Caja Duero te muestra tu DNI para luchar contra el phishing.
Caja Duero pretende ofrecer un elemento más de seguridad a sus usuarios de banca electrónica añadiendo una nueva funcionalidad que muestra, automáticamente y después de identificarse, la imagen de su DNI y la fecha del último acceso. Todos aquellos clientes que no tengan digitalizado su DNI podrán pasar por cualquier entidad para actualizar su perfil.
Dicho servicio vendrá activado por defecto, pero se podrá desactivar.
Caja Duero asegura que con esto pretende evitar los ataques de Phishing, es decir, aquellos correos falsos que se hacen pasar por el banco y que ofrecen una página web simulada, imitando a la de la entidad, pidiendo sus datos.
Yo más bien creo que únicamente valdrá para alertar a algunos usuarios y en determinados ataques. Me explico. Después de haber introducido su usuario y clave en la página falsa y únicamente si el usuario es redirigido a una web simulada con la operativa del banco podría darse cuenta de que es un lugar falso, al no ver el DNI, y pedir a Caja Duero que anule su usuario y clave para evitar que el atacante la use. Pero no suele darse el caso. Es más probable que aparezca un mensaje que avise que la clave es incorrecta y posteriormente redirija a la web auténtica, donde el usuario, algo mosqueado pero resignado por haber fallado (a todo el mundo nos pasa) volverá a introducir su clave y accederá correctamente a la página de Caja Duero. Habiendo dejado ya su clave y usuario en el sistema o página falsa del atacante y no sospechando nada.
De todas formas cualquier medida es bienvenida, sobre todo si es tan transparente para el usuario.
Una de las ideas mas estúpidas que he visto para combatir el phising.
Como bien dices cuando metes el usuario y el pin no se muestra el dni y si no lo ves que mas da, ya te lo han robado. Maravillosa la técnica.
Además permite a los «ladrones» ver todos los datos, incluida la cara, de la persona a la que han robado los datos de acceso.
Dudo mucho que sea legal mostrar el dni de forma proactiva, sin preguntar a los usuarios. Primero lo muestran y si no te gusta ya lo quitarás.
Muchos phising lo que hacen es robar los datos y validarse en la página del banco de forma transparente con lo que el dni se mostrará aunque te hallan robado usuario y contraseña.
Demuestran un gran desconocimiento del medio y una gran sensación de inseguridad como cliente.
Saludos.
Parece un poco soberbio el tachar la iniciativa de estupidez señor Fernandez, por favor seamos educados.
Esto es una inciativa que no va a impedir el robo de las claves de acceso, pero si el que no sigan adelante solicitando mas datos, si Caja Duero utiliza tarjeta de claves, aunque el pirata se apodere de las claves de acceso, no podrá hacer absolutamente nada con ellas salvo ver las cuentas, es por tanto una medida útil y práctica.
En fin, por lo menos Caja Duero hace algo, bastante mas que la mayor parte de las entidades Españolas que están tocando el violón en temas de seguridad pues piensan que solo con perseguir a los hackers es suficiente y no se preocupan de añadir elementos de seguridad a sus sistemas financieros.
Quizás la palabra «estupidez» esté fuera de tono, pero me sigue pareciendo una idea no muy afortunada.
Además del robo de claves van a tener información de quien es y hasta de la cara asociada a esa cuenta. Me parece mas una medida orientada a dar «sensación» de seguridad que a la seguridad en si misma.
Cualquier iniciativa es buena, siempre y cuando ayude a combatir este problema, pero lo del dni no me parece que sea algo que aporte soluciones.
Imagínese que uno de los «malos» consigue la imagen de su dni, podría utilizarla para una falsificación y así poder abrir cuentas en otras entidades o intentar sacar dinero o contratar productos por ud. Nuestro DNI es algo que debemos de cuidar.
Las tarjetas de claves es, después de los tokens, una de las medidas más seguras contra el phishing ya que sin las tarjetas físicas no se puede hacer nada, eso no lo he criticado.
Respecto a que puedan ver las cuentas me parece bastante peligroso y le pongo un ejemplo.
Imagínese que alguien tiene acceso a sus cuentas a través de una banca electrónica, esto incluye pode r ver números y movimientos de sus cuentas y número de tarjetas. Podrían abrir una cuenta en paypal y solicitar transferir fondos desde su cuenta, para ello paypal lo que hace es enviar un pequeño abono (o cargo, no lo recuerdo) a la cuenta indicada con un concepto que es un código para verificar que soy el propietario de la cuenta.
Como los «malos» tendrían acceso a los movimientos de la cuenta podrían ver ese movimiento y activar la cuenta en paypal y así poder dar la orden para que paypal solicite fondos a esa cuenta (traducido en pasar un recibo).
Y como este muchos otros problemas por «sólo» ver la cuenta.
Saludos.
Lo que se está haciendo en banco de Estados Unidos, que a mí particularmente me parece mejor, es mostrar una imagen personalizada, imagen que el usuario selecciona previamente, por ejemplo le dan a elegir entre un cuadradito, un circulo, etc,
Elegir el DNI tiene los problemas que comentas, aunque desgraciadamente sea un dato que se ha prostituido mucho porque la administración se empeña en divulgarlo a los cuatro vientos sin ningún reparo, solo hay que ver la lista de calificaciones de cualquier universidad española.
Que los datos de un cliente se vean no cabe duda de que es malo, malísimo, yo no veo el problema que indicas puesto que la operación de Paypal se puede retroceder fácilmente, puesto que lo que hacen al final de todo es un cargo en cuenta y éste tiene un plazo largo para rechazarse ( como nota curiosa lo que hacen es dos abonos), pero el que alguien pueda entrometerse de esa forma en la vida privada de otro es nefasto, y pone a las entidades financieras a tiro de la Agencia de Protección de Datos.
Lo que andamos todos buscando es la piedra filosofal, el santo grial que impida al hacker meterse en las cuentas, pero eso simplemente no existe, la realidad es que esto es como cuando dejamos el coche en la calle, si ponemos un garrote en el volante el chorizo se irá al vehículo de al lado que no lo tiene, lo único que se nos ocurre a todos es ir poniendo mas y mas medidas de seguridad, o bien darle un acceso VPN a cada cliente, e identificarlo con un token físico tipo CISCO, pero eso es absolutamente inviable.
A donde voy a parar es que hay que hacer cosas, no basta con desacreditar lo que están haciendo lotros sino que hay que ser positivos y proponer soluciones.