Ciertamente, no había reparado en lo siguiente:

Ciertamente no había reparado en esto, pero otra muestra de la inseguridad del app de @BBVARe_mx es el hecho que puedo acceder al token de ésta sin abrir una sesión (sin firmarse). Una enooorme vulnerabilidad para la contraparte web de la banca electrónica

cc @veronicabravo18

— Dr. Edu 🐾 (@dreduphd) July 27, 2022

El servicio bancario de BBVA permite activar o desactivar el uso del token digital que viene con su app para acceder via web a su banca electronica. La idea de contar con este segundo elemento de autenticación parte de la autenticación con múltiples factores y, bueno, la idea se vende sugiriendo que esto nos da más seguridad. Pero, ¿es cierto? Veamos los dos posibles scenarios básicos de ataque:

• Alguien ya nos ha robado el password, para acceder al servicio web. Sólo le resta robarnos el celular para acceder. El cual puede tener una contraseña para acceder a él o tener habilitado el reconocimiento facial para desbloquearlo. En cualquier caso, puedo imaginar muchas formas de pasar este obstáculo.

• Imaginemos que conoce la forma de brincar el uso del password en el servicio web, no ha tenido que robarlo. Pensaríamos que aún debe robarnos el celular para poder tener que obtener el token para acceder. Claro, puede pasar lo del escenario previo y obligarnos de alguna forma a darle acceso a nuestro celular, pero para este caso imaginemos que simplemente nos roba el celular de forma no violenta, tal vez incluso por unos momentos y que tiene forma de acceder a éste (ya sea que haya visto o sepa nuestro código o patrón de desbloqueo o que recurra a alguna de las muchas tácticas que hay para ello). Pensamos que aún debe acceder a la app para tener acceso al token (otro password o reconocimiento visual) pero lo cierto es que para el caso de la app de BBVA, esto no es necesario pues el token es accesible sin firmarse en la app.

Saquen ustedes sus conclusiones.