LANeros previniendo la inseguridad

Uzulo dijo:
Me acaba de llegar este mensaje. La fecha está re mal. Lo que me sorprende es que puedan enviar estos mensajes desde los mismos números que bancos u otras empresas usan para enviar información vía sms.
Haz clic para expandir...
Pueden hacer spoofing y en US es un gran problema todo gracias al hueco (sistemas, legal, etc...) por todo lado que dejaron las empresas de telecomunicaciones y la inoperancia del gobierno gracias a los lobbies de estas ya que saben que les toca meterse la mano al dril pero por ahora sale más barato tapar y aguantar que ser responsables con sus clientes.
 
  • Me gusta
Reacciones: Villavo123, juanitapregunta, JohnDM y 2 más
Uzulo dijo:
Me acaba de llegar este mensaje. La fecha está re mal. Lo que me sorprende es que puedan enviar estos mensajes desde los mismos números que bancos u otras empresas usan para enviar información vía sms.
Haz clic para expandir...
Por eso es que es una pesima idea tener el celular vinculado a entidades como los bancos, para las comunicaciones y procesos via SMS ( Que es un protocolo quedadisimo en cuanto a seguridad )

En estos dias me toco ayudar a alguien con Bancolombia, para poder hacer que todo funcione con el correo y hay que hacer muchas maromas (De hecho tienen un Bug que no saben que lo tienen ) , les dejo el paso a paso por si a alguien le sirve, ya que se que es uno de los bancos mas usados del pais:

1. Por defecto la clave dinamica el sistema las genera via App , obligando a la persona a tener que instalar la app . Lo cual desde el punto se vista de seguridad es medio pailas porque la propia app que esta autenticandose genera el 2do paso.

Aparte los ladrones que se toman 40 seg adicionales en el robo , piden contraseña del cel y clave del banco , y pos ya con eso tienen la clave dinamica.

Y sumandole que una clave de banco es solo de 4 numeros.

2. Para que la clave dinamica se envie por correo , toca ir a una oficina , de entrada les van decir que no, que no es posible, que ya si o si se genera por la app via softoken, entonces simplemente se les dice que en la linea telefonica les dieron la instruccion que si se puede por oficina.

3. Aunque en la plataforma que manejan ellos esta la opcion de elegir a donde llega la clave dinamica (Al mail o via SMS) , asi elijan Mail, llega por SMS y al mail solo llegan las notificaciones.

Despues de mucho intentar con soporte, y varios funcionarios , todos decian que estaba bien que deberia llegar al correo pero que no entendian porque llegaba por SMS. Se me ocurrio decirles que borraran el telefono (Suponiendo que el que programo la cosa, se le fue el detalle que si encontraba los 2 medios, tomara predeterminadamente el SMS , asi se le indicara Mail) y con eso funciono .

Nota: Obviamente para darle seguridad a la cosa, el correo debe ser un correo decente con password minimo de 20 caracters, y todas las otras capas de seguridad que ofrezca.
Idealmente que ese mail no este agregado al cel , y de estarlo que la app cliente este protegida.
 
  • Me gusta
Reacciones: Villavo123
juanitapregunta dijo:
Por eso es que es una pesima idea tener el celular vinculado a entidades como los bancos, para las comunicaciones y procesos via SMS ( Que es un protocolo quedadisimo en cuanto a seguridad )

En estos dias me toco ayudar a alguien con Bancolombia, para poder hacer que todo funcione con el correo y hay que hacer muchas maromas (De hecho tienen un Bug que no saben que lo tienen ) , les dejo el paso a paso por si a alguien le sirve, ya que se que es uno de los bancos mas usados del pais:

1. Por defecto la clave dinamica el sistema las genera via App , obligando a la persona a tener que instalar la app . Lo cual desde el punto se vista de seguridad es medio pailas porque la propia app que esta autenticandose genera el 2do paso.

Aparte los ladrones que se toman 40 seg adicionales en el robo , piden contraseña del cel y clave del banco , y pos ya con eso tienen la clave dinamica.

Y sumandole que una clave de banco es solo de 4 numeros.

2. Para que la clave dinamica se envie por correo , toca ir a una oficina , de entrada les van decir que no, que no es posible, que ya si o si se genera por la app via softoken, entonces simplemente se les dice que en la linea telefonica les dieron la instruccion que si se puede por oficina.

3. Aunque en la plataforma que manejan ellos esta la opcion de elegir a donde llega la clave dinamica (Al mail o via SMS) , asi elijan Mail, llega por SMS y al mail solo llegan las notificaciones.

Despues de mucho intentar con soporte, y varios funcionarios , todos decian que estaba bien que deberia llegar al correo pero que no entendian porque llegaba por SMS. Se me ocurrio decirles que borraran el telefono (Suponiendo que el que programo la cosa, se le fue el detalle que si encontraba los 2 medios, tomara predeterminadamente el SMS , asi se le indicara Mail) y con eso funciono .

