Si un banco dice que no tiene mi información de inicio de sesión y contraseña, ¿es cierto? [cerrado]

Es probable que su banco no tenga acceso a su contraseña de texto sin formato, pero no es tan simple como eso .

Es poco probable que su banco almacene su contraseña en texto sin formato, por lo que sería una tarea no trivial para ellos buscar su nombre de usuario y contraseña y luego iniciar sesión.

Sin embargo, hay muchas otras causas potenciales que podrían llevar a una transferencia ilegítima de su cuenta, desde sistemas vulnerables a empleados bancarios deshonestos.

Si su banco afirma que fue testigo de un inicio de sesión con su nombre de usuario y contraseña que condujo a la transferencia, entonces la pregunta de quién es el responsable dependerá de la política de fraude de su banco y de las leyes del país en que vive.

Sin embargo, suena como si estuvieras describiendo una posible violación de tu seguridad, por lo que deberías tomar medidas inmediatas para solucionarlo.

No dice en qué país ocurrió esto, pero en el Reino Unido, Phantom Withdrawals un endémico problema . Los bancos del Reino Unido han utilizado " sistemas de seguridad " en lugar de culpar al cliente, en lugar de analizar cualquier posible problema interno.

Las bases de datos modernas no almacenan contraseñas directamente en texto sin formato. En su lugar, toman su contraseña y ejecutan un algoritmo llamado "compendio", como SHA-1 o MD5 (ahora en desuso). La idea es que si proporciona la contraseña correcta, el resultado del cálculo será el mismo que el que tienen almacenado. De esa manera, no tienen que almacenar su contraseña, pero saben si ha ingresado la correcta.

Ciertamente tienen tu nombre de usuario. Eso tiene que ser almacenado en texto plano. Si usa su teléfono para transacciones bancarias, e ingresa su nombre de usuario y contraseña de esa manera, es posible que el software de registro de teclas en su teléfono pueda haber recogido el nombre de usuario y la contraseña. Declaró que no ha hecho clic en ningún enlace sombrío, pero ha habido informes de lugares en el mercado de teléfonos, como el Google Play de Android, que en ocasiones contiene malware.

Sin embargo, realmente no suena como si estuvieras golpeando aquí. Usted menciona un 'error de SIM'. Esto suena más como si alguien en la compañía de teléfonos móviles cometiera un error que podría haber causado que su chip SIM se desasocie de su teléfono. Si este es el caso, su información bancaria no está comprometida. ¿Ha comprobado si ha ocurrido alguna transacción no autorizada? No ha especificado si algo realmente salió mal o si simplemente está preguntando esto académicamente, porque su banco le dijo "si esto sucede, está jodido".

Muchos bancos tienen un servicio de robo de identidad. Muchos países tienen leyes acerca de cómo se llevarán a cabo estas cosas. No somos abogados, por lo que tendrías que investigar allí y deberías mantener un consejo legal si es necesario.

También se debe tener en cuenta que un banco no necesita su información de inicio de sesión para cambiar las cosas en su cuenta. Pueden hacer cambios como mejor les parezca. Su información de inicio de sesión es solo para que pueda administrar su cuenta de forma remota. Son libres de cargar cosas, mover dinero y modificar las funciones del sistema sin necesidad de su contraseña, ya que tienen acceso directo a las bases de datos a través de sus programas en el banco. Si los cambios estaban vinculados a un inicio de sesión en particular, eso es una cosa. Si los cambios simplemente 'sucedieron', ese es otro.

Un ángulo adicional a considerar es si su contraseña / sim dejó de funcionar, es posible que su contraseña nunca haya sido comprometida. Puede haber sido un intento de ingeniería social donde un atacante convenció a un banquero de que él o ella era usted, y luego consiguió que restablecieran su contraseña porque "la olvidaron". Esto, desafortunadamente, no es tan difícil. Puede leer acerca de cómo este tipo de ataque puede ocurrir aquí: enlace Este no fue un compromiso bancario, pero fue severo y con un estilo similar al que mencioné.

