Que tan seguro es usar la app de Bancolombia?

sella

Lanero Reconocido
18 Jun 2013
1,172
Hola amigos, siempre me estoy preguntando que tan seguro es usar la app de bancolombia, para estar viendo los movimientos bancarios, en mi caso uso el Samsung A20,,, hace unos meses vi en un noticiero que la app de bancolombia tenia problemas de robos, alguien sabe un poco del tema? :confused:
 
  • LOL
Reacciones: Lavre
Naaah... cero inconvenientes, pero claro, hay que tomar precauciones. La seguridad financiera depende en su mayoría del uso del sentido común. La APP tiene la posibilidad de de hacer uso de biometría para mejorar la seguridad.
 
Puedes usar la aplicación sin ningún problema, ya que para hacer operaciones y transacciones de requiere de una clave diferente, esta es denominada Clave Dinámica; esta misma es generada por el cliente antes de hacer cualquier transacción.
 
  • Me gusta
Reacciones: filp
Gracias muchachos,. hoy en dia uso galaxy A50, me da la posibilidad de poner huella digital,,, pero pss yo sigio usando contraseña + clave dinamica jejej , y ademas nequi que me libra de cobros por retiros jeje
 
¿Alguno ha querido cambiar el nombre de usuario para la sucursal pers0nas?
¿Se lo han permitido?

Luego que ingresan su usuario les muestra de una la tal imagen y frase de seguridad, y entonces ¿solo les pide la cl@v3 del k4jer0? (el nombre ha sido ligeramente cambiado...).
Así es en la versión web. Se me hace como tan carente de lo básico en seguridad.
 
¿Alguno ha querido cambiar el nombre de usuario para la sucursal pers0nas?
¿Se lo han permitido?

Luego que ingresan su usuario les muestra de una la tal imagen y frase de seguridad, y entonces ¿solo les pide la cl@v3 del k4jer0? (el nombre ha sido ligeramente cambiado...).
Así es en la versión web. Se me hace como tan carente de lo básico en seguridad.

Pues me imagino que no hacen nada por que practicamente para todo se necesita la segunda clave.
 
Con el respeto de todos los compañeros, pero responder que una app es seguro porqué en "2 años no he tenido problemas" o por qué "permite usar clave dinámica" ó biometría no me parece del todo técnico.

Me parece que sería mejor pensar si:

-¿cómo hace sus comunicaciones la app?
-¿qué información guarda en el dispositivo?
-¿en qué formato guarda esta información?
-¿cuando la app se conecta a la plataforma del banco, hay un chequeo de integridad de archivos que le permita comprobar a Bancolombia que la app no fue modificada por Malware en el equipo del usuario?
-¿los token que usa la app para conectarse tienen vencimiento programado? ¿se borran al cerrarse la app? ¿se comprueban logueos cruzados?
-¿se tienen los mismos principios de seguridad que en los ATM? que por paso hay que decir que es bien malita, por ejemplo los PIN en muchos cajeros todavía no se encriptan por hardware.

Esto es lo básico, en seguridad habría muchos más elementos qué observar ¿tenemos respuestas a estas preguntas?

Luego que ingresan su usuario les muestra de una la tal imagen y frase de seguridad, y entonces ¿solo les pide la cl@v3 del k4jer0? (el nombre ha sido ligeramente cambiado...).
Así es en la versión web. Se me hace como tan carente de lo básico en seguridad.

Amigo Turson, por el contrario, hacer una validación de hotlinking es una manera muy sencilla y practica de eliminar el phishing. Esta imagen que le aparece a cada usuario no puede ser reproducida por fuera del dominio del banco, con tan sólo que los usuarios de Bancolombia se fijaran si su pagina de logueo tiene o no está imagen sencillamente acabarían con el phishing que sale todos los días para ellos, pero pues la gente como que no ha entendido esa tecnología.
 
Hola @nomadmzl.
Está bien. Pero no se cómo está el asunto actual del acceso a la sucursal virtual desde un PC no común al que usas.
El caso, si por ejemplo tu usuario es el nombre común (le ocurre a una amiga), entonces al teclearlo ya te aparece la imagen. Supongo le pueden hacer un pantallazo y copiarla. Bueno, ya lo demás es que adivinen la corta clave. Hilando un poco delgado.

Algo de mencionar, es que usando la opción de Ingresar una nueva clave, link que está debajo del espacio donde ingresar la clave. Al hacer este proceso, bloquea el acceso a la cuenta.
Si he de anotar que estuve usando vpn.
¿Saben que otros cambios en datos personales ej: tel, mail bloqueen la cuenta?
 
Última edición:
0 problemas, pero si no cambias claves y no tienes bien mantenido y la seguridad del celular con las ultimas actualizaciones no vayas a ser inocente que asi no te pase nada.
 
