Foro Bogleheads® España

Buenas a todos,
En este hilo quiero recordar la necesidad de revisar y asegurar vuestras cuentas bancarias / de inversión y de otros servicios.

Para ponernos en contexto recomiendo leer la siguiente historia de un usuario al que tras hacerle un duplicado de su tarjeta SIM (número de móvil) -lo que permite enviar y recibir llamadas y SMS-, por lo que le consiguen pedir un préstamo y vaciar su cuenta bancaria. Esto es solo un ejemplo de los riesgos a los que nos enfrentamos.

Digi duplica mi SIM sin autorización y me vacían la cuenta
https://bandaancha.eu/foros/sim-swaping-digi-entrega-sim-sin-1743644

Para evitar en la medida de lo posible que situaciones como esta ocurran quiero proponer las siguientes acciones que puedes tomar hoy para proteger tus cuentas. Animo a todos a aportar con sus consejos y/o experiencias en este hilo.

• Establece límites diarios bajos a la cantidad máxima de las transferencias y pagos/retiradas con tarjeta de crédito.
  Esta será la cantidad máxima que te puedan sustraer antes de que te de tiempo a reaccionar.

• Activa notificaciones por email instantáneas para cada transferencia/retirada.
  Te ayudará a enterarte rápido de que se están produciendo movimientos sospechosos.

• Usa un email y contraseña diferentes para el banco y para el operador de telefonía.
  De esta forma cuando intenten acceder con tu email/contraseña de otro servicio no podrán hacerlo.

• Activa la verificación en dos pasos en todas las cuentas que lo permitan.
  Si los atacantes acceden también a tu email tendrán más opciones de maniobra.

• Conoce el modus operandi de estas estafas y mantente alerta.
  Por ejemplo, cuando hacen un duplicado de tu SIM, tu móvil pierde cobertura. No pienses que es normal.

• Contacta con tu banco si carece de alguna de las medidas básicas
  Si no permite establecer límites, notificaciones u otras medidas sugiérelo. Considera cambiar de banco si no mejoran su seguridad.

Espero que entre todos podamos compartir consejos y experiencias, además de exponer y presionar a las entidades que aún no implementan estas medidas básicas poniendo en riesgo a sus clientes.

Un saludo,

¡Buenas recomendaciones!.

En Bankia y no veo las opciones de configuración de eso. En R4 acabo de activar la alerta de retirada de fondos.

Acabo de activar la doble autenticación en mis cuentas principales, ¡gran iniciativa [mention]RME[/mention]!

Muchas gracias [mention]RME[/mention] , gran post.

Una pregunta para los que tenéis MyInvestor, ¿Sabéis si la verificación en dos pasos viene activada de serie o habría que configurarla de alguna forma en la app?

Gracias!

Otros consejos serían los genéricos para protegerse del malware:

• Mantener los dispositivos/navegadores actualizados en la última versión, muy importante estar atentos sobretodo en móviles.

• No instalar aplicaciones descargadas de fuentes desconocidas.

• No hacer click en enlaces que llegen a través de SMS/Email.

• Desconfiar de todas las llamadas entrantes de servicios de atención al cliente, publicidad, bancos, etc.

Conviene recordar que en casi todos los casos la responsabilidad es del banco y que en caso de robo o estafa el cliente no perderá el dinero. Aunque obviamente es recomendable ser precavidos y protegernos al máximo posible. Un interesante artículo al respecto: https://www.dpglegal.es/es/noticia/phis ... -al-banco/

MyInvestor tiene un SMS al entrar en la cuenta y la firma digital al realizar operaciones. En principio no se puede configurar, pero si que sería recomendable eliminar el SMS de la firma digital o directamente cambiarla.

upndown escribió: ↑Sab Sep 04, 2021 17:49 MyInvestor tiene un SMS al entrar en la cuenta y la firma digital al realizar operaciones. En principio no se puede configurar, pero si que sería recomendable eliminar el SMS de la firma digital o directamente cambiarla.

Gracias upndown, haré lo que sugieres.

