Comercio electrónico “seguro” y el Banco Sabadell

Mi empresa opera con el Banco de Sabadell. Tengo con ellos la cuenta de mi pequeño negocio, y tengo una tarjeta con la que suelo hacer las compras de las cosas que voy necesitando.
Las cosas que pago en mano (gasolina, comidas, etc) no tienen problema, pero yo compro muchas cosas por Internet y hay algo que no me gusta.

No sé que tan peligroso o inseguro es, pero el caso es el siguiente:

  • Al realizar una compra por internet, algunos comercios implementan el sistema de Comercio Electrónico Seguro (en adelante CES).
  • Con este sistema, me aparece una pantalla ajena al comercio que me pide una clave de mi tarjeta de coordenadas.
  • Normalmente la tarjeta de coordenadas se usa para activar operaciones en la página del banco (transferencias, domiciliaciones, etc), pero en el caso de comercios con CES también se usa para activar una compra.
  • La tarjeta tiene 80 coordenadas, con 80 claves distintas
  • Cada vez que compro (literalmente), el sistema me pide SIEMPRE la misma coordenada. La 01, para ser más exactos.

Al principio pensé que era una coincidencia, ya que estoy en el Banco Sabadell desde hace poco. Pero después de hacer muchas compras me doy cuenta de que no lo es.

He posteado algunos twitts al respecto, y me ha contactado un chico del @bancosabadell por teléfono. En su conversación me ha explicado que:

  1. La inseguridad no es culpa del banco, sino del CES.
    Como si el CES fuese una entidad aparte y no tuviese nada que ver con el banco.
    Me ha explicado que a cada tarjeta de coordenadas, el sistema de CES le asigna una posición, y que al usuario SIEMPRE se le pide esa posición. Nunca cambia.
    Para mi tranquilidad (urgh…!) me ha explicado que si quiero puedo ir periódicamente a una sucursal y pedir que me cambien la tarjeta de coordenadas.
  2. No es una inseguridad.
    A fin de cuentas, la tarjeta de coordenadas no es algo para llevar encima. Porque si alguien me roba la tarjeta de crédito, tendrá todo lo que necesite para comprar cosas en mi nombre.
    También me ha explicado que es difícil que, si alguien supiese mi coordenada 01, también sepa el número de mi tarjeta y el CVV. Son muchos datos.
    Supongo que no habrá pensado en que para irme a ver a un cliente a Madrid y poder comprar el billete de vuelta desde el hotel, necesito mi tarjeta de coordenadas y mi tarjeta de crédito. Las dos juntas.

Después de esta conversación he seguido twitteando un poco, y un chico al que sigo me ha explicado cómo funciona con su banco. Y me ha hecho recordar que en los otros dos bancos con los que he trabajado anteriormente el CES funciona distinto: en uno me envían un SMS con la clave para activar la compra, y en el otro me piden un pin que sólo sé yo y que puedo cambiar cuando me plazca.
En el caso del pin es un poco engorroso, porque hay unas normas de longitud, restricciones de caracteres etc… pero cualquiera de los dos casos me parecen mucho más seguros que el que a mí me afecta.

¿A alguien más le pasa ésto con su banco?
¿¿Acaso no deberían ser los bancos los que más se preocupasen por la seguridad??

10 thoughts on “Comercio electrónico “seguro” y el Banco Sabadell”

  1. Es una vergüenza lo malos e inseguros que son los bancos.

    A mi me gustaría tener la posibilidad de crear depositos con una cantidad en concreto y que se le asignase un numero VISA para hacer pagos con eso.

    Tambien me gustaría poder usar un pin alfanumerico de infinitos caracteres.

    Es imprescindible que adopten los modelos de datos de exportación certificados.

    y… si no saben hacer webs, pues que nos pongan una API para que la hagan otros.

    Es más potente twitter que el bbva

  2. Una vez “intenté” que corrigieran un problema en la web de la caixa (una cagada en javascript que por aquel entonces me impedía recargar la cibertarjeta -sic- usando firefox en Linux).

    Tras un par de correos, todo quedó en que les mandara POR FAX un pantallazo del problema. Sí, me mandaron un correo electrónico indicando el número de fax.

    Desde entonces nada me soprende hablando de webs de bancos…

  3. Bueno yo no pretendo deslegitimar al Banco Sabadell. Estoy seguro de que debe haber un buen departamento de ingeniería detrás de su website…
    LO que pasa es que este caso concreto me ha sorprendido mucho.

    Sobretodo me ha sorprendido el chico que me ha localizado en Twitter y me ha contactado por teléfono. Dice que lo normal es no llevar la tarjeta de crédito y la de coordenadas juntas, para evitar que ante un robo el ladrón pueda comprar por internet con ella.

    Este chico no habrá oído hablar de los sniffers, supongo.
    Yo necesito llevar ambas tarjetas cuando salgo, porque habitualmente hago realizo operaciones bancarias desde la web del Sabadell. Pero en eso no creo que haya problema porque la clave cambia cada vez.

    Ahora bien, voy a una cafetería con mi portátil y navegando por ahí encuentro una tienda de fundas para móviles. Me compro una usando mi tarjeta y resulta que en el mismo bar hay un tío con un sniffer funcionando. Ese tío me hace un man in the middle para escuchar el intercambio de claves de SSL, y escucha todo mi tráfico. Captura mi número de tarjeta, la fecha de vencimiento, el CVV y…. tachan! el número de la coordenada 01.

    Yo no me entero de que me han robado mi tarjeta. Por tanto no lo denuncio. Tampoco llamo a la entidad de la tarjeta pra bloquearla…. y hay alguien por ahí que la tiene y puede usarla para comprar lo que le dé la gana.

    Yo no digo que se compre un plasma de 40″ porque lo pillo al dia siguiente. Pero si le da la gana se subscribe a Spotify de por vida GRATIS.

    Señores del Sabadell: es para planteárselo.

  4. Ivan, muchas gracias por tus comentarios.

    En éste momento estamos trabajando para que nuestro CES solicite una clave aleatoria de las 80 posiciones de la tarjeta de coordenadas.

    Adicionalmente, recordad que disponéis del servicio de alertas BS Móvil para estar informados de cualquier operación en vuestras tarjetas de débito/crédito. Más información en http://bit.ly/aHchPN

    Saludos cordiales,
    Pol Navarro

  5. Hola Pol,

    Gracias, de verdad que lo agradezco. Lógicamente no es fácil saltarse el resto de medidas de seguridad, pero aún así la sensación que me queda al introducir siempre la misma coordenada es un poco fría.

    Agradezco de verdad la atención que me habéis prestado, y celebro que al final tanto ruido haya servido para corregir lo que muchos consideramos un bug :-)

    Un saludo,
    Ivan

  6. Tío,

    yo también trabajo con el BS y me pasa lo mismo, además, siempre la 1!! no me molaba nada y pregunté en mi sucursal y me dijeron que era lo “normal”, a lo qeu yo pensé: “y para que me daís una tarjeta de 80 casillas si siempre me vais a pedir la casilla 1?”. A eso se le llama falsa sensación de seguridad.

    En fin… yo tengo lo de los avisaso al teléfono, y por ahi me voy fiando, pero claro, los avisos llegan si sacas o compras algo más de 150 eruos (IIRC). Un “ladrón” que lo sepa, te va sacando de 50 en 50 y tu ni te enteras :-)

    salu2 muso!

  7. Un tío esnifa tus datos y se suscribe a spotify, y si usas SSL y te aseguras de que los certificados de la web son correctos, podría hacer mucho?

    Qué man in the middle puede hacer durante la negociación de claves de sesión, si no tiene un CA certificate que tu navegador reconozca?

    Tengo muchas quejas del Sabadell (falta de un API abierta, la más increíblemente grave) y de otros bancos, y no me gusta que las plataformas de pago sean inseguras, pero creo que que alguien instale un sniffer debería darte igual.

    Yo tengo wifi en casa y, con las debilidades de WPA2, la clave se podría acabar rompiendo. Asumo que podría ocurrir. Y yo debería poder seguir haciendo compras por internet con cierta tranquilidad, siempre y cuando sea cuidadoso y compruebe el nivel de seguridad de la web antes de meter mis datos de compra. Si no lo compruebo, mea culpa.

Leave a Reply

Your email address will not be published.