
Una orden judicial actual podría ser innovadora. El tribunal regional de Heilbronn escribió en su sentencia que el procedimiento pushTAN no era tan seguro. Esto fue precedido por una demanda presentada por un cliente contra su banco.
Casi todos los usuarios de banca online conocen el procedimiento TAN. Para poder realizar una acción o realizar transacciones es necesario tener generado un código numérico, que luego cuenta como verificación. Normalmente esto no es ciencia espacial y suele ser seguro. Pero, como suele ocurrir, los estafadores encuentran la manera de conseguir dinero. Una sentencia actual podría cuestionar la seguridad del procedimiento pushTAN. Dado que el tribunal regional de Heilbronn se pronunció en su Veredicto Con fecha del 16 de mayo de 2023, cuyos motivos escritos se publicaron recientemente, se anunció lo siguiente: “El llamado procedimiento pushTAN […]tiene un mayor potencial de riesgo”.
Un cliente del banco se enamora de los estafadores y exige la devolución del dinero del banco
En la actualidad existen muchos procedimientos TAN: mTAN, chipTAN, pushTAN, iTAN, etc. Uno de los procedimientos más utilizados en la actualidad es el procedimiento pushTAN. Y su uso un tanto indiscriminado resultó fatal para un cliente del banco. Una persona se presentó por teléfono como empleado del banco de la víctima y dijo que un tercero había realizado dos pagos no autorizados y había aumentado el límite de crédito a 10.000 euros. Para revertir el proceso, el presunto empleado del banco necesitaría tres TAN, que la víctima generó a través de pushTAN y puso a disposición de la persona con la que estaba hablando por teléfono.
Más tarde resultó que se trataba de un estafador que retiró una gran suma de dinero de la cuenta de la víctima utilizando el TAN. Este enfoque también se conoce como fraude de ingeniería social. Posteriormente, la víctima del fraude pidió a su banco que se hiciera cargo de los daños resultantes. El banco, sin embargo, se negó y el caso acabó en los tribunales. Su veredicto no es particularmente emocionante, pero un comentario pasajero del tribunal causó revuelo.
También interesante: una descripción general de todos los procedimientos TAN y cómo funcionan
El tribunal cuestiona la seguridad de los procedimientos pushTAN
El tribunal regional de Heilbronn desestimó la demanda de la víctima porque los números TAN autogenerados fueron transmitidos por negligencia grave a una persona que no conocía, sin prestar atención al uso previsto. La sentencia también afirma: “Para todos está claro que la banca en línea sólo se realiza en línea, no por teléfono ni por escrito, independientemente de quién conteste el teléfono sobre supuestas medidas”.
Sin embargo, lo que fue más emocionante fue el comentario antes mencionado del tribunal sobre la sentencia. Este criticó el procedimiento pushTAN y lo consideró demasiado inseguro. Básicamente, la autenticación de dos factores se utiliza para una transacción. Pero según la sentencia judicial, ese no fue el caso en este caso. Dado que tanto la aplicación TAN como la aplicación bancaria estaban instaladas en el mismo teléfono inteligente, “no existe ninguna autenticación que consista en al menos dos elementos independientes” en el sentido de § 1 Artículo 24 ZAG (Ley de Supervisión de Servicios de Pago).
Eso es lo que dicen los bancos.
Básicamente, esto significaría que los bancos tendrían que exigir a sus clientes dos dispositivos independientes para realizar operaciones bancarias y generar TAN para evitar ser considerados responsables en caso de daños. Porque si un estafador o un hacker secuestrara el teléfono inteligente utilizando malware, en teoría podría obtener acceso a ambas aplicaciones. En ese caso ya no existiría la seguridad que supuestamente debía proporcionar el procedimiento pushTAN.
TECHBOOK pidió tanto a ING como a DKB una evaluación del comentario del tribunal. ING nos dio la siguiente declaración:
Sólo podemos hablar con nuestra aplicación “banca para llevar” y está bien protegida por varios factores de seguridad. Por un lado, el smartphone del cliente debe estar registrado en nuestros sistemas. El segundo factor de seguridad es el conocimiento o la biometría, ya sea el PIN del móvil o una característica biométrica (huella digital o Face ID). La vinculación del dispositivo también garantiza que la aplicación con el PIN o la función biométrica asociada no pueda transferirse a ningún otro dispositivo. La conexión de la aplicación a los servidores de nuestro banco también está protegida de múltiples maneras: todos los datos se cifran dos veces y la aplicación se comprueba automáticamente para detectar manipulación por parte de terceros.
Portavoz de ING para TECHBOOK
¿No quiere perderse ninguna novedad importante en el ámbito de la tecnología y las finanzas inteligentes? Entonces síguenos en WhatsApp!
Sin embargo, en una primera breve declaración, el DKB afirmó que la nueva banca del DKB utiliza el proceso de seguridad Seal One. Otros grandes bancos como Postbank y Deutsche Bank también confían en esto. “Los pedidos se pueden confirmar fácilmente mediante huella digital, Face ID o PIN de aplicación seleccionado por uno mismo”, afirma DKB.