Pues, he verificado como estan las cosas en MyInvestor, y la verdad es muy mal. No hay ninguna proteccion contra el SIM swap. Te cuento que puede hacer el hacker:

1) Si tiene acceso a tu numero (por tener copia de tu SIM) y saber tu DNI (que lo va a saber para hacer la copia de SIM)
2) Entra en MyInvestor, y va a iniciar session, dice contraseña olvidada
3) MyInvestor felicitamente le envia un SMS con un codigo y despues puedes cambiar la contraseña
4) Repetir lo mismo con clave de firma (por dios, esta gente no entiende nada de seguridad. Porque tener contraseña y clave de firma, si las dos se pueden cambiar por un SMS Por ejemplo en openbank, para cambiar el clave de firma, te lo envian en tu domicilio por correos)
5) Pues ya tienes acceso completo. Puedes vender, pedir que te envian tarjeta y retirar dinero o hacer una transferencia a una otra cuenta

emil escribió: ↑Dom Sep 19, 2021 15:44 Pues, he verificado como estan las cosas en MyInvestor, y la verdad es muy mal. No hay ninguna proteccion contra el SIM swap. Te cuento que puede hacer el hacker:

1) Si tiene acceso a tu numero (por tener copia de tu SIM) y saber tu DNI (que lo va a saber para hacer la copia de SIM)
2) Entra en MyInvestor, y va a iniciar session, dice contraseña olvidada
3) MyInvestor felicitamente le envia un SMS con un codigo y despues puedes cambiar la contraseña
4) Repetir lo mismo con clave de firma (por dios, esta gente no entiende nada de seguridad. Porque tener contraseña y clave de firma, si las dos se pueden cambiar por un SMS Por ejemplo en openbank, para cambiar el clave de firma, te lo envian en tu domicilio por correos)
5) Pues ya tienes acceso completo. Puedes vender, pedir que te envian tarjeta y retirar dinero o hacer una transferencia a una otra cuenta

Si esto es así es un fallo muy grave. No tengáis reparos en contactar con MyInvestor y hacedlo saber.

Parece que algún forero lo ha puesto en Rankia (donde hay respuesta de una comercial):
https://www.rankia.com/foros/fondos-inv ... ta_5139954

A ver si gracias a esto lo corrigen.

RME escribió: ↑Sab Sep 25, 2021 11:18 Parece que algún forero lo ha puesto en Rankia (donde hay respuesta de una comercial):
https://www.rankia.com/foros/fondos-inv ... ta_5139954

A ver si gracias a esto lo corrigen.

Aquí el culpable. Lo he puesto ahí porque se suele pasar una representante de MyInvestor a menudo y que tomen nota. Aquí está el mensaje de [mention]emil[/mention] (muchas gracias!) trasladado tal cual: https://www.rankia.com/foros/fondos-inv ... ta_5139407

Por ahora no han hecho caso más que para fallar en rebatirlo, pero hay mucha gente indignada y no creo que lo ignoren por mucho tiempo.

Muchas gracias a nibble, parece que myinvestor van a cambiar su seguridad. Eso es un buen hecho, gracias

emil escribió: ↑Jue Sep 30, 2021 20:43 Muchas gracias a nibble, parece que myinvestor van a cambiar su seguridad. Eso es un buen hecho, gracias

No, desde luego gracias a tí. Yo sólo me he limitado a publicitar tu hallazgo.

en Rankia escribió: Buenos días a todos,

La seguridad es muy importante para MyInvestor y una prioridad absoluta. Nuestros sistemas de seguridad se someten periódicamente a auditorías que garantizan que vuestros ahorros están seguros. La normativa que aplica al sector financiero es muy exigente y MyInvestor cumple fielmente todos los requisitos.

Tenemos más de 70.000 clientes y no hemos tenido ningún caso de fraude. Tampoco hemos detectado ningún tipo de fraude por robo de la SIM, que es una técnica de hacking compleja y muy poco habitual.

No obstante, para nosotros la tranquilidad de nuestros clientes resulta clave. Por tanto, en las próximas semanas implementaremos nuevas actualizaciones con las que los métodos para gestionar las diferentes credenciales van a mejorar considerablemente.

Tras esta actualización, los niveles de seguridad se situarán por encima de lo exigido por normativa. Y nuestra idea es seguir mejorándolos día a día.

Os mantendremos informados.

Saludos,

Camila Rogozinska,
Community Manager de MyInvestor.

Cito el mensaje oficial.

Enhorabuena a todos los que habéis aportado este granito de arena a la seguridad.

RME escribió: ↑Vie Oct 01, 2021 18:17

en Rankia escribió: Buenos días a todos,

La seguridad es muy importante para MyInvestor y una prioridad absoluta. Nuestros sistemas de seguridad se someten periódicamente a auditorías que garantizan que vuestros ahorros están seguros. La normativa que aplica al sector financiero es muy exigente y MyInvestor cumple fielmente todos los requisitos.

Tenemos más de 70.000 clientes y no hemos tenido ningún caso de fraude. Tampoco hemos detectado ningún tipo de fraude por robo de la SIM, que es una técnica de hacking compleja y muy poco habitual.

