elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: ¿Eres nuevo? ¿Tienes dudas acerca del funcionamiento de la comunidad? Lee las Reglas Generales


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Compra online con tarjeta y pin
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: Compra online con tarjeta y pin  (Leído 2,171 veces)
Becerra

Desconectado Desconectado

Mensajes: 96


Siempre aprendiendo


Ver Perfil
Compra online con tarjeta y pin
« en: 20 Octubre 2021, 14:37 pm »

Hola

Me ha pasado un caso curioso, recientemente compré en la web de una conocidísima cadena de tiendas (en españa y europa) con multitud de establecimientos físicos.

Al pagar con tarjeta VISA, y como medida de seguridad me envían un SMS en el que dice mas o menos "suma los dígitos 1 y 3 del PIN de tu tarjeta y ese número súmalo a XXXX" (otro número que me dieron). El resultado total había que meterlo en una casilla de verificación de la web.

Y digo yo... ¿Como saben al PIN de mi tarjeta? ¿Con solo meter mi número de tarjeta ya tienen eacceso a esa información?

Nunca me habían pedido este tipo de "verificación de seguridad".

Un saludo


En línea

Buenas preguntas obtienen mejores respuestas
Serapis
Colaborador
***
Desconectado Desconectado

Mensajes: 2.875


Ver Perfil
Re: Compra online con tarjeta y pin
« Respuesta #1 en: 20 Octubre 2021, 15:51 pm »

No. Nadie excepto tu sabe ni tiene que saber ni tu pin, ni ninguno de dichos dígitos de tu tarjeta. Ni el banco tiene por qué saberlo. de hecho si no lo recuerdas, debes ir al bqanco a reclamarlo y el cajero técnicamente solicita un nuevo pin que se imprime y que el cajero no tiene por qué verlo.

Tu pin es solo tuyo y absolutamente nadie, puede reclamarte que introduzcas ninguno de sus dígitos, para ningún otro propósito que verificar la transacción de compra en el uso de la tarjeta.

Otra cosa es que te hayan pedido los 3 dígitos de control de la tarjeta (que a vces, sobre todo antes) venían al dorso y no forman parte de la numeración. ...aunque desde luego no se suman.

Me temo, que es un intento de acceder a tu pin... hoy te piden sumar el primero y úlimo, otro día te piden otros 2 y al final se deduce tu pin. Me entran dudas de que realmente estuvieres accediendo a través de una web legal... quizás fuera una página falsificando a otra, etc...

Para la próxima haz una captura o foto de dicho formulario.

...por seguridad yo te recomendaría que vayas a un cajero lo antes posible y cambies el pin de tu tarjeta por otro.


En línea

Becerra

Desconectado Desconectado

Mensajes: 96


Siempre aprendiendo


Ver Perfil
Re: Compra online con tarjeta y pin
« Respuesta #2 en: 20 Octubre 2021, 18:59 pm »

Hola

No. Nadie excepto tu sabe ni tiene que saber ni tu pin, ni ninguno de dichos dígitos de tu tarjeta. Ni el banco tiene por qué saberlo. de hecho si no lo recuerdas, debes ir al bqanco a reclamarlo y el cajero técnicamente solicita un nuevo pin que se imprime y que el cajero no tiene por qué verlo.

Eso pensaba yo, me ha extrañado mucho.

Otra cosa es que te hayan pedido los 3 dígitos de control de la tarjeta (que a vces, sobre todo antes) venían al dorso y no forman parte de la numeración. ...aunque desde luego no se suman.

No, eran del PIN

Me temo, que es un intento de acceder a tu pin... hoy te piden sumar el primero y úlimo, otro día te piden otros 2 y al final se deduce tu pin. Me entran dudas de que realmente estuvieres accediendo a través de una web legal... quizás fuera una página falsificando a otra, etc...

No, la página era la oficial de esa conocida cadena, de hecho ya ha llegado el pedido y no hay dudas.

...por seguridad yo te recomendaría que vayas a un cajero lo antes posible y cambies el pin de tu tarjeta por otro.

Eso ya lo hice, soy maniático. Me puse en contacto con la tienda y me informaron que en eso ellos no tiene nada que ver, me remitieron a mi banco que es el el que emite ese SMS y el que solicita el pago y la confirmación de que realmente soy el propietario de la tarjeta. Pero como por teléfono es un horror, (todos nuestros agentes están ocupados....) les mandé un mail, a ver si responden.

Igual con visa, también le escribí, a ver si alguno me aclara algo...