Hola @nomadmzl.
Está bien. Pero no se cómo está el asunto actual del acceso a la sucursal virtual desde un PC no común al que usas.
El caso, si por ejemplo tu usuario es el nombre común (le ocurre a una amiga), entonces al teclearlo ya te aparece la imagen. Supongo le pueden hacer un pantallazo y copiarla. Bueno, ya lo demás es que adivinen la corta clave. Hilando un poco delgado.

Algo de mencionar, es que usando la opción de Ingresar una nueva clave, link que está debajo del espacio donde ingresar la clave. Al hacer este proceso, bloquea el acceso a la cuenta.
Si he de anotar que estuve usando vpn.
¿Saben que otros cambios en datos personales ej: tel, mail bloqueen la cuenta?


Tur no hay tal cosa como nombre comun ; el usuario define 3 cosas :

Nombre de usuario de la cuenta
Palabra personalziada de la Cuenta
Imagen personalizada de la cuenta


La idea es que el usuario evidencie que esas 3 cosas son correctas antes de atraverse a ingresar la clave, y asi se estaria evitando un pishing standard . Ya si alguien te hace un pishing personalizado es otro asunto, aunque ya en esa instancia te habrian violado por otro lado mas facil.


Tengo entendido que la clave principal solo permite cambiarse desde oficina fisica .

Ya como conscejo general , casi siempre usar un medio remoto via internet va a tener mas riesgos que hacer las movimientos de forma analoga en oficina .
 
Última edición:
  • Me gusta
Reacciones: Turson
@juanitapregunta
Exacto, tan solo pensaría, que "el nombre de usuario" no debiera ser tan obvio.
Además que al ingresarlo, ya aparecen los otros dos items que mencionas.

Ah ya te entendi, lo que dices es que el sistema no deberia permitir que el nombre de usuario elegido por el usuario sea facil ? para asi evitar exponer lo otro a alguien que este recolectando info para pishings personalizados ?

Humm habria que resivar cuales son los requisitos minimos para la creacion del nombre de usuario, si exigen que tenga numeros , mayus/minus , caracteres especiales etcc .
 
  • Me gusta
Reacciones: Turson
Hola @nomadmzl.
Está bien. Pero no se cómo está el asunto actual del acceso a la sucursal virtual desde un PC no común al que usas.
El caso, si por ejemplo tu usuario es el nombre común (le ocurre a una amiga), entonces al teclearlo ya te aparece la imagen. Supongo le pueden hacer un pantallazo y copiarla. Bueno, ya lo demás es que adivinen la corta clave. Hilando un poco delgado.

Algo de mencionar, es que usando la opción de Ingresar una nueva clave, link que está debajo del espacio donde ingresar la clave. Al hacer este proceso, bloquea el acceso a la cuenta.
Si he de anotar que estuve usando vpn.
¿Saben que otros cambios en datos personales ej: tel, mail bloqueen la cuenta?

Pues hombre, en lo personal evito usar equipos que no están "bajo mi control" para introducir cualquier cosa que necesite usuario y clave personal, ni Facebook, ni instagram, mucho menos los datos de la cuenta del banco.

He conocido la interfaz de otros bancos fuera de Colombia y le puedo decir que lo que tiene Bancolombia es supremamente bueno, de verdad, por encima de bancos americanos o europeos (creo que depronto se "da palo" con el BBVA, eso de la tarjeta de coordenadas me parece genial).

Ahora, tenga en cuenta que así alguien malintencionado lograra entrar a la cuenta todavía necesitaría la clave dinámica (o token personal) para hacer cualquier movimiento de dinero, inclusive para paga una factura. Los únicos movimientos que se pueden hacer sin clave dinámica en la sucursal de Bancolombia es el pago de las tarjetas de crédito propias del mismo banco, eso no le va a interesar a un ladrón... a menos que sea un maniático.

Usar una VPN ayuda en algo a la seguridad, pero sólo estaría protegiendo la capa de comunicaciones de esa transacción bancaria, todavía queda mirar cómo está la seguridad fisica de su computador (un keyloger físico conectado entre el cable del teclado y la CPU, hablando de un equipo de escritorio) o un keylogger de software instalado en su SO, o el uso de un kit como BEEF a nivel de su navegador de internet, hay infinidad de posibilidades...

Previendo este tipo de cosas es que bancos como Davivienda han implementado esto: https://seguridad.davivienda.com/

Este software DSB es basicamente un sandbox que lo protege de lo que mencioné anteriormente y este banco lo proporciona de manera gratuita a sus usuarios. No obstante, como siempre en software no hay aplicación 100% segura por lo que lo mejor es como usuario aplicar buenas prácticas informáticas de toooooda la vida: no instalar software de fuentes dudosas, tener un antivirus y en general el software actualizado, usar el equipo siempre desde cuentas restringidas nunca como administrador, tener cuidado a qué se le da clic...
 
Última edición:
Yo me centraría en saber cómo maneja Bancolombia los paquetes de datos por la red o como los encripta ya que si capturan estos por medio de la red local ya tienen acceso a la información bancaria de la víctima
Suponiendo que saben desencriptar los datos claro está.
 

Los últimos temas