¿Seguridad en HSBC?1 min read

Desde que me dí de alta en HSBC net vi algo raro: en vez de preguntarte tu contraseña tal cual (alfanumérica de 11 caracteres) te piden tres caracteres al azar:

¡¿WTF?!

Esto aumenta considerablemente las facilidades de acceso ilegítimo al sistema.

Hablando con números tenemos que:

– Si la contraseña es de 11 caracteres con una base alfanumérica (26 letras + 10 números = 36 caracteres posibles) adivinar la contraseña tiene una probabilidad de 1/3611 que es algo asi como 1/3.719×1041

– Ahora si solo piden tres caracteres (aleatoriamente) tenemos que las probabilidades de adivinar son: 1/363 lo cual es algo asi como 1/46656 lo cual es mucho más grande que 1/3.719×1041

En este caso se pueden eliminar las combinaciones de 11 en 3 (11 C 3), pues el universo de posibilidades contempla los mismos 36 caracteres posibles, como el Cóndor me hizo ver.

Sé que de todas formas 1/46656 es muy chico como para adivinarle por fuerza bruta pero con muchos otros métodos (estadísticos, sociales, …) las probabilidades aumentan de forma considerable.

¿Esto es digno de llamarse seguridad bancaria? R: NO

15 thoughts on “¿Seguridad en HSBC?”

  1. Sere ingenuo, pero creo que el concepto es evitar que se robe la contraseña con keylogers.
    Ya que el cracker puede tener los caracteres, pero puede no saber a que posiciones corresponden.
    Lo que sí es que las posiciones son muy pocas, más que nada porque siempre van en orden: 2 5 7, 1 3 9, 2 4 7. Así que la combinatoria es muchisimo menor.
    Me sirve de consuelo que te manda al demonio como al tercer intento.
    Aunque definitivamente matá todo el poder de una contraseña bien hecha. Aunque aquí entre nos, ¿que tanta gente tiene una contraseña que se pueda considerar fuerte?

  2. Mmm….¿probaste a darle refresh a la página y ver si te pedía la misma posición de caracteres?
    Si pide otros caracteres, entonces tienes que meter en la ecuación para un posible ataque de fuerza bruta, la aletoriedad de las posiciones.
    Me parece una solución barata para evitar los keyloggers de aquellos que usen computadoras en áreas públicas o de oficina. También me parece una solución barata ligeramente efectiva para los problemas de “phishing”.
    Vamos, que con un ataque de phishing, tu contraseña de 1/3.719×1041 combinaciones… no creo que sirva de mucho. Está técnica reduce el éxito del phishing en algunos casos. Digo en algunos casos, porque el problema del phishing es el factor humano. Imposible de solucionar.

  3. Tienes razón, en caso de phishing lo más posible es que la gente diga, “ah que bien!, ya no me pide la contraseña con ese estupido formato”.
    Y sí te envia posiciones distintas cada vez que refrescas, pero… cuando envias y estuvo equivocado te la vuelve a pedir con los mismos caracteres. Supongo que por “usabilidad”, al menos para mi lo hace más usable, pero definitivamente más riesgoso.
    Supongo aun falta un rato para la solución que mezcle usabilidad y seguridad.
    Espera ya existe, llave publica y privada, así tengo todos mis servers, sólo me pide la contraseña una vez al encender mi maquina y me puedo conectar de lo lindo a todas partes sin estar tecleando cada vez(claro la lap pide contraseña cada que sale el protector de pantalla o la cierro).
    Pero… definitivamente no me imagino a mi papa entendiendo las implicaciones de perder su llave privada.

  4. La solución que tiene mi banco de aquí para evitar precisamente eso de los keyloggers es ésta. (particuliers.socgen.com)
    http://hugo.ceronne.com.mx/upload/societe_generale.png
    – Tecleas tu número de cliente
    – Te aparece una ventanita que muestra aleatoreamente los dígitos para introducir tu contraseña.
    – Estás obligado a usar el ratón para hacer click en cada uno de los dígitos.
    Me imagino esta solución es contra el supuesto caso de que llegara a haber algo parecido a un “keylogger” pero para la pantalla (posición del puntero).
    En el caso de santander.com.mx … es 100% inseguro el sistema de acceso 🙁

  5. Levhita, como tu lo dices, el factor humano siempre va a ser problema.
    Cuando Telmex empezó con la entrega de las facturas en formato digital para empresas, las entregaba en un archivo encriptado con PGP. Las mandaba por mensajería, junto con tu factura o podías bajar el archivo por Internet.
    De eso hace más de 5 años.
    ¿Hasta aqui todo brillante no?. ¡PGP!. El software gratuito de encriptado más poderoso!
    Resulta que tu llave privada (y pública of course), ellos te la generaban y te la mandaban a través de tu ejecutivo de cuenta.
    Tanta inteligencia, quedó al descubierto, cuando me entregaron mi quesque llave privada… me dieron la de otra compañia.
    Eso fue un procedimiento de un área de IT de una megacompañía… que podemos esperar de nuestros padres.

  6. Nada es totalmente seguro en este mundo digital, pero por lo menos estas empresas deberían hacernos sentir mas resguardados por ellos (los proveedores de esos servicio).
    Hasta el momento me siento un poco seguro con lo implementa Banorte, que es una combinación de lo que comenta ceronne (no tecleo y mas clickeo de clave), mas la llave (física) generadora de claves basadas en RSA (aleatorias y requerida al momento de acceder).
    Disclamer: No soy empleado, ni accionista, ni dueño de Grupo Banorte, el comentario arriba escrito es solo el punto de vista de un usuario más de ese banco.

  7. Pues a mí me gusta el sistema de Bancomer, aunque claro también tiene sus cosas inseguras. En primer lugar tienes que introducir la contraseña definida por el usuario. El usuario tiene también una pequeña tarjeta con (creo) 30 números de 4 dígitos, así que tras comprobar que la contraseña es correcta, pide uno de esos números al azar.
    Después, para cualquier operación que implique movimiento de dinero, te pide otra contraseña (clave de operación) y otro número al azar.
    A veces es una lata, pero creo que protege tanto de keyloggers como de phishing… hasta donde se puede.

  8. No se puede esperar mucho de un banco como HSBC que envía correso legítimos de cuentas de yahoo.com y que cuando la gente les hace ver sus fallas e incluso compañías les adviertan sobre sus problemas de seguridad se dediquen a contestar que ellos saben lo que hacen y saben lo que es mejor para sus clientes, cuando claramente han demostrado que no saben nada.
    De bancomer existe una página que tal vez hayan visto y se llama http://www.fraudesbancomer.com.mx.
    El phishing es lo más complicado de cubrir para los bancos pero afortunadamente ya hay más formas.

  9. Pues seguridad esta por verse, en realidad muchas veces el factor humano si tiene que ver, pero tambien tiene que ver el sistema utilizado por la pagina… Ahy muchos metodos aparte de saber el keylogger
    Muchas veces las sesiones que utilizan no expiran (Por lo que si estas en una inalambrica sniffeadno la red, puedes falsificar tu session por la de otro)… Lo del numero aleatorio, bla nosotros podemos especificar siempre el mismo simplemente interceptando la peticion y especificando que los datos que me pidieron fueron “este, este y este”… a no ser que el servidor cree un archivo o guarde un dato para cada ip que se conecte….
    Ahorita conosco pishers mas avanzados, que te espian en tiempo real, instalan virus supuestamente siendo programas de difusion del banco para mejorar la seguridad aunque en realidad lo que hacen es un montaje detras de eso ahy un backdoor que se esta actualizando a un o varios servidores php metiendo datos de las peticiones que se han hecho, sesiones, cookies… Creanme esto es realmente peligroso, despues les envio un mail con todos los datos.. Saludos.
    Jose Luis Loya
    jl.loya@gmail.com

  10. Eso y que también ue posibilidades hay de que alguien conozca tu nombre de usuario.. ya que recordemos que antes de la contraseña te pide un usuario que es personalizado. Casualmente yo soy actuario y trabajo en HSBC

  11. La verdad ojala y los robos se dieran ahora asi pues no corremos riesgo de salir lastimados en un asalto pero no creo que los rateros piensen en tanta complicacion cibernetica ellos solo se paran fuera del cajero y te ponen la pistola en la cabeza ese es mi punto de vista

  12. Juan: estoy de acuerdo que el nombre de usuario es “secreto” aunque creo que en este caso, la ingeniería social ayuda mucho. Aunque si: tienes razón, esto aumenta las posibilidades y por ende disminuye las probabilidades.

  13. Hace 5 años, con los fondos que tenia en Maxima AFJP, adquiri una renta vitalicia previsional de u$s 813,25 mensuales a HSBC-NEW YORK LIFE. Esta empresa haciendo una interpretacion malintencionada, ilógica, ilegal y antojadiza, sin el minimo de asidero lógico, y contraria a todos los argumentos de venta que esa empresa pregonaba, decidio unilateralmente, abonarme solo la cantidad de u$s 451,81. Obviamente realice una innumerable cantidad de reclamos sin ningun resultado. Incluso ante la Superintendencia de Seguros de la Nacion, quienes me informaron que debia accionar judicialmente. Realice entonces el correspondiente Juicio, con resultados totalmente favorables a mi reclamo. La justicia fallo a favor mio, dandome la razón. Pero la empresa infractora apeló practicamente sin justificacion y perdió nuevamente, quedando asi el fallo firme. La justicia en instancia final falló a favor de que se me pagara lo que correspondía. Aún asi, la empresa riendose de nuestra justicia da a largas al asunto y no cumple el fallo de la misma.Esto mismo que me acontece, le sucede tambien a otros que han puesto sus ahorros en HSBC-NEW YORK LIFE. Además de esta actitud, a contramano de todos su argumentos de venta, jamás ha actualizado estos importes como lo prometía en innumerables tablitas que repartía para que nos decidieramos por ellos. Calculo que algún día recibire lo que por justicia me corresponde. Pero entiendo que es necesario hacer conocer esta circunstancia y cooperar con otros que puedan estar pasando por una circunstancia similar por haber elegido tan mal como yo a HSBC-NEW YORK LIFE, sea en mi pais, como en algun otro.
    Aca les dejo mis datos y pongo a vuestra disposicion cualquier copia de todo lo expuesto.
    Afectuosisimo.
    Jorge Ricardo Urquiza DNI 10.777.351 Mail: urquijuegos@hotmail.com (msn siempre abierto)

Leave a Reply

Your email address will not be published. Required fields are marked *