Continuando con esta serie de entradas, vuelvo a comentar sobre BBVA y las vulnerabilidades que presenta. Vulnerabilidades que debieron ser eliminadas desde hace mucho tiempo. El que continúen presentes indican una falta de seriedad de este banco por la seguridad de sus clientes y da lugar a que en un caso de fraude o robo a través de su banca electrónica se siente una verdadera duda razonable que sólo hará al banco perder el caso.

Enumero, para empezar, lo siguiente en lo que respecta a su aplicación móvil y banca en línea:

1. El token de acceso de su aplicación puede accederse sin necesidad de firmarse en ella. Es posible que esto se deba para facilitar el acceso via web, donde puede requerirse de un valor generado por el token, y busquen no complicarle la vida al cliente pidiéndole un acceso previo para alcanzar el token. Pero, como señalé en otro post, esto implica que si el acceso via web (de algún modo) ha sido comprometido, con sólo robar el celular de la víctima se tiene acceso a lo único que puede impedir tener acceso y permitir realizar operaciones.
2. El campo donde se escribe el número de tarjeta para tener acceso a la web de BBVA no es uno de tipo password, en los que desde un inicio no es posible ver lo que se escribe. Se trata de un campo que enmascara en ingreso de caracteres pero después de introducirlos. Cualquier aplicación que esté grabando lo que ocurre (o se ve) en pantalla (o cualquiera que esté viendo la pantalla) verá que es lo que el usuario escribe en el campo.

Muchas veces, a través de las respuestas dadas a las víctimas de un robo o fraude vía la banca electrónica de BBVA (por de las declaraciones de prensa que hace este banco), da la impresión que BBVA considera que los criminales detrás de estos eventos son aficionados o delincuentes de poca monta y mucha suerte. La verdad es que, desde el punto de vista de la seguridad informática, se considera que ninguna aplicación es segura cuando detrás de un ataque hay una voluntad e inteligencia. Pensar que por no dar detalles se tiene un mejor nivel de seguridad, es auto engañarse.

Adicionalmente a esto, tenemos la elevada frecuencia con que se llama a los clientes de este banco con intento de cometer un fraude, lo que indica que la base de datos de clientes ya fue comprometida, seguramente vendida en el mercado negro. Ya también escribí hace tiempo, que el app misma de BBVA se presta para que se use como un instrumento de robo con esa funcionalidad de retiro de dinero por medio de un PIN (más algo de ingeniería social).

Muchos de los reportes que se hacen señalan que se recibió una llamada de los números propios de BBVA. Claro que el banco lo niega y muchos pensamos que no puede mostrarse como parte de la capacidad de identificación de llamadas que la tecnología nos brinda hoy, un número que no sea desde el que se llama. Pero, no creo que sea así.

Si alguien ha tenido que recibir llamadas de una agencia de cobranza, verá que no importa que uno bloquee el número, las llamadas seguirán llegando. Parecerá que la agencia tiene un número ilimitado de números telefónicos asignados perp si uno trata de llamar a estos números encontraremos que el número no existe. Mi hipótesis es que, ya sea que estén en contubernio con las telefónicas o que hackeen a éstas, las agencias de cobranzas cuentan con la capacidad de enmascarar los números desde donde llaman. Ergo, no es difícil imaginar que esta capacidad la tengan los grupos criminales.