No obstante, para nosotros la tranquilidad de nuestros clientes resulta clave. Por tanto, en las próximas semanas implementaremos nuevas actualizaciones con las que los métodos para gestionar las diferentes credenciales van a mejorar considerablemente.

Tras esta actualización, los niveles de seguridad se situarán por encima de lo exigido por normativa. Y nuestra idea es seguir mejorándolos día a día.

Os mantendremos informados.

Saludos,

Camila Rogozinska,
Community Manager de MyInvestor.

Cito el mensaje oficial.

Enhorabuena a todos los que habéis aportado este granito de arena a la seguridad.

Aun no sabemos, que van a implementar El unico "banco" que tiene seguridad adequada para mi es Indexa, que tiene TOTP tokens. Pero creo que sera demasiado esperar que MI van a implementarlo (o si hermano de seguridad, push notifications to the app)

Veremos.

emil escribió: ↑Dom Oct 03, 2021 08:03

RME escribió: ↑Vie Oct 01, 2021 18:17

en Rankia escribió: Buenos días a todos,

La seguridad es muy importante para MyInvestor y una prioridad absoluta. Nuestros sistemas de seguridad se someten periódicamente a auditorías que garantizan que vuestros ahorros están seguros. La normativa que aplica al sector financiero es muy exigente y MyInvestor cumple fielmente todos los requisitos.

Tenemos más de 70.000 clientes y no hemos tenido ningún caso de fraude. Tampoco hemos detectado ningún tipo de fraude por robo de la SIM, que es una técnica de hacking compleja y muy poco habitual.

No obstante, para nosotros la tranquilidad de nuestros clientes resulta clave. Por tanto, en las próximas semanas implementaremos nuevas actualizaciones con las que los métodos para gestionar las diferentes credenciales van a mejorar considerablemente.

Tras esta actualización, los niveles de seguridad se situarán por encima de lo exigido por normativa. Y nuestra idea es seguir mejorándolos día a día.

Os mantendremos informados.

Saludos,

Camila Rogozinska,
Community Manager de MyInvestor.

Cito el mensaje oficial.

Enhorabuena a todos los que habéis aportado este granito de arena a la seguridad.

Aun no sabemos, que van a implementar El unico "banco" que tiene seguridad adequada para mi es Indexa, que tiene TOTP tokens. Pero creo que sera demasiado esperar que MI van a implementarlo (o si hermano de seguridad, push notifications to the app)

Veremos.

El TOTP está muy bien hasta que llamas a indexa diciendo que te lo has olvidado/perdido de móvil y con el número de móvil se puede eliminar (realmente no lo se pero supongo que funcionará así).

Al final mucha tecnología pero la autenticación más segura es presentarse en una oficina con el DNI (a poder ser electrónico para verificar que no es falso)

Totalmente de acuerdo

Creo que tenemos que seguir investigando y sugiriendo cambios en las distintas plataformas o bancos de inversión.

En el siguiente hilo podemos leer a un usuario que tras sufrir phishing se niegan a restituir el dinero alegando que fue el usuario el que proporcionó las claves.

"Ayuda phishing Banco Santander"
https://www.forocoches.com/foro/showthr ... ?t=8885975

Tenemos que señalar a las plataformas más inseguras y hacer ruido para que implementen mejoras de seguridad.

[mention]RME[/mention] estoy de acuerdo contigo.

También podemos decir que bancos son seguros.
En Bankinter Empresas para cualquier transferencia hay que meter un código de una tarjeta de claves más el código que te manda por SMS, puedo decir que es un banco coñazo con tantas peticiones de claves, pero me siento muy seguro.
En Bankia Particulares, tenía que meter mi firma secreta para autorizar cualquier movimiento de una cuenta aunque fuera a otra cuenta o a la tarjeta monedero (gestiones internas), ahora la CaixaBank Particulares lo ha quitado para las gestiones internas o entre cuentas y tarjetas, no sé si la firma secreta sigue para transferencias externas; eso me parece un plus de inseguridad en comparación con Bankia.

Casi se puede decir que bancos o plataformas son inseguras por el Spam que aparece en tus cuentas de correo electrónico: PayPal, Santander y BBVA en mi caso.

nibble escribió: ↑Sab Sep 25, 2021 11:26 Por ahora no han hecho caso más que para fallar en rebatirlo, pero hay mucha gente indignada y no creo que lo ignoren por mucho tiempo.

Han pasado casi 3 años desde este mensaje. Al final myinvestor añadió algun sistema de seguridad mas?