Nota: Obviamente para darle seguridad a la cosa, el correo debe ser un correo decente con password minimo de 20 caracters, y todas las otras capas de seguridad que ofrezca.
Idealmente que ese mail no este agregado al cel , y de estarlo que la app cliente este protegida.
Haz clic para expandir...
¿Sabes como proteger con una segunda clave el correo de gmail, porque en el celular abre sin ningún tipo de proteccion?
 
juanitapregunta dijo:
Por eso es que es una pesima idea tener el celular vinculado a entidades como los bancos, para las comunicaciones y procesos via SMS ( Que es un protocolo quedadisimo en cuanto a seguridad )

En estos dias me toco ayudar a alguien con Bancolombia, para poder hacer que todo funcione con el correo y hay que hacer muchas maromas (De hecho tienen un Bug que no saben que lo tienen ) , les dejo el paso a paso por si a alguien le sirve, ya que se que es uno de los bancos mas usados del pais:

1. Por defecto la clave dinamica el sistema las genera via App , obligando a la persona a tener que instalar la app . Lo cual desde el punto se vista de seguridad es medio pailas porque la propia app que esta autenticandose genera el 2do paso.

Aparte los ladrones que se toman 40 seg adicionales en el robo , piden contraseña del cel y clave del banco , y pos ya con eso tienen la clave dinamica.

Y sumandole que una clave de banco es solo de 4 numeros.

2. Para que la clave dinamica se envie por correo , toca ir a una oficina , de entrada les van decir que no, que no es posible, que ya si o si se genera por la app via softoken, entonces simplemente se les dice que en la linea telefonica les dieron la instruccion que si se puede por oficina.

3. Aunque en la plataforma que manejan ellos esta la opcion de elegir a donde llega la clave dinamica (Al mail o via SMS) , asi elijan Mail, llega por SMS y al mail solo llegan las notificaciones.

Despues de mucho intentar con soporte, y varios funcionarios , todos decian que estaba bien que deberia llegar al correo pero que no entendian porque llegaba por SMS. Se me ocurrio decirles que borraran el telefono (Suponiendo que el que programo la cosa, se le fue el detalle que si encontraba los 2 medios, tomara predeterminadamente el SMS , asi se le indicara Mail) y con eso funciono .

Nota: Obviamente para darle seguridad a la cosa, el correo debe ser un correo decente con password minimo de 20 caracters, y todas las otras capas de seguridad que ofrezca.
Idealmente que ese mail no este agregado al cel , y de estarlo que la app cliente este protegida.
Haz clic para expandir...
Quien tiene una contraseña de 20 dígitos en el correo? Eso ya me parece una medida algo exgerada, mejor se desconecta de la red y guarda los ahorros en una caja fuerte en la casa.
 
SENNHEISER dijo:
¿Sabes como proteger con una segunda clave el correo de gmail, porque en el celular abre sin ningún tipo de proteccion?
Haz clic para expandir...
No se , el servicio de correod de Google siempre me ha parecido que le falta amor, y no lo he usado.

Pero creeria que si lo asocias a Google authenticator , en la app de Android debe haber alguna opcion para que la pida . O si no siempre esta la opcion de agregarle una clave extra para abrir la app de gmail via MIUI o apps de 3eros.

DSV dijo:
Quien tiene una contraseña de 20 dígitos en el correo? Eso ya me parece una medida algo exgerada,
Haz clic para expandir...
Pos parecen mucho pero no es tanto (Con 2 palabras ya vas como por 15 ) , la mayoria de gente del mundo IT que conozco usa password largos ; como sea cualquiera que uses va a ser mejor que la clave numerica de 4 digtos del banco .
 
Última edición:
  • Me gusta
Reacciones: Villavo123
Otolap dijo:
Es mas seguro (y fácil) usar una frase mezclada con números y caracteres especiales, el tener su clave en un block de notas es un definitivamente un "no, no" como aque que usa un post it y lo pega al monitor/Pc.
Haz clic para expandir...

yo me la sé de memoria, pero es palabra fácil con símbolos en ciertas letras, por ejemplo cambio la I por un 1, la S por un $ la U por V o cosas así, luego un arroba por ahí en un lado.
 
  • Me gusta
Reacciones: Villavo123, juanitapregunta, Elpilletas y 1 persona más
DSV dijo:
Quien tiene una contraseña de 20 dígitos en el correo? Eso ya me parece una medida algo exgerada, mejor se desconecta de la red y guarda los ahorros en una caja fuerte en la casa.
Haz clic para expandir...
a2s_714 dijo:
Yo. levanto la mano. Pero no la se, la tengo en un block de nota. La tengo en el PC, copio y pego donde la necesite.
Haz clic para expandir...
Una buena opción es con un manejador de contraseñas como keepass:
https://keepass.info/
- Se crea una base de datos que mantiene actualizada con las contraseñas que usa.
- La BD encriptada está a su vez protegida por contraseña, que sería la única que en realidad se debe saber de memoria.
- Puede dejar la BD en su onedrive para accederla desde varios dispositivos (cel, pc)
- En el cel puede proteger la app nativamente con huella.
- Tanto en el cel como en el pc puede integrarlo a navegadores (uso un plugin llamado kee), para que al intentar ingresar a alguna web p.e. gmail, le de la opción de autocompletar tanto usuario como pass consultando la BD, así pude tener contraseñas largas y variadas sin necesidad de memorizarlas:
1670942290161.png

- O si no con el típico copiar/pegar con la diferencia que no las tiene en un block de notas en texto plano.
 
  • Me gusta
Reacciones: AnBoCa, SENNHEISER, leonardosan y 2 más
The Music dijo:
yo me la sé de memoria, pero es palabra fácil con símbolos en ciertas letras, por ejemplo cambio la I por un 1, la S por un $ la U por V o cosas así, luego un arroba por ahí en un lado.
Haz clic para expandir...

Ahh nunca pasa de moda el caballo y la grapa. Lástima que la tendencia ahora es obligar a poner números, símbolos, etc... todo al revés.


password_strength.png
 
  • Me gusta
Reacciones: AnBoCa y The Music
kawaii dijo:
Ahh nunca pasa de moda el caballo y la grapa. Lástima que la tendencia ahora es obligar a poner números, símbolos, etc... todo al revés.


Ver el archivos adjunto 538484
Haz clic para expandir...
Como asi no entiendo como les da 2 a la 44?
Yo culpo a las universidades que enseñaron eso de las letras y mayusculas asi se fue adoptando desde principios de la decada de los 10's
Y no confio en paginas como keepass, siempre pienso que tienen algún riesgo de leak.
 
  • Me gusta
Reacciones: AnBoCa y Villavo123
juanitapregunta dijo:
Por eso es que es una pesima idea tener el celular vinculado a entidades como los bancos, para las comunicaciones y procesos via SMS ( Que es un protocolo quedadisimo en cuanto a seguridad )

En estos dias me toco ayudar a alguien con Bancolombia, para poder hacer que todo funcione con el correo y hay que hacer muchas maromas (De hecho tienen un Bug que no saben que lo tienen ) , les dejo el paso a paso por si a alguien le sirve, ya que se que es uno de los bancos mas usados del pais:

1. Por defecto la clave dinamica el sistema las genera via App , obligando a la persona a tener que instalar la app . Lo cual desde el punto se vista de seguridad es medio pailas porque la propia app que esta autenticandose genera el 2do paso.

Aparte los ladrones que se toman 40 seg adicionales en el robo , piden contraseña del cel y clave del banco , y pos ya con eso tienen la clave dinamica.

Y sumandole que una clave de banco es solo de 4 numeros.

2. Para que la clave dinamica se envie por correo , toca ir a una oficina , de entrada les van decir que no, que no es posible, que ya si o si se genera por la app via softoken, entonces simplemente se les dice que en la linea telefonica les dieron la instruccion que si se puede por oficina.

3. Aunque en la plataforma que manejan ellos esta la opcion de elegir a donde llega la clave dinamica (Al mail o via SMS) , asi elijan Mail, llega por SMS y al mail solo llegan las notificaciones.

Despues de mucho intentar con soporte, y varios funcionarios , todos decian que estaba bien que deberia llegar al correo pero que no entendian porque llegaba por SMS. Se me ocurrio decirles que borraran el telefono (Suponiendo que el que programo la cosa, se le fue el detalle que si encontraba los 2 medios, tomara predeterminadamente el SMS , asi se le indicara Mail) y con eso funciono .

Nota: Obviamente para darle seguridad a la cosa, el correo debe ser un correo decente con password minimo de 20 caracters, y todas las otras capas de seguridad que ofrezca.
Idealmente que ese mail no este agregado al cel , y de estarlo que la app cliente este protegida.
Haz clic para expandir...
Yo no entiendo nada de este mensaje...

La clave dinámica se genera unica y exclusivamente en el celular donde se instala la app. Desde un SMS así se pida la clave del cel y la del banco no van a poder tener la clave dinámica si no tienen el celular físico.

"Y sumandole que una clave de banco es solo de 4 numeros" -> Pero eso es solo el pin...
Para iniciar sesión en cualquier lado para hacer transacciones (la app o la web) se pide un nombre de usuario (que puede ser largo) y una contraseña (que puede ser larga)

Conociendo solo el pin no puede hacer tampoco mucho, porque necesitaría de la tarjeta física no?

O en que parte me perdí? :X3: :unsure:
 
Cacharrin dijo:
Yo no entiendo nada de este mensaje...

La clave dinámica se genera unica y exclusivamente en el celular donde se instala la app. Desde un SMS así se pida la clave del cel y la del banco no van a poder tener la clave dinámica si no tienen el celular físico.

"Y sumandole que una clave de banco es solo de 4 numeros" -> Pero eso es solo el pin...
Para iniciar sesión en cualquier lado para hacer transacciones (la app o la web) se pide un nombre de usuario (que puede ser largo) y una contraseña (que puede ser larga)

Conociendo solo el pin no puede hacer tampoco mucho, porque necesitaría de la tarjeta física no?

O en que parte me perdí? :X3: :unsure:
Haz clic para expandir...
En el caso de bancolombia si se llevan el celular tienen acceso a la clave dinámica que solo requiere abrir la app y listo, también con Bancolombia o nequi para acceder a la cuenta es solo conocer el usuario y pin, si tiene rappicard solo es acceder a la app e ingresar el pin.

En mi caso tengo las apps de bancos y que son para compras protegidas con huella/contraseña, he ido cambiando las contraseñas de correos y demás por contraseñas generadas desde el navegador que son seguras y para ingresar a estas se pide la huella/contraseña.
 
  • Me gusta
Reacciones: juanitapregunta
@The Music dijo: yo me la sé de memoria, pero es palabra fácil con símbolos en ciertas letras, por ejemplo cambio la I por un 1, la S por un $ la U por V o cosas así, luego un arroba por ahí en un lado.
Haz clic para expandir...

La mia es el siguientre prefijo y al final con la plataforma donde estoy logueandome (Con la primera letra en mayuscula) :

estoiautentikandomeen_______________

Asi la de Laneros queda con 28 caracteres , con el plus de que varia para cada plataforma (resolviendo el problema de usar la misma), una mayuscula y nunca se me olvida .

Post: Notese que hay 2 errores de ortografia adrede, conviertiendolas en palabras que no existen para mas sabor
 
DSV dijo:
En el caso de bancolombia si se llevan el celular tienen acceso a la clave dinámica que solo requiere abrir la app y listo, también con Bancolombia o nequi para acceder a la cuenta es solo conocer el usuario y pin, si tiene rappicard solo es acceder a la app e ingresar el pin.

En mi caso tengo las apps de bancos y que son para compras protegidas con huella/contraseña, he ido cambiando las contraseñas de correos y demás por contraseñas generadas desde el navegador que son seguras y para ingresar a estas se pide la huella/contraseña.
Haz clic para expandir...
Ahi fue donde me perdí... estabamos hablando de un mensaje de texto que le llegó a un Lanero... y terminamos en que los ladrones ya se nos llevaron el celular...
Jajajajaja.

gracias por la aclaración ;)
 
Cacharrin dijo:
Ahi fue donde me perdí... estabamos hablando de un mensaje de texto que le llegó a un Lanero... y terminamos en que los ladrones ya se nos llevaron el celular...
Jajajajaja.

gracias por la aclaración ;)
Haz clic para expandir...
Si por eso Cacha , se estaba hablando sobre lo inseguros que son los SMS y lo facil que es romper su "seguridad" (El problema es que cuando surgio jamas fue pensada para uso seguro, y eso nunca se soluciono)

En el post original a la persona le llego un SMS desde el banco (Suplantando, pero desde los ojos del usuarios desde el banco) , por lo que muy probablemente la persona tenia habilitado en la plataforma del banco los SMS como medio de contacto para los procesos del banco .


Ya con lo anterior es repailas, ahora sumale que la clave dinamica te llega por SMS o por app , y los neoladrones en los atracos te piden cel desbloqueado y clave de la app del banco antes de irse (Y eso si no hace loggin automatico), con lo que ya tienen la clave dinamica (Porque por defecto te llega a ese misma App o en mejor de los casos via SMS a ese mismo cel ) .

Aparte del ladron offline, la cosa es que online suplantar, interceptar, clonar, un SMS es mas facil que un mail .
 
  • Me gusta
Reacciones: Cacharrin
La mayoría de celulares "nuevos" incluyen una "bóveda" en el sistema por lo que si desea mayor seguridad puede mover todas esas apps a la bóveda y así el ladrón le robe el celular y encima le pida la clave lo mas seguro es que no se detenga a revisar si tiene acceso a dichas apps y menos si estas se encuentran dentro de una bóveda, lo que es mas puede crear accesos directos dummies para mayor realismo al paquetico.
 
  • Me gusta
Reacciones: juanitapregunta

Los últimos mensajes

Los últimos temas

Arriba Pie
Atrás