Su banco no puede reclamar una completa falta de responsabilidad sin saber exactamente cómo el atacante obtuvo el control de su cuenta. "No saber el nombre de usuario y la contraseña" no es una excusa general que se mantenga bajo todos los ángulos de escrutinio. Sin embargo, no me malinterpretes. Tampoco puede culparlos por el error sin saber qué sucedió, y tienen la mayor cantidad de información, ya que sus sistemas serían los que registran las acciones.

Actualización Como señaló uno de los comentaristas, mi declaración sobre las bases de datos "no almacenar contraseñas directamente en texto sin formato" es una simplificación. Una base de datos almacenará lo que le digas. Sin embargo, se espera que los programadores que trabajan con información financiera tengan el sentido de almacenar resúmenes en lugar de texto sin formato. Puede esperar que su contraseña no esté almacenada.

Solo un complemento a las otras grandes respuestas.

Trabajo en una cooperativa de crédito en los Estados Unidos (una versión de un banco mucho más amigable :), y no tenemos acceso a las contraseñas, incluso si quisiéramos. Este sistema no solo funciona con hash automático, sino que también se encuentra en nuestras políticas y procedimientos para la protección de los miembros / clientes por razones exactas de "empleados deshonestos" después de ser despedidos. Recibimos muchas respuestas frustradas de nuestros miembros cuando no podemos recuperar una contraseña solicitada. Para ilustrar esta medida, ni siquiera nuestros ejecutivos de nivel superior pueden recuperar contraseñas.

Según tengo entendido, esta es la mejor práctica utilizada por la mayoría de las instituciones y, por lo general, es un requisito por razones legales y de cumplimiento. Y generalmente hay pistas de auditoría para TODO . Aún así, depende principalmente de la cantidad de área de acceso / superficie que queda abierta para el acceso, especialmente los sistemas integrados en la casa.

También vale la pena saber si su banco proporciona una aplicación de banca móvil o solo acceso a la web. Es mucho más difícil controlar lo que entra y sale del navegador web en comparación con una aplicación interna o de proveedor para su teléfono.

Creo que todas las respuestas se centran demasiado en cómo el banco almacena la contraseña. El hash es irrelevante aquí, y ya está cubierto en esta pregunta . Si se almacenó en texto sin formato, el administrador de la base de datos podría haberlo consultado y utilizado. Pero entonces, ¿cómo explicas lo del teléfono celular?

El problema con esta pregunta es que tenemos muy poca información. @MKr, por mucho que me gustaría creerle, no hay manera de demostrar que no hizo clic en ningún enlace sospechoso. Tampoco es necesario que haya sido recientemente, aunque es más probable. Sin embargo, incluso con sus credenciales de inicio de sesión, un atacante no debería haber podido hacer nada.

Lo más extraño de todo es que el teléfono celular da un error. Si esto sucedió al mismo tiempo que cuando se vació su cuenta bancaria, las probabilidades son grandes, está relacionada (aunque aún no es del 100%). Deberías ir al banco y explicárselo. Repita la historia todo el tiempo que sea necesario y exija hablar con alguien técnico. Lo mismo para el operador de telefonía móvil, probablemente también tienen una brecha. (La única otra explicación es que su teléfono haya sido hackeado por Bluetooth o algo así). Esto no debe haber sido posible.

Nosotros, como comunidad, podemos hacer muy poco, pero tratamos de promocionar el caso en las noticias de primera plana para que el banco y el operador lo detecten. No podemos buscar archivos de registro o probar la seguridad del banco o del teléfono. Tu banco y operador pueden.

En realidad, es posible que desee hablar con un abogado para ver si hay opciones legales. No sé cuánto dinero está involucrado, pero una cuenta bancaria completa puede haber sido mucho.