"WinZip más seguro que SMIME"

 

 

Enviado por jonsito el 27 Mayo 2010 - 8:34am

Por Jonsito

(Suena el móvil) Ring ring

- ¿Digamé?
- Buenas tardes. ¿Hablo con Don Jonsito Menganez?
- Si.
- Buenas tardes. Soy (ruido blanco). Le llamo de la central de tarjetas de XXXX para comentarle que conforme a la ley necesitamos que nos envíe fotocopia firmada del DNI en el plazo más breve posible. De lo contrario su tarjeta será anulada.
- No puede ser: recibí la notificación por correo hace seis meses y ya les envie la respuesta en el sobre que me adjuntaban...
- Pues aquí no nos consta. Necesitamos que nos envíe las fotocopias, bien por fax al número xxxxx
o bien al apartado de correos xxxx
- Bueno, lo volveré a hacer, aunque me consta que ya les envie los datos hace seis meses.

Como uno es un pelín paranoico, lo primero que hago es llamar al centro de tarjetas oficial... un 902, como no podía ser menos. Despues de tres o cuatro minutos de hacer el tonto pulsando teclas como respuesta a las instrucciones de un ordenador, consigo que me pasen a un comercial...

- Buenas tardes ¿en que puedo ayudarle?
- Buenas tardes, mire, me acaba de llamar alguien que dice hablar en nombre del banco para pedirme que envie determinada documentación, que me consta que ya se la he enviado hace seis meses.
- Un momentito, que comprobamos. ¿Me dice el número de su tarjeta? y la primera y última cifra de su código de acceso.
- Si: xxx
(silencio...)
- Correcto, señor Mengánez. Mire, aquí no nos consta haber recibido dicha documentación. Si: es correcto, nos la tiene que enviar. Le doy un número de fax y un apartado postal.

(me da un numero y un apartado totalmente distintos a los de la primera llamada, con lo que me pongo un pelín mosca)

- Oiga, que estos no son los números que me ha dado su compañero.
- Es que le han dado los de Madrid, y los que le doy yo son los de la central en Barcelona
( ¿estoy oyendo comisiones por teleoperacion? )
- No lo tengo claro... vamos a ver, ¿no hay algún otro método, ir a una oficina, o por internet?
- Si claro, lo puede hacer por internet: tiene que coger una copia escaneada por las dos caras del DNI, y comprimirla con winzip versión 7 o superior, encriptarla con una contraseña de no menos de 3 letras y tres numeros, y enviarla por correo a xxx@tarjetas.banco.com. En un correo aparte debe enviarnos la contraseña para poder abrir el fichero

(Silencio incrédulo. respiro despacio y cuento hasta 3)

- ¿Está diciendome en serio que tengo que mandar dos correos electrónicos, y uno de ellos con una contraseña en claro?. ¿No soporta su banco envío de comunicaciones seguras mediante firma y encriptación electrónica?
- No, porque el winzip es mas seguro y fiable

(Me quedo mudo de asombro. Mi amable interlocutor aprovecha el silencio para contraatacar)

- Señor Mengánez. Aprovechando la llamada voy a confirmar los datos. Me dice su número de teléfono
(Pero si me acabáis de llamar, so mamón, ya lo tenéis y sabéis que es correcto)
- Fijo no tengo. El movil es 6xxx
- Correcto. ¿ me puede confirmar el PIN y el Código de verificación de la tarjeta ?

(Blanco, pálido)
- Mire, antes me ha preguntado dos cifras del pin, y el CVV desde luego que no se lo doy por teléfono. Vamos a hacer una cosa: mañana me paso por una sucursal y hago en mano los trámites. Gracias por la atención.
- A usted Don Jonsito. Por cierto, conoce usted nuestro servicio de seguro contra robo de tarjetas y PIN. le cubre hasta xxxx mil euros y es gratuíto, y tal y tal...
- Lo conozco gracias, ya tengo otras coberturas que cubren dicho evento. Un saludo
- A usted. Por favor, al finalizar la llamada le aparecerá un pequeño cuestionario electrónico sobre la atención recibida...

Esta historia es real. Me ocurrió ayer por la tarde, y todavía estoy que no me lo puedo "de creer".

Aún estoy dudando de si cuando vaya al banco voy a dar los datos o voy a cancelar la Visa.

Lo cachondo de todo es que ninguno de los dos operadores con los que hablé sabe que en la web del banco ya existe un formulario estandar, con https y todos los parabienes para poder realizar dicha gestión.

Tiemblo al pensar en manos de quien ponemos nuestro dinero.

Comentarios

Selecciona arriba tu forma preferida de visualizar los comentarios y pulsa el botón para guardar tu elección para próximas visitas (sólo si eres usuario registrado).
Berberetxo's picture

curiosamente ayer también...

