martes, noviembre 02, 2010

Porque los grupos bancarios no deberían compartir algoritmos + semillas y/o plataformas

Llevo mucho tiempo pensando en publicar este post, puesto que solo puedo hablar por experiencia propia y/o cercana de un par de grupos bancarios internacionales. El tema es que soy usuario de banca tanto tradicional como de internet, pero la de internet es la que más utilizo, por aquello de la profesión y que es más fácil y se pierde menos tiempo.

Vamos a plantear una situación hipotética, pero creo que real en la mayoría de los casos, puesto que ¿cuantos de vosotros sólo tiene una cuenta bancaria?.Así que tenemos:

  • Un grupo bancario que tiene en propiedad varios bancos con diferentes nombres, se dedican tanto a la banca tradicional como a la online, cada uno con su marca comercial por separado.
  • Un usuario que posee una cuenta en un banco determinado.
  • El usuario posee varias tarjetas de esa cuenta de ese banco

Ahora bien, por diferentes motivos el usuario decide que va a abrir otra cuenta en otro banco del mismo grupo del que ya tiene la cuenta y que además va a solicitar una tarjeta de crédito para fundirse su dinero bien a gusto.

La pregunta es: ¿es este usuario capaz de adivinar cual va a ser el número secreto o PIN de la nueva tarjeta de su nueva cuenta en el nuevo banco del mismo grupo antes de abrir la carta y/o de que le llegue la tarjeta físicamente? y o lo que es peor… ¿es capaz un malo malísimo de averiguarlo?

Pues aunque parezca mentira… si lo va a poder saber... ¿por que?… puesto que para ahorrar costes, este grupo bancario, seguro que comparte infraestructuras, algoritmos e incluso personal técnico.. y si un algoritmo es bueno para un banco del grupo, ¿porque no lo va a ser para otro banco del mismo grupo? Esto provocará que el PIN que se genera por defecto y que mande este banco, va a ser el mismo que otro de su mismo grupo, por lo que podemos jugar a ser adivinos de PIN.

Pongo un ejemplo, a mi hermana le duplicaron la tarjeta del banco y le hicieron un cargo por algo menos de 600€, ella se dio cuenta y anuló la tarjeta, puso la correspondiente denuncia y pidió al banco que le emitiesen una nueva tarjeta nueva con una numeración diferente, y lo que pasó es que ANTES de recibir la nueva tarjeta física, activarla y cambiarle el PIN…. ¡¡ya tenía un nuevo cargo en su cuenta hecha con esta nueva tarjeta!!!!.. evidentemente, mi hermana ha dejado de trabajar no solo con ese banco sino con todo el grupo de bancos.

Pongo otro ejemplo, tienes una tarjeta de la que no te acuerdas del PIN y le pides al banco que te envíe un nuevo PIN… y mágicamente te enviará el mismo número que te facilito la primera vez que te emitió la tarjeta… si tenéis alguna tarjeta que no utilicéis, probadlo y veréis que sorpresa os lleváis (no ocurre en todos los bancos)

Es por ello, el título del post…

Creo que un grupo bancario si que debería compartir plataformas y algoritmos, pero NO DEBERÍA COMPARTIR las SEMILLAS que generan los PIN y/o las claves de FIRMA, o cambiar el método para que se introduzcan variables en las semillas y cada vez que te envían el PIN este no sea el mismo una y otra vez.

Otro día hablaré de los numeritos de confirmación que te envían al móvil para que realices una transferencia…

No hay comentarios: