede reclamarte que introduzcas ninguno de sus dígitos, para ningún otro propósito que verificar la transacción de compra en el uso de la tarjeta.

Otra cosa es que te hayan pedido los 3 dígitos de control de la tarjeta (que a vces, sobre todo antes) venían al dorso y no forman parte de la numeración. ...aunque desde luego no se suman.

Me temo, que es un intento de acceder a tu pin... hoy te piden sumar el primero y úlimo, otro día te piden otros 2 y al final se deduce tu pin. Me entran dudas de que realmente estuvieres accediendo a través de una web legal... quizás fuera una página falsificando a otra, etc...

Para la próxima haz una captura o foto de dicho formulario.

...por seguridad yo te recomendaría que vayas a un cajero lo antes posible y cambies el pin de tu tarjeta por otro.

Becerra

Hola

Cita de: Serapis en 20 Octubre 2021, 15:51 PM
No. Nadie excepto tu sabe ni tiene que saber ni tu pin, ni ninguno de dichos dígitos de tu tarjeta. Ni el banco tiene por qué saberlo. de hecho si no lo recuerdas, debes ir al bqanco a reclamarlo y el cajero técnicamente solicita un nuevo pin que se imprime y que el cajero no tiene por qué verlo.

Eso pensaba yo, me ha extrañado mucho.

Cita de: Serapis en 20 Octubre 2021, 15:51 PM
Otra cosa es que te hayan pedido los 3 dígitos de control de la tarjeta (que a vces, sobre todo antes) venían al dorso y no forman parte de la numeración. ...aunque desde luego no se suman.

No, eran del PIN

Cita de: Serapis en 20 Octubre 2021, 15:51 PM
Me temo, que es un intento de acceder a tu pin... hoy te piden sumar el primero y úlimo, otro día te piden otros 2 y al final se deduce tu pin. Me entran dudas de que realmente estuvieres accediendo a través de una web legal... quizás fuera una página falsificando a otra, etc...

No, la página era la oficial de esa conocida cadena, de hecho ya ha llegado el pedido y no hay dudas.

Cita de: Serapis en 20 Octubre 2021, 15:51 PM
...por seguridad yo te recomendaría que vayas a un cajero lo antes posible y cambies el pin de tu tarjeta por otro.

Eso ya lo hice, soy maniático. Me puse en contacto con la tienda y me informaron que en eso ellos no tiene nada que ver, me remitieron a mi banco que es el el que emite ese SMS y el que solicita el pago y la confirmación de que realmente soy el propietario de la tarjeta. Pero como por teléfono es un horror, (todos nuestros agentes están ocupados....) les mandé un mail, a ver si responden.

Igual con visa, también le escribí, a ver si alguno me aclara algo...

Un saludo
Buenas preguntas obtienen mejores respuestas

Serapis

#3
Cita de: Becerra en 20 Octubre 2021, 18:59 PM
...Me puse en contacto con la tienda y me informaron que en eso ellos no tiene nada que ver, me remitieron a mi banco que es el el que emite ese SMS y el que solicita el pago y la confirmación de que realmente soy el propietario de la tarjeta...
Guau...
Es muy mala idea, lo adecuado es que el banco haya establecido un sistema seguro, en el que puedan ofrecerte un número totamente aparte del pin, y que tu puedas proveer como verificación, pero jamás el pin. No es sensato que el pin, esté 'viajando por ahí'... Sabemos que el transporte de datos cuando ingesas el pin de tu tarjeta al hacer un pago es confiable, pero otras acciones como esa descrita, no queda claro el procedimiento ni la seguridad usada. Insisto en que sería más acorde, que te enviaran algún dato (numeración o contraseña larga), de la que luego te reclamaran si, este o aquel caracter-dígito, pero que no es ni forma parte del pin.

En fin quéjate a ver si mejoran el sistema.
Incluso acércate al banco solicta y redacta una hoja de reclamación, son serias y suelen ser leídas todas. Expresa caramente que la funcionalidad del pin no es esa... que cualquier verificación extra, exija otros valores no unos que ya fueron proporcionados al hacer el pago. Porque si algien usó tu tarjeta en tu nombre, es claro que tuvo que redactar tu pin, luego esa nueva verificación resulta absurda porque no aporta más seguridad... antes que otra cosa, es una nueva oportunidad para que alguien capture parcialmente tu pin.

#!drvy

Yo no lo veo tan mala seguridad hasta cierto punto...

A ver, está claro que es el banco el que te lo ha solicitado, porque en realidad nunca te han pedido tu pin.  Solo te han dicho, suma la posición 1 y 3, el resultado súmalo a XXXX y envíalo. Total, ya me dirás como sacas el pin en base a eso. Si tengo un pin 4561 y aunque su XXXX fuese 0000, seguía siendo 0010 que no te dice nada porque no sabes que posición es ni tampoco que suma se ha hecho (1+9, 7+3) etc...

De hecho lo veo como una buena medida porque así se aseguran que además de tener el control sobre el número de teléfono del cliente, también se sabe su pin de tarjeta.

Dicho eso, también es cierto que deja ver que tienen acceso a los PIN de sus clientes en texto claro.... lo cual... ya es un poco más turbio...

Saludos

Becerra

Hola

Pues ya me contestó el banco y sí, me han confirmado que usan ese método. He comprado más veces con la misma tarjeta y esta fue la primera vez que me pidieron esta confirmación, me extrañó.

Cita de: #!drvy en 21 Octubre 2021, 09:40 AM
Dicho eso, también es cierto que deja ver que tienen acceso a los PIN de sus clientes en texto claro.... lo cual... ya es un poco más turbio...

Realmente no parece tan mada medida, pero piensas ¿el PIN no era privado? Si vas a la oficina te dicen que no tienen acceso y te generan otro.... En fin, que no sabemos qué hacen con nuestros datos...

Un saludo
Buenas preguntas obtienen mejores respuestas

Machacador

Bueno... y si el sistema del banco no conoce tu pin, como diablos lo reconoce y acepta entonces cuando haces un retiro de dinero o cualquier otra transacción???...

Otra cosa es la gerencia y empleados del banco... estos si que no tienen acceso a esa información, pero el sistema automatizado de seguridad del banco por supuesto que almacena ese pin al igual que tu contraseña de acceso en linea para poder saber que eres tu el que estas accediendo a  tu cuenta y no un tercero... aqui en mi país también se usa el llamado biopago solo usando un lector de huellas digitales sin necesidad de pin ni contraseñas...

Saludos.

:rolleyes: :o :rolleyes:




"Solo tu perro puede admirarte mas de lo que tu te admiras a ti mismo"

#!drvy

#7
Cita de: Machacador en 21 Octubre 2021, 12:07 PM
Bueno... y si el sistema del banco no conoce tu pin, como diablos lo reconoce y acepta entonces cuando haces un retiro de dinero o cualquier otra transacción???...

Se usa un hasheo o cifrado de un solo camino. El PIN se convierte en un hash que representa su valor real, pero dicho valor no puede ser deducido.

https://es.wikipedia.org/wiki/Funci%C3%B3n_hash_criptogr%C3%A1fica

A la hora de comparar si el PIN introducido es el mismo que el hash que tienes guardado, hasheas también el pin introducido y comparas si ambos hashes son iguales. Esto previene que en caso de una fuga de información, el atacante pueda obtener la contraseña o el pin de forma directa. Es el mismo proceso que se usa en la mayoría de páginas web que cuentan con algún tipo de sistema de usuarios. De hecho, estoy bastante seguro que según la legislación española y/o Europea, el cifrado de un solo camio es obligatorio en bases de datos que puedan contener información sensible.


Almacenar las contraseñas en texto plano está prohibido
https://www.eprivacidad.es/almacenar-contrasenas-texto-plano-prohibido/



Cita de: https://www.boe.es/buscar/act.php?id=BOE-A-2008-979Artículo 93. Identificación y autenticación.

1. El responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios.

2. El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.

3. Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad.

4. El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible.


Así que, Becerra, tu banco está potencialmente cometiendo una infracción legal. Yo seguía al consejo de Serapis e iría a poner una reclamación, ya no por el método de verificación, sino porque se deduce que utilizando ese método, necesitan tener el PIN original en texto plano o en su defecto, parte de dicho PIN, lo cual entra en conflicto con la legislación actual.

Saludos

Machacador

Cita de: #!drvy en 21 Octubre 2021, 12:17 PM
Se usa un hasheo o cifrado de un solo camino. El PIN se convierte en un hash que representa su valor real, pero dicho valor no puede ser deducido.

https://es.wikipedia.org/wiki/Funci%C3%B3n_hash_criptogr%C3%A1fica

A la hora de comparar si el PIN introducido es el mismo que el hash que tienes guardado, hasheas también el pin introducido y comparas si ambos hashes son iguales. Esto previene que en caso de una fuga de información, el atacante pueda obtener la contraseña o el pin de forma directa. Es el mismo proceso que se usa en la mayoría de páginas web que cuentan con algún tipo de sistema de usuarios. De hecho, estoy bastante seguro que según la legislación española y/o Europea, el cifrado de un solo camio es obligatorio en bases de datos que puedan contener información sensible.


Ok... estas cosas mas tecnicas no lo sabia sino lo elemental... pero, y si el pin se almacena en hashes separados por cada numero, con el hash de la suma de dos números del pin no sería posible la comprobación sin violar regla  alguna???... digo yo, porque  no creo que un banco reconocido ande violando reglas que pongan en peligro su funcionamiento...

Saludos.

:rolleyes: :o :rolleyes:
"Solo tu perro puede admirarte mas de lo que tu te admiras a ti mismo"

#!drvy

Citarcon el hash de la suma de dos números del pin no sería posible la comprobación sin violar regla  alguna???.

Sería posible, sí.  Pero aquí hay muchas más variables. Solo se almacena la suma de 2 posiciones concretas? O se almacena un hash por cada suma de cada combinación posible? xD No sé, te sorprendería saber la de leyes que se pasan por ahí la mayoría de empresas... sin ir más lejos, cuantos bancos y/o empresas en las que uno tiene datos sensibles nos piden cambiar de contraseña cada año (tal y como esta estipulado en la ley)? Yo creo que solo conozco una xD

Saludos