Enviado por Berberetxo el 27 Mayo 2010 - 9:57am.

...en el banco me piden el DNI y la firma porque las van a digitalizar. En el papelajo que me dan explican, de manera muy técnica y batiburríllica, que es una medida para luchar contra el blanqueo de dinero (¿?), el fraude bancario y unas cuantas cosas más. Yo firmando como un pasmarote y pensando en la pobre mujer que me atendía y qué explicaciones me daría cuando dentro de meses o años haya un fallo de seguridad y un desaprensivo tenga las firmas de miles de personas...

naw's picture

Tendrían acceso al PIN?

Enviado por naw el 27 Mayo 2010 - 10:34am.

- Correcto. ¿ me puede confirmar el PIN y el Código de verificación de la tarjeta ?

¿Quiere decir eso que el operador estaba viendo en la pantalla el PIN y el Código de verificación? Supondré que el operador simplemente tenia la posibilidad de introducir el PIN y el Código en el sistema para que el sistema verificase que era válido.

De todas formas, no sé que sentido puede tener verificarlos. Si alguien los ha cambiado sin tu conocimiento, no tardarías mucho en darte cuenta.

Respecto a lo de WinZip, supongo que sea el sistema de cifrado de archivos más accesible a la gente de a pie. El problema es que solo es cifrado, no proporciona ni autenticación (aunque la fotocopia del DNI firmada se supone que la proporcionaría) ni un modo seguro para transmitir la contraseña de cifrado.

S/MIME, por no hablar de OpenPGP, está demasiado alejado del usuario de a pie; aunque si ofrecen la posibilidad de hacer las cosas por email, es lo que deberían usar.

Por otro lado, ¿hasta que punto es fiable un escaneado de una fotocopia firmada del DNI? No creo que fuera muy difícil retocar una imagen de un DNI para hacer constar datos falsos, así que no sé que necesidad tendrían de ello. Y siendo este el documento que tiene que proporcionar la autenticación... porque en el enlace no pide ni usuario ni contraseña, ni permite usar DNI electrónico o certificado de la FNMT (o de otra CA); en el correo electrónico que proponen tampoco dan ningún sistema fiable de autenticación; en el caso del correo físico supongo que se vería que has firmado físicamente la fotocopia y serviría de verificación, aunque quizás aceptasen una fotocopia de una fotocopia firmada del DNI, y en este caso sería susceptible de haber sido manipulada; y con el fax me imagino que como mucho tendrías el numero del remitente, que tampoco te garantizaría nada.

Además, viendo que el DNI tiene la firma impresa, el único sentido que tendría firmar la fotocopia es que el papel que le des al banco este firmado físicamente, ya que una firma escaneada no aportaría nada.

infosniper's picture

Supones mal

Enviado por infosniper el 27 Mayo 2010 - 1:47pm.

cuando dices:

"¿Quiere decir eso que el operador estaba viendo en la pantalla el PIN y el Código de verificación? Supondré que el operador simplemente tenia la posibilidad de introducir el PIN y el Código en el sistema para que el sistema verificase que era válido."

Los currantes de la sucursal bancaria con la que trabajes tienen completo acceso al PIN, sea éste el de tu libreta o el de la tarjeta de crédito. Sin embargo puede darse el caso que ante la pregunta de alguien con el que no tengan suficiente confianza respondan que de ninguna manera tienen ese acceso... pero mienten.

La relación con los bancos o cajas no es más que una relación de confianza: confianza en que no te den por culo más de la cuenta.

infosniper
http://sites.google.com/site/infosniper

NullPointerException's picture

El problema no creo que sea ese

Enviado por NullPointerException el 4 Junio 2010 - 1:17am.

"Respecto a lo de WinZip, supongo que sea el sistema de cifrado de archivos más accesible a la gente de a pie."

El problema no creo que sea ese, sino que el tipejo decia de enviar la password via e-mail O_O.

Pueden encriptarlo con winzip, o con pgp, que va a ser igual de inseguro, por utilizar un mail comun y corriente!

Lo logico hubiese sido utilizar algun canal de encriptacion serio :/

usrdxt's picture

Hace años ya...

Enviado por usrdxt el 27 Mayo 2010 - 1:17pm.

que cuando abres una cuenta en un banco te piden el DNI y la firma para digitalizarlas. Vamos, que no es de ahora y no sólo te digitalizan la firma en los bancos.

Asi que no te preocupes, tu DNI y tu firma están digitalizados en tantos sitios que preocuparse es en vano: no hay nada que puedas hacer (nótese el modo sarcástico del comentario)

Calario's picture

Pues sí

Enviado por Calario el 27 Mayo 2010 - 2:54pm.

Como éstas las hay a puñaos. Gracias a dios casi todo el mundo es bueno, pero el que sale malo no lo tiene muy difícil para cultivar esa faceta.

vorazbic's picture

El PIN bancario

Enviado por vorazbic el 28 Mayo 2010 - 9:53am.

No sé donde tendréis la cuenta. Pero en la entidad bancaria donde trabajo no hay acceso directo al PIN de los clientes. De hecho la información que valida y guarda el ordenador es un algoritmo que combina el número de la cuenta o tarjeta y el PIN que ha seleccionado el cliente entre otros componentes. Por tanto, no hay acceso en claro al PIN.

Como mucho, en la sucursal los empleados pueden generar un nuevo PIN, imprimiendolo en el papel adecuado para entregar al cliente.

No es un sistema 100% seguro, pero tampoco es tan básico como apuntáis.

Un saludo.

GabrielAlf's picture

Ese teleoperador es un ¡¡ARTISTA!!

Enviado por GabrielAlf el 28 Mayo 2010 - 3:43pm.

La clave es el nº de teléfono, un 902, te pregunta cosas sin parar sobre algo que ya tiene o que no le hace falta saber...

Lo que te digo un artista que se gana su sueldo ;)

saludos

antonioCorco's picture

¿Sabéis lo que es

Enviado por antonioCorco el 7 Junio 2010 - 8:38pm.

¿Sabéis lo que es Un resabiao' (un "resabiado" según el diccionario)?

Se le llama así a las personas que por naturaleza son ingenuas y bonachonas, pero que a fuerza de palos se han vuelto un poco mas allá que desconfiadas.

Yo, aunque me da vergüenza decirlo, soy un resabiao' y desde hace mucho cuando alguien me pide fotocopias del DNI o cualquier otro dato personal, le pregunto muy seriamente: ¿Por qué?, y ¿Para qué?.

Además por teléfono me niego a dar ni mi nombre. (Esto me ha traido algún que otro problema, por ejemplo, con el alta telefónico y del gas, que ahora está de moda hacerlo por teléfono)

Vivimos en un pais en que TODO el mundo se siente con el derecho de manejar la información personal de los demás. Aquí, hasta para comprarte un chupete te piden el DNI y te lo fotocopian. Y sin embargo en reciprocidad nadie te facilita su identificación.

Habría que exigir una ley que obligue a quien manipula esos datos sensibles a entregar a cambio su identificación personal. No hablo de que el policia que pide ver el DNI tenga que entregar el suyo, pero si que deba facilitar su número de agente (Por ejemplo).

Y sin llegar a los extremos de la policía, que cualquier tienda, hotel o empresa privada que exige tan alegremente el DNI esté obligada a dar los datos identificatorios personales del empleado o el director que los pide. Presumo que mas del 90% de los particulares que quieren tener tanto documento guardado dejarían de hacerlo.

Por que vamos a ver, ¿Por qué tiene que tener fotocopiado mi DNI un señor que me vendió la nevera, ó el tipo que me dejó dormir en su pensión una noche estando de vacaciones en Santiago?, ¿De qué sirve?.

y si alguien piensa en los "malos"... ¿es que alguien se cree que un terrorista, o un malhechor va por ahí con su DNI legal?... ¡¡¡ a mos, anda !!!

usrdxt's picture

Creo que...

Enviado por usrdxt el 8 Junio 2010 - 11:56am.

en algunas cosas no llevas razón.

En los hoteles precisamente el DNI se pide por motivos de seguridad de saber quién se registra y quién no. Por otra parte, si algún agente de las FCSE te pide el DNI, está obligado a identificarse en debida forma, enseñando la placa o identificación y facilitando su número profesional. Incluso en la AGE los afectados por un determinado proceso tienen derecho a conocer qué funcionario está tramitando su expediente en concreto, según la LRJAP-PAC.

En caso de entidades privadas, estás en tu derecho de saber en qué manera son tratados tus datos personales y dónde puedes ejercer las acciones relativas a ellos pertinentes. Y los datos relativos a los responsables son accesibles si lo pides. Tan fácil como consultar de quién es la titularidad del fichero de datos que llevan. Y en el RM se tiene información pública sobre las personas responsables de las empresas.

¿Tedioso? Sí, pero uno también ha de intentar conocer sus derechos al máximo.

En cuanto a lo demás, es lo de siempre y es lo que yo hago: si no estás a gusto con todas las condiciones de un servicio, no lo contratas. Si crees que tus datos personales no van a ser bien usados, no los des, así de simple.

Pero vamos, que todavía no me han pedido el DNI para comprar chupetes... :)