Un saludo
En línea

Buenas preguntas obtienen mejores respuestas
Serapis
Colaborador
***
Desconectado Desconectado

Mensajes: 2.875


Ver Perfil
Re: Compra online con tarjeta y pin
« Respuesta #3 en: 21 Octubre 2021, 03:40 am »

...Me puse en contacto con la tienda y me informaron que en eso ellos no tiene nada que ver, me remitieron a mi banco que es el el que emite ese SMS y el que solicita el pago y la confirmación de que realmente soy el propietario de la tarjeta...
Guau...
Es muy mala idea, lo adecuado es que el banco haya establecido un sistema seguro, en el que puedan ofrecerte un número totamente aparte del pin, y que tu puedas proveer como verificación, pero jamás el pin. No es sensato que el pin, esté 'viajando por ahí'... Sabemos que el transporte de datos cuando ingesas el pin de tu tarjeta al hacer un pago es confiable, pero otras acciones como esa descrita, no queda claro el procedimiento ni la seguridad usada. Insisto en que sería más acorde, que te enviaran algún dato (numeración o contraseña larga), de la que luego te reclamaran si, este o aquel caracter-dígito, pero que no es ni forma parte del pin.

En fin quéjate a ver si mejoran el sistema.
Incluso acércate al banco solicta y redacta una hoja de reclamación, son serias y suelen ser leídas todas. Expresa caramente que la funcionalidad del pin no es esa... que cualquier verificación extra, exija otros valores no unos que ya fueron proporcionados al hacer el pago. Porque si algien usó tu tarjeta en tu nombre, es claro que tuvo que redactar tu pin, luego esa nueva verificación resulta absurda porque no aporta más seguridad... antes que otra cosa, es una nueva oportunidad para que alguien capture parcialmente tu pin.
« Última modificación: 21 Octubre 2021, 03:43 am por Serapis » En línea

#!drvy


Desconectado Desconectado

Mensajes: 5.758



Ver Perfil WWW
Re: Compra online con tarjeta y pin
« Respuesta #4 en: 21 Octubre 2021, 09:40 am »

Yo no lo veo tan mala seguridad hasta cierto punto...

A ver, está claro que es el banco el que te lo ha solicitado, porque en realidad nunca te han pedido tu pin.  Solo te han dicho, suma la posición 1 y 3, el resultado súmalo a XXXX y envíalo. Total, ya me dirás como sacas el pin en base a eso. Si tengo un pin 4561 y aunque su XXXX fuese 0000, seguía siendo 0010 que no te dice nada porque no sabes que posición es ni tampoco que suma se ha hecho (1+9, 7+3) etc...

De hecho lo veo como una buena medida porque así se aseguran que además de tener el control sobre el número de teléfono del cliente, también se sabe su pin de tarjeta.

Dicho eso, también es cierto que deja ver que tienen acceso a los PIN de sus clientes en texto claro.... lo cual... ya es un poco más turbio...

Saludos
En línea

Becerra

Desconectado Desconectado

Mensajes: 96


Siempre aprendiendo


Ver Perfil
Re: Compra online con tarjeta y pin
« Respuesta #5 en: 21 Octubre 2021, 11:23 am »

Hola

Pues ya me contestó el banco y sí, me han confirmado que usan ese método. He comprado más veces con la misma tarjeta y esta fue la primera vez que me pidieron esta confirmación, me extrañó.

Dicho eso, también es cierto que deja ver que tienen acceso a los PIN de sus clientes en texto claro.... lo cual... ya es un poco más turbio...

Realmente no parece tan mada medida, pero piensas ¿el PIN no era privado? Si vas a la oficina te dicen que no tienen acceso y te generan otro.... En fin, que no sabemos qué hacen con nuestros datos...

Un saludo
En línea

Buenas preguntas obtienen mejores respuestas
Machacador


Desconectado Desconectado

Mensajes: 4.581


Rumbo al metaverso... Zuckerberg INC...


Ver Perfil WWW
Re: Compra online con tarjeta y pin
« Respuesta #6 en: 21 Octubre 2021, 12:07 pm »

Bueno... y si el sistema del banco no conoce tu pin, como diablos lo reconoce y acepta entonces cuando haces un retiro de dinero o cualquier otra transacción???...

Otra cosa es la gerencia y empleados del banco... estos si que no tienen acceso a esa información, pero el sistema automatizado de seguridad del banco por supuesto que almacena ese pin al igual que tu contraseña de acceso en linea para poder saber que eres tu el que estas accediendo a  tu cuenta y no un tercero... aqui en mi país también se usa el llamado biopago solo usando un lector de huellas digitales sin necesidad de pin ni contraseñas...

Saludos.

 :rolleyes: :o :rolleyes:




En línea

"Solo tu perro puede admirarte mas de lo que tu te admiras a ti mismo"
#!drvy


Desconectado Desconectado

Mensajes: 5.758



Ver Perfil WWW
Re: Compra online con tarjeta y pin
« Respuesta #7 en: 21 Octubre 2021, 12:17 pm »

Bueno... y si el sistema del banco no conoce tu pin, como diablos lo reconoce y acepta entonces cuando haces un retiro de dinero o cualquier otra transacción???...

Se usa un hasheo o cifrado de un solo camino. El PIN se convierte en un hash que representa su valor real, pero dicho valor no puede ser deducido.

https://es.wikipedia.org/wiki/Funci%C3%B3n_hash_criptogr%C3%A1fica

A la hora de comparar si el PIN introducido es el mismo que el hash que tienes guardado, hasheas también el pin introducido y comparas si ambos hashes son iguales. Esto previene que en caso de una fuga de información, el atacante pueda obtener la contraseña o el pin de forma directa. Es el mismo proceso que se usa en la mayoría de páginas web que cuentan con algún tipo de sistema de usuarios. De hecho, estoy bastante seguro que según la legislación española y/o Europea, el cifrado de un solo camio es obligatorio en bases de datos que puedan contener información sensible.


Almacenar las contraseñas en texto plano está prohibido
https://www.eprivacidad.es/almacenar-contrasenas-texto-plano-prohibido/



Artículo 93. Identificación y autenticación.

1. El responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios.

2. El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.

3. Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad.

4. El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible.


Así que, Becerra, tu banco está potencialmente cometiendo una infracción legal. Yo seguía al consejo de Serapis e iría a poner una reclamación, ya no por el método de verificación, sino porque se deduce que utilizando ese método, necesitan tener el PIN original en texto plano o en su defecto, parte de dicho PIN, lo cual entra en conflicto con la legislación actual.

Saludos
« Última modificación: 21 Octubre 2021, 12:31 pm por #!drvy » En línea

Machacador


Desconectado Desconectado

Mensajes: 4.581


Rumbo al metaverso... Zuckerberg INC...


Ver Perfil WWW
Re: Compra online con tarjeta y pin
« Respuesta #8 en: 21 Octubre 2021, 13:07 pm »

Se usa un hasheo o cifrado de un solo camino. El PIN se convierte en un hash que representa su valor real, pero dicho valor no puede ser deducido.

https://es.wikipedia.org/wiki/Funci%C3%B3n_hash_criptogr%C3%A1fica

A la hora de comparar si el PIN introducido es el mismo que el hash que tienes guardado, hasheas también el pin introducido y comparas si ambos hashes son iguales. Esto previene que en caso de una fuga de información, el atacante pueda obtener la contraseña o el pin de forma directa. Es el mismo proceso que se usa en la mayoría de páginas web que cuentan con algún tipo de sistema de usuarios. De hecho, estoy bastante seguro que según la legislación española y/o Europea, el cifrado de un solo camio es obligatorio en bases de datos que puedan contener información sensible.


Ok... estas cosas mas tecnicas no lo sabia sino lo elemental... pero, y si el pin se almacena en hashes separados por cada numero, con el hash de la suma de dos números del pin no sería posible la comprobación sin violar regla  alguna???... digo yo, porque  no creo que un banco reconocido ande violando reglas que pongan en peligro su funcionamiento...

Saludos.

 :rolleyes: :o :rolleyes:
En línea

"Solo tu perro puede admirarte mas de lo que tu te admiras a ti mismo"
#!drvy


Desconectado Desconectado

Mensajes: 5.758



Ver Perfil WWW
Re: Compra online con tarjeta y pin
« Respuesta #9 en: 21 Octubre 2021, 13:25 pm »

Citar
con el hash de la suma de dos números del pin no sería posible la comprobación sin violar regla  alguna???.

Sería posible, sí.  Pero aquí hay muchas más variables. Solo se almacena la suma de 2 posiciones concretas? O se almacena un hash por cada suma de cada combinación posible? xD No sé, te sorprendería saber la de leyes que se pasan por ahí la mayoría de empresas... sin ir más lejos, cuantos bancos y/o empresas en las que uno tiene datos sensibles nos piden cambiar de contraseña cada año (tal y como esta estipulado en la ley)? Yo creo que solo conozco una xD

Saludos
En línea

Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Ayuda con compra online
Foro Libre
[u]nsigned 2 1,343 Último mensaje 30 Septiembre 2010, 16:32 pm
por Gatö
Elección de compra, tarjeta red y router
Redes
geekinthenet 6 3,596 Último mensaje 1 Abril 2011, 20:01 pm
por geekinthenet
Elección de compra, tarjeta red
Redes
geekinthenet 8 3,447 Último mensaje 3 Abril 2011, 11:53 am
por geekinthenet
Guía de compra: tarjeta microSD
Noticias
wolfbcn 0 1,119 Último mensaje 1 Enero 2017, 22:01 pm
por wolfbcn
Duda carrito de compra, tienda online
PHP
bgnumis 0 797 Último mensaje 1 Octubre 2017, 21:19 pm
por bgnumis
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines