{"id":1013762,"date":"2023-10-24T23:36:53","date_gmt":"2023-10-24T23:36:53","guid":{"rendered":"https:\/\/teknomers.com\/es\/mayor-potencial-de-riesgo-tribunal-critica-seguridad-del-procedimiento-tan-popular\/"},"modified":"2023-10-24T23:36:57","modified_gmt":"2023-10-24T23:36:57","slug":"mayor-potencial-de-riesgo-tribunal-critica-seguridad-del-procedimiento-tan-popular","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/mayor-potencial-de-riesgo-tribunal-critica-seguridad-del-procedimiento-tan-popular\/","title":{"rendered":"\u00a1\u201cMayor potencial de riesgo\u201d!  Tribunal critica seguridad del procedimiento TAN popular"},"content":{"rendered":"\n<div>\n<p class=\"article__meta\">\n        <span class=\"byline\"><span class=\"author vcard\">Por Isa Kabakci<\/span><\/span>  | <span class=\"posted-on\">24 de octubre de 2023, 11:19<\/span>    <\/p>\n<p class=\"article__summary\">\n    <strong>Una orden judicial actual podr\u00eda ser innovadora.  El tribunal regional de Heilbronn escribi\u00f3 en su sentencia que el procedimiento pushTAN no era tan seguro.  Esto fue precedido por una demanda presentada por un cliente contra su banco. <\/strong>\n<\/p>\n<div class=\"article-content__mrec-block\">\n<div class=\"article-content__mrec-paragraph\">\n<p>Casi todos los usuarios de banca online conocen el procedimiento TAN.  Para poder realizar una acci\u00f3n o realizar transacciones es necesario tener generado un c\u00f3digo num\u00e9rico, que luego cuenta como verificaci\u00f3n.  Normalmente esto no es ciencia espacial y suele ser seguro.  Pero, como suele ocurrir, los estafadores encuentran la manera de conseguir dinero.  Una sentencia actual podr\u00eda cuestionar la seguridad del procedimiento pushTAN.  Dado que el tribunal regional de Heilbronn se pronunci\u00f3 en su <a rel=\"nofollow noopener\" href=\"https:\/\/www.landesrecht-bw.de\/bsbw\/document\/JURE235009494\" target=\"_blank\">Veredicto<\/a> Con fecha del 16 de mayo de 2023, cuyos motivos escritos se publicaron recientemente, se anunci\u00f3 lo siguiente: \u201cEl llamado procedimiento pushTAN [\u2026]tiene un mayor potencial de riesgo\u201d. <\/p>\n<\/div><\/div>\n<h2 class=\"wp-block-heading\" id=\"h-bankkunde-fallt-auf-betruger-rein-und-verlangt-geld-von-bank-zuruck\">Un cliente del banco se enamora de los estafadores y exige la devoluci\u00f3n del dinero del banco<\/h2>\n<p>En la actualidad existen muchos procedimientos TAN: mTAN, chipTAN, pushTAN, iTAN, etc. Uno de los procedimientos m\u00e1s utilizados en la actualidad es el procedimiento pushTAN.  Y su uso un tanto indiscriminado result\u00f3 fatal para un cliente del banco.  Una persona se present\u00f3 por tel\u00e9fono como empleado del banco de la v\u00edctima y dijo que un tercero hab\u00eda realizado dos pagos no autorizados y hab\u00eda aumentado el l\u00edmite de cr\u00e9dito a 10.000 euros.  Para revertir el proceso, el presunto empleado del banco necesitar\u00eda tres TAN, que la v\u00edctima gener\u00f3 a trav\u00e9s de pushTAN y puso a disposici\u00f3n de la persona con la que estaba hablando por tel\u00e9fono. <\/p>\n<p>M\u00e1s tarde result\u00f3 que se trataba de un estafador que retir\u00f3 una gran suma de dinero de la cuenta de la v\u00edctima utilizando el TAN.  Este enfoque tambi\u00e9n se conoce como fraude de ingenier\u00eda social.  Posteriormente, la v\u00edctima del fraude pidi\u00f3 a su banco que se hiciera cargo de los da\u00f1os resultantes.  El banco, sin embargo, se neg\u00f3 y el caso acab\u00f3 en los tribunales.  Su veredicto no es particularmente emocionante, pero un comentario pasajero del tribunal caus\u00f3 revuelo. <\/p>\n<p><em>Tambi\u00e9n interesante: una descripci\u00f3n general de todos los procedimientos TAN y c\u00f3mo funcionan<\/em><\/p>\n<h2 class=\"wp-block-heading\" id=\"h-gericht-stellt-sicherheit-von-pushtan-verfahren-infrage\">El tribunal cuestiona la seguridad de los procedimientos pushTAN <\/h2>\n<p>El tribunal regional de Heilbronn desestim\u00f3 la demanda de la v\u00edctima porque los n\u00fameros TAN autogenerados fueron transmitidos por negligencia grave a una persona que no conoc\u00eda, sin prestar atenci\u00f3n al uso previsto.  La sentencia tambi\u00e9n afirma: \u201cPara todos est\u00e1 claro que la banca en l\u00ednea s\u00f3lo se realiza en l\u00ednea, no por tel\u00e9fono ni por escrito, independientemente de qui\u00e9n conteste el tel\u00e9fono sobre supuestas medidas\u201d.<\/p>\n<p>Sin embargo, lo que fue m\u00e1s emocionante fue el comentario antes mencionado del tribunal sobre la sentencia.  Este critic\u00f3 el procedimiento pushTAN y lo consider\u00f3 demasiado inseguro.  B\u00e1sicamente, la autenticaci\u00f3n de dos factores se utiliza para una transacci\u00f3n.  Pero seg\u00fan la sentencia judicial, ese no fue el caso en este caso.  Dado que tanto la aplicaci\u00f3n TAN como la aplicaci\u00f3n bancaria estaban instaladas en el mismo tel\u00e9fono inteligente, &#8220;no existe ninguna autenticaci\u00f3n que consista en al menos dos elementos independientes&#8221; en el sentido de <a rel=\"nofollow noopener\" href=\"https:\/\/www.gesetze-im-internet.de\/zag_2018\/__1.html\" target=\"_blank\">\u00a7 1 Art\u00edculo 24 ZAG<\/a> (Ley de Supervisi\u00f3n de Servicios de Pago). <\/p>\n<h2 class=\"wp-block-heading\" id=\"h-das-sagen-die-banken\">Eso es lo que dicen los bancos.<\/h2>\n<p>B\u00e1sicamente, esto significar\u00eda que los bancos tendr\u00edan que exigir a sus clientes dos dispositivos independientes para realizar operaciones bancarias y generar TAN para evitar ser considerados responsables en caso de da\u00f1os.  Porque si un estafador o un hacker secuestrara el tel\u00e9fono inteligente utilizando malware, en teor\u00eda podr\u00eda obtener acceso a ambas aplicaciones.  En ese caso ya no existir\u00eda la seguridad que supuestamente deb\u00eda proporcionar el procedimiento pushTAN. <\/p>\n<p>TECHBOOK pidi\u00f3 tanto a ING como a DKB una evaluaci\u00f3n del comentario del tribunal.  ING nos dio la siguiente declaraci\u00f3n:<\/p>\n<blockquote class=\"wp-block-quote\">\n<p>S\u00f3lo podemos hablar con nuestra aplicaci\u00f3n &#8220;banca para llevar&#8221; y est\u00e1 bien protegida por varios factores de seguridad.  Por un lado, el smartphone del cliente debe estar registrado en nuestros sistemas.  El segundo factor de seguridad es el conocimiento o la biometr\u00eda, ya sea el PIN del m\u00f3vil o una caracter\u00edstica biom\u00e9trica (huella digital o Face ID).  La vinculaci\u00f3n del dispositivo tambi\u00e9n garantiza que la aplicaci\u00f3n con el PIN o la funci\u00f3n biom\u00e9trica asociada no pueda transferirse a ning\u00fan otro dispositivo.  La conexi\u00f3n de la aplicaci\u00f3n a los servidores de nuestro banco tambi\u00e9n est\u00e1 protegida de m\u00faltiples maneras: todos los datos se cifran dos veces y la aplicaci\u00f3n se comprueba autom\u00e1ticamente para detectar manipulaci\u00f3n por parte de terceros.<\/p>\n<p><cite>Portavoz de ING para TECHBOOK<\/cite><\/p><\/blockquote>\n<p class=\"has-grey-lighter-background-color has-background\">\u00bfNo quiere perderse ninguna novedad importante en el \u00e1mbito de la tecnolog\u00eda y las finanzas inteligentes? <a rel=\"nofollow noopener\" href=\"https:\/\/whatsapp.com\/channel\/0029VaBOJ1IAe5Vus6ZfTm2D\" target=\"_blank\">Entonces s\u00edguenos en Wh<\/a><a rel=\"nofollow noopener\" href=\"https:\/\/whatsapp.com\/channel\/0029VaBOJ1IAe5Vus6ZfTm2D\" target=\"_blank\">atsApp!<\/a><\/p>\n<p>Sin embargo, en una primera breve declaraci\u00f3n, el DKB afirm\u00f3 que la nueva banca del DKB utiliza el proceso de seguridad Seal One.  Otros grandes bancos como Postbank y Deutsche Bank tambi\u00e9n conf\u00edan en esto.  &#8220;Los pedidos se pueden confirmar f\u00e1cilmente mediante huella digital, Face ID o PIN de aplicaci\u00f3n seleccionado por uno mismo&#8221;, afirma DKB. <\/p>\n<\/p><\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/www.techbook.de\/shop-pay\/payment-services\/gericht-kritisiert-pushtan-verfahren\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-35<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Por Isa Kabakci | 24 de octubre de 2023, 11:19 Una orden judicial actual podr\u00eda ser innovadora. El<\/p>\n","protected":false},"author":1,"featured_media":1013763,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[2458,38,1826,3243,15627,11852,4578,42,3679,8488],"class_list":["post-1013762","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-critica","tag-del","tag-mayor","tag-popular","tag-potencial","tag-procedimiento","tag-riesgo","tag-seguridad","tag-tan","tag-tribunal"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1013762","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1013762"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1013762\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1013763"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1013762"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1013762"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1013762"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}