Enlace a una cuenta bancaria: credenciales de inicio de sesión vs. información de enrutamiento

No soy una persona financiera y me he preguntado esto también. Por lo tanto, creo que la mejor manera de responder a esta pregunta es comenzar con los servicios que puede proporcionar un banco y luego la información que se requiere para utilizarlos. Investigué esto usando los siguientes servicios. Hay dos servicios que conozco para transferir dinero:

• ACH : su banco le pedirá que valide la transacción de la institución extranjera antes de que pueda enviar dinero. También hay límites diarios. Esta es en gran parte la única barrera de seguridad entre la ACH que drena su cuenta.
• Transferencia : su banco envía sus fondos a donde quiera que les diga (detalles a continuación). No hay límites en esta transferencia y el banco probablemente asumirá la responsabilidad cero en caso de pérdida de fondos (al menos la mía lo hizo). La institución también no verifica el punto final como lo harían con ACH; Si usted o el asesor financiero analizan el número de ruta o el número de cuenta, es posible que se encuentre en una pérdida. Le pregunté a ambas instituciones antes de enviar una transferencia bancaria qué sucede si me olvido de un número y ambas me recomendaron que no hiciera eso y que verificara los números por triple.

Tanto ACH como Wire requieren los mismos números para transferir: Número de enrutamiento y número de cuenta (en mi caso, sí Quizás no sea tu institución, de nuevo tienes que comprobarlo). Las transferencias bancarias casi nunca se pueden revertir (no puedo respaldar esto, pero parece que está en toda responsabilidad). Sin embargo, ACH parece tener esa capacidad. ACH tiene límites de nuevo; Una de las instituciones que conocía era de $ 3,000 por día. Esto hace que sea casi imposible vaciar su cuenta a través de ACH, y como la mayoría de los ACH se pueden revertir, hace que valga la pena intentarlo. También vale la pena mencionar que los ACH están limitados solo dentro de los EE. UU. La única forma de drenar sus fondos a una institución extranjera sería a través de una transferencia internacional que tenga políticas / regulaciones aún más estrictas que una transferencia nacional. También vale la pena mencionar que, por lo general, debe conocer los detalles de la cuenta de la cuenta extranjera para realizar la transferencia (como el nombre completo y la dirección del titular de la cuenta).

Entonces, con eso dicho. Si le da su contraseña a su cuenta bancaria, quien sea tendrá acceso a sus números de cuenta . Esto significa que podrían configurar una transferencia de ACH y deshabilitar cualquier alerta que tenga y luego configurar una transferencia de ACH recurrente que quizás nunca note. Hacer una transferencia bancaria es más difícil; la mayoría, si no todos los bancos requieren que usted esté físicamente presente para realizar una transferencia bancaria. Algunos no lo hacen; algunos le permiten enviar los formularios por fax y su identificación ... Entonces, deje que eso se hunda.

Otra perspectiva para usted es si no les proporciona ninguna información, excepto el número de ruta y el número de cuenta de sus bancos. Luego pueden usar ACH para solicitar y tomar fondos de su cuenta (piense en eCheck o en depósito directo inverso).

Habiendo dicho eso, nunca debe dar a conocer su contraseña bancaria o números de cuenta. Me molesta que las personas den estos números de forma voluntaria para la membresía en el gimnasio (¡sí, te estoy apuntando a Planet Fitness!).

También debo mencionar que el número de ruta para el banco / institución es información pública. A menudo se puede ver en la página principal del sitio web; esto significa que es una secuencia numérica menos para que la encuentre un atacante. El número que el atacante quiere es su número de cuenta bancaria.

Debería leer la sección Seguridad para obtener información sobre los cables. También vale la pena mencionar que EE. UU. Usa SWIFT para realizar transferencias bancarias; Parece que sea el objetivo del malware y otros tipos de ataques .

Si, por cualquier motivo, tiene para recibir pagos a través de Venma, suponiendo que haya tomado en cuenta esta decisión y explorado alternativas: argumentaría a favor de:

• configurar un par distinto de cuentas de cheques + no cheques para este propósito que están vinculadas pero que no tienen reglas de transferencia automatizadas
• mantener el saldo más bajo posible en la cuenta de cheques, con la mayor parte del dinero en efectivo en la no cuenta de cheques
• proporcionar a Venmo la ruta y el número de cuenta a la cuenta corriente
• no le proporciona a Venmo credenciales de cuenta

En el resumen, la cuestión de las credenciales frente al enrutamiento / cuenta es difícil de responder, ya que existe un alto grado de variabilidad en las prácticas de seguridad relevantes entre la población de comerciantes, proveedores y bancos.

En esta circunstancia particular, argumentaría que proporcionar enrutamiento + número de cuenta a Venmo es menos riesgoso que proporcionarles credenciales de cuenta, por dos motivos:

1. el sistema ACH se retrasa significativamente en la madurez técnica del sistema de tarjetas de crédito del consumidor, pero todavía ha estado lidiando con el fraude durante décadas. Existen salvaguardas, y al administrar los saldos, se limita la exposición.
2. las credenciales son fundamentalmente más poderosas que el enrutamiento de la cuenta +, y el gobierno y la seguridad en torno al uso de las credenciales en los bancos son todavía (todavía) nuevos y, en muchos casos, deficientes. Solo tenga en cuenta la cantidad de bancos que aún no hacen 2FA.

Por último, en términos generales, no existe una infraestructura similar a OAuth en los bancos. Si le proporciona credenciales a un tercero y cambia las credenciales, ese tercero ya no debería tener acceso a su cuenta.