Hola
Me ha pasado un caso curioso, recientemente compré en la web de una conocidísima cadena de tiendas (en españa y europa) con multitud de establecimientos físicos.
Al pagar con tarjeta VISA, y como medida de seguridad me envían un SMS en el que dice mas o menos "suma los dígitos 1 y 3 del PIN de tu tarjeta y ese número súmalo a XXXX" (otro número que me dieron). El resultado total había que meterlo en una casilla de verificación de la web.
Y digo yo... ¿Como saben al PIN de mi tarjeta? ¿Con solo meter mi número de tarjeta ya tienen eacceso a esa información?
Nunca me habían pedido este tipo de "verificación de seguridad".
Un saludo
No. Nadie excepto tu sabe ni tiene que saber ni tu pin, ni ninguno de dichos dígitos de tu tarjeta. Ni el banco tiene por qué saberlo. de hecho si no lo recuerdas, debes ir al bqanco a reclamarlo y el cajero técnicamente solicita un nuevo pin que se imprime y que el cajero no tiene por qué verlo.
Tu pin es solo tuyo y absolutamente nadie, puede reclamarte que introduzcas ninguno de sus dígitos, para ningún otro propósito que verificar la transacción de compra en el uso de la tarjeta.
Otra cosa es que te hayan pedido los 3 dígitos de control de la tarjeta (que a vces, sobre todo antes) venían al dorso y no forman parte de la numeración. ...aunque desde luego no se suman.
Me temo, que es un intento de acceder a tu pin... hoy te piden sumar el primero y úlimo, otro día te piden otros 2 y al final se deduce tu pin. Me entran dudas de que realmente estuvieres accediendo a través de una web legal... quizás fuera una página falsificando a otra, etc...
Para la próxima haz una captura o foto de dicho formulario.
...por seguridad yo te recomendaría que vayas a un cajero lo antes posible y cambies el pin de tu tarjeta por otro.
Hola
Cita de: Serapis en 20 Octubre 2021, 15:51 PM
No. Nadie excepto tu sabe ni tiene que saber ni tu pin, ni ninguno de dichos dígitos de tu tarjeta. Ni el banco tiene por qué saberlo. de hecho si no lo recuerdas, debes ir al bqanco a reclamarlo y el cajero técnicamente solicita un nuevo pin que se imprime y que el cajero no tiene por qué verlo.
Eso pensaba yo, me ha extrañado mucho.
Cita de: Serapis en 20 Octubre 2021, 15:51 PM
Otra cosa es que te hayan pedido los 3 dígitos de control de la tarjeta (que a vces, sobre todo antes) venían al dorso y no forman parte de la numeración. ...aunque desde luego no se suman.
No, eran del PIN
Cita de: Serapis en 20 Octubre 2021, 15:51 PM
Me temo, que es un intento de acceder a tu pin... hoy te piden sumar el primero y úlimo, otro día te piden otros 2 y al final se deduce tu pin. Me entran dudas de que realmente estuvieres accediendo a través de una web legal... quizás fuera una página falsificando a otra, etc...
No, la página era la oficial de esa conocida cadena, de hecho ya ha llegado el pedido y no hay dudas.
Cita de: Serapis en 20 Octubre 2021, 15:51 PM
...por seguridad yo te recomendaría que vayas a un cajero lo antes posible y cambies el pin de tu tarjeta por otro.
Eso ya lo hice, soy maniático. Me puse en contacto con la tienda y me informaron que en eso ellos no tiene nada que ver, me remitieron a mi banco que es el el que emite ese SMS y el que solicita el pago y la confirmación de que realmente soy el propietario de la tarjeta. Pero como por teléfono es un horror, (todos nuestros agentes están ocupados....) les mandé un mail, a ver si responden.
Igual con visa, también le escribí, a ver si alguno me aclara algo...
Un saludo
Cita de: Becerra en 20 Octubre 2021, 18:59 PM
...Me puse en contacto con la tienda y me informaron que en eso ellos no tiene nada que ver, me remitieron a mi banco que es el el que emite ese SMS y el que solicita el pago y la confirmación de que realmente soy el propietario de la tarjeta...
Guau...
Es muy mala idea, lo adecuado es que el banco haya establecido un sistema seguro, en el que puedan ofrecerte un número totamente aparte del pin, y que tu puedas proveer como verificación, pero jamás el pin. No es sensato que el pin, esté 'viajando por ahí'... Sabemos que el transporte de datos cuando ingesas el pin de tu tarjeta al hacer un pago es confiable, pero otras acciones como esa descrita, no queda claro el procedimiento ni la seguridad usada. Insisto en que sería más acorde, que te enviaran algún dato (numeración o contraseña larga), de la que luego te reclamaran si, este o aquel caracter-dígito, pero que no es ni forma parte del pin.
En fin quéjate a ver si mejoran el sistema.
Incluso acércate al banco solicta y redacta una hoja de reclamación, son serias y suelen ser leídas todas. Expresa caramente que la funcionalidad del pin no es esa... que cualquier verificación extra, exija otros valores no unos que ya fueron proporcionados al hacer el pago. Porque si algien usó tu tarjeta en tu nombre, es claro que tuvo que redactar tu pin, luego esa nueva verificación resulta absurda porque no aporta más seguridad... antes que otra cosa, es una nueva oportunidad para que alguien capture parcialmente tu pin.
Yo no lo veo tan mala seguridad hasta cierto punto...
A ver, está claro que es el banco el que te lo ha solicitado, porque en realidad nunca te han pedido tu pin. Solo te han dicho, suma la posición 1 y 3, el resultado súmalo a XXXX y envíalo. Total, ya me dirás como sacas el pin en base a eso. Si tengo un pin 4561 y aunque su XXXX fuese 0000, seguía siendo 0010 que no te dice nada porque no sabes que posición es ni tampoco que suma se ha hecho (1+9, 7+3) etc...
De hecho lo veo como una buena medida porque así se aseguran que además de tener el control sobre el número de teléfono del cliente, también se sabe su pin de tarjeta.
Dicho eso, también es cierto que deja ver que tienen acceso a los PIN de sus clientes en texto claro.... lo cual... ya es un poco más turbio...
Saludos
Hola
Pues ya me contestó el banco y sí, me han confirmado que usan ese método. He comprado más veces con la misma tarjeta y esta fue la primera vez que me pidieron esta confirmación, me extrañó.
Cita de: #!drvy en 21 Octubre 2021, 09:40 AM
Dicho eso, también es cierto que deja ver que tienen acceso a los PIN de sus clientes en texto claro.... lo cual... ya es un poco más turbio...
Realmente no parece tan mada medida, pero piensas ¿el PIN no era privado? Si vas a la oficina te dicen que no tienen acceso y te generan otro.... En fin, que no sabemos qué hacen con nuestros datos...
Un saludo
Bueno... y si el sistema del banco no conoce tu pin, como diablos lo reconoce y acepta entonces cuando haces un retiro de dinero o cualquier otra transacción???...
Otra cosa es la gerencia y empleados del banco... estos si que no tienen acceso a esa información, pero el sistema automatizado de seguridad del banco por supuesto que almacena ese pin al igual que tu contraseña de acceso en linea para poder saber que eres tu el que estas accediendo a tu cuenta y no un tercero... aqui en mi país también se usa el llamado biopago solo usando un lector de huellas digitales sin necesidad de pin ni contraseñas...
Saludos.
:rolleyes: :o :rolleyes:
Cita de: Machacador en 21 Octubre 2021, 12:07 PM
Bueno... y si el sistema del banco no conoce tu pin, como diablos lo reconoce y acepta entonces cuando haces un retiro de dinero o cualquier otra transacción???...
Se usa un hasheo o cifrado de un solo camino. El PIN se convierte en un hash que representa su valor real, pero dicho valor no puede ser deducido.
https://es.wikipedia.org/wiki/Funci%C3%B3n_hash_criptogr%C3%A1fica
A la hora de comparar si el PIN introducido es el mismo que el hash que tienes guardado, hasheas también el pin introducido y comparas si ambos hashes son iguales. Esto previene que en caso de una fuga de información, el atacante pueda obtener la contraseña o el pin de forma directa. Es el mismo proceso que se usa en la mayoría de páginas web que cuentan con algún tipo de sistema de usuarios. De hecho, estoy bastante seguro que según la legislación española y/o Europea, el cifrado de un solo camio es obligatorio en bases de datos que puedan contener información sensible.
Almacenar las contraseñas en texto plano está prohibidohttps://www.eprivacidad.es/almacenar-contrasenas-texto-plano-prohibido/
Cita de: https://www.boe.es/buscar/act.php?id=BOE-A-2008-979Artículo 93. Identificación y autenticación.
1. El responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios.
2. El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.
3. Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad.
4. El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible.
Así que, Becerra, tu banco está potencialmente cometiendo una infracción legal. Yo seguía al consejo de Serapis e iría a poner una reclamación, ya no por el método de verificación, sino porque se deduce que utilizando ese método, necesitan tener el PIN original en texto plano o en su defecto, parte de dicho PIN, lo cual entra en conflicto con la legislación actual.
Saludos
Cita de: #!drvy en 21 Octubre 2021, 12:17 PM
Se usa un hasheo o cifrado de un solo camino. El PIN se convierte en un hash que representa su valor real, pero dicho valor no puede ser deducido.
https://es.wikipedia.org/wiki/Funci%C3%B3n_hash_criptogr%C3%A1fica
A la hora de comparar si el PIN introducido es el mismo que el hash que tienes guardado, hasheas también el pin introducido y comparas si ambos hashes son iguales. Esto previene que en caso de una fuga de información, el atacante pueda obtener la contraseña o el pin de forma directa. Es el mismo proceso que se usa en la mayoría de páginas web que cuentan con algún tipo de sistema de usuarios. De hecho, estoy bastante seguro que según la legislación española y/o Europea, el cifrado de un solo camio es obligatorio en bases de datos que puedan contener información sensible.
Ok... estas cosas mas tecnicas no lo sabia sino lo elemental... pero, y si el pin se almacena en hashes separados por cada numero, con el hash de la suma de dos números del pin no sería posible la comprobación sin violar regla alguna???... digo yo, porque no creo que un banco reconocido ande violando reglas que pongan en peligro su funcionamiento...
Saludos.
:rolleyes: :o :rolleyes:
Citarcon el hash de la suma de dos números del pin no sería posible la comprobación sin violar regla alguna???.
Sería posible, sí. Pero aquí hay muchas más variables. Solo se almacena la suma de 2 posiciones concretas? O se almacena un hash por cada suma de cada combinación posible? xD No sé, te sorprendería saber la de leyes que se pasan por ahí la mayoría de empresas... sin ir más lejos, cuantos bancos y/o empresas en las que uno tiene datos sensibles nos piden cambiar de contraseña cada año (tal y como esta estipulado en la ley)? Yo creo que solo conozco una xD
Saludos
Cita de: #!drvy en 21 Octubre 2021, 13:25 PM
Sería posible, sí. Pero aquí hay muchas más variables. Solo se almacena la suma de 2 posiciones concretas? O se almacena un hash por cada suma de cada combinación posible? xD No sé, te sorprendería saber la de leyes que se pasan por ahí la mayoría de empresas... sin ir más lejos, cuantos bancos y/o empresas en las que uno tiene datos sensibles nos piden cambiar de contraseña cada año (tal y como esta estipulado en la ley)? Yo creo que solo conozco una xD
Ok... esto es un tema muy extenso... y sobre lo cambiar la contraseña; 2 de mis 3 bancos me piden cambiar la contraseña de acceso cada 6 meses (cuando una la cambia selecciona su duración entre 1 y 6 meses), el tercero nunca en mas de 3 años me ha pedido cambiar la contraseña... el pin de la tarjeta solo el cajero pide cambiarlo si uno pasa mas de 3 meses sin hacer uso de el, pero en los comercios funciona eternamente a menos que te equivoques 3 veces seguidas al ponerlo, porque entonces se bloquea la tarjeta y debes ir al banco a desbloquearla...
Saludos.
:rolleyes: :o :rolleyes:
Pues parece que en ese aspecto los bancos donde vives funcionan mejor xD
Yo he tenido cuentas en 3 bancos diferentes y en ninguno se me ha pedido cambiar el pin o la contraseña de acceso online, en la vida, salvo cuando te renuevan la tarjeta por caducidad o cuando te toca cambiarlo por introducirlo mal. Y ya no solo en bancos, empresas que manejan datos tuyos como el DNI o cuentas bancarias tampoco... de hecho ni siquiera el sistema de Cl@ve permanente del gobierno (con el que accedes a y haces trámites como en temas de salud o hacienda) me ha pedido cambiarla xD
Saludos
Hola
Cita de: #!drvy en 21 Octubre 2021, 14:53 PM
Yo he tenido cuentas en 3 bancos diferentes y en ninguno se me ha pedido cambiar el pin o la contraseña de acceso online,
A mi tampoco me lo han pedido, lo que ocurre es que soy un poco maniático para estas cosas y de vez en cuando la cambio yo,
Por cierto, me respondió visa también, básicamente me dicen que eso es responsabilidad del banco que emitió la tarjeta y que me ponga en contacto con ellos.
En fin, aclarado el tema. Un saludo
Cita de: Becerra en 21 Octubre 2021, 21:55 PM
Por cierto, me respondió visa también, básicamente me dicen que eso es responsabilidad del banco que emitió la tarjeta y que me ponga en contacto con ellos.
Para menesteres de verificaciones adicionales, deberian usarse otros valores, preferiblemente de un solo uso.
Solicitar dígitos de tu pin, para esas verificaciones posteriores solo posibilita que haya quien idee un sistema MITM, para ir capturando tales valores... Con un valor de un solo uso, ese interés (para las tarjetas de crédito), pierde 'fuelle', porque no gana acceso al control de la tarjeta (como sí pudiera ser para otras cosas), en todo caso (a lo sumo), solo para esa transacción.
Yo abriría una hoja de reclamaciones en el banco, por falta de seguridad, y si no hacen caso, pasado el tiempo una denuncia ante la ley de protección de datos, porque ese dato no debe tener ningún otro uso que el diseñado para él, es decir su uso de verificación de la tarjeta cuando se use, y el en el momento justo de usarla y ninguno más.
Cualquier otro uso, me parece ilegítimo, incluso aunque se trate de tu banco y de posteriores verificaciones con una transacción para la cual ya fue validada con tu pin o con otros medios aceptados. que oprovean otro código completamente distinto de tu pin, para esos propósitos... aunque eso suponga tener que recordar 'otra contraseña más' (que es la única razón por la que creo que hayan adoptado esa mala decisión)...