¿El número de cuenta bancaria y el titular de la cuenta en cheque expuesto?

6

No estoy seguro si esto es una práctica estándar en todas las instituciones bancarias, pero casi todos los bancos donde he recibido cheques, el número de cuenta del emisor está expuesto (algunos incluso el nombre de la cuenta). ¿No es esta información considerada confidencial? Si no es así, ignora esta pregunta.

En caso afirmativo, entonces me pregunto por qué los bancos exponen abiertamente el número de cuenta / nombre del emisor en cheques? ¿Sería una buena práctica si al menos marcan el nombre de la cuenta y el número antes de imprimirlo en los cheques que emitirá?

    
pregunta IMB 24.04.2012 - 12:46
fuente

4 respuestas

9

Voy a tener otra oportunidad en este caso, para tratar de abordar los muchos comentarios excelentes ...

Un cheque es una instrucción para que un banco tome dinero de la cuenta de Alice y se lo dé a Bob. Para poder actuar, el banco necesita conocer los detalles de la cuenta de Alice; deben estar escritos en el cheque de alguna forma cuando llegue para su compensación.

Un cheque preimpreso en el libro de cheques de Alice tiene su número de cuenta ya escrito, simplemente por razones de conveniencia, tanto en forma humana como legible por máquina.

@IMB primero pregunta si esto es una vulnerabilidad, ya que si Eve obtiene un cheque, puede leer los detalles de la cuenta y usarlos en un ataque. La respuesta es sí, es una vulnerabilidad.

Luego, @IMB pregunta si el hash de los detalles de la cuenta sería un buen control. Sospecho que en realidad significan cifrado, en lugar de hash, ya que el cifrado criptográfico es un término técnico bastante específico que no se aplica aquí, pero se entiende. La respuesta también es sí, si se hace con cuidado, cifrar el número de cuenta (con un nonce adecuado agregado) evitará en gran medida que Eve use la información de la cuenta.

Por último, @IMB pregunta por qué los bancos no lo hacen entonces. Bueno, como con cada control de seguridad, tiene que medir el costo de usarlo contra el impacto de una falla para decidir si debe implementarlo o no.

Creo que el costo principal es que los humanos ya no pueden leer todo el cheque. Eso no suena como un problema en estos días de computación ubicua, pero los bancos son conservadores y anticuados y son particularmente aficionados a tener procesos de auditoría humanos. Les gusta que un gerente pueda sacar un cheque al azar todos los días y volver a verificar cómo se procesó. Les gusta poder sacar un pedazo de papel físico y agitarlo a un cliente y decir "No, no cometimos un error".

Los costos adicionales son que agrega una sobrecarga al proceso de compensación de cheques (y los clientes ya odian cuánto tiempo lleva), que ya no tiene una copia de seguridad si la parte legible de un cheque está dañada, y supongo que podría ejecutarse en dificultades reglamentarias sobre la definición legal de un cheque.

Los riesgos, por otro lado, no son enormes, porque los bancos tienen otros controles establecidos. Autentican a las personas antes de permitirles retirar dinero y requieren más que solo números de cuenta para retirar dinero fácilmente. Usan varios métodos técnicos para evitar que Eve imprima los cheques con los detalles de Alice. Tienen seguro para cubrir cualquier pérdida. Ellos monitorean la actividad de la cuenta para detectar transacciones sospechosas.

Una última cosa a considerar: Alice tiene que contarle los detalles de su cuenta a muchas personas de todos modos: a su empleador (para que le paguen), al encargado de impuestos, a la compañía de agua (para débitos directos) y así sucesivamente. Y ella tiene que incrustarlo en su tarjeta de débito. Y el banco tiene que imprimirlo en sus estados de cuenta ... Así que Eve tiene muchas otras formas de obtener esta información.

Al final, los bancos sopesaron los costos y los riesgos y concluyeron que simplemente no vale la pena, especialmente considerando la disminución en el uso de cheques. La última vez que intenté pagar algo en una tienda con un cheque, tenían que conseguir al gerente porque ninguno de los asistentes de ventas había visto uno antes, excepto en las películas.

    
respondido por el Graham Hill 24.04.2012 - 13:05
fuente
3

Sí. La impresión de la ruta y el número de cuenta en los cheques conlleva cierto riesgo, aunque probablemente sea un riesgo aceptable :

  • En términos generales, la ruta y el número de cuenta no son suficientes para robar dinero de su cuenta, en la práctica, debido a la posibilidad de que cualquier intento de robo sea atrapado y revertido.

    Dicho esto, el sistema se basa en la disuasión, no en la prevención. Alguien que conoce el número de ruta y de cuenta de su cuenta bancaria podría retirar dinero de su cuenta sin su autorización. Pueden quedar atrapados y la transacción no autorizada puede revertirse, pero es un riesgo de seguridad.

    Como prueba de esto, considere el hecho de que hay algunos comerciantes que le permitirán pagar por teléfono usando un "cheque electrónico". Si nunca lo ha utilizado, así es como funciona: puede llamarlos, decirles el código de enrutamiento y el número de cuenta de su cuenta de cheques, decirles el monto del pago que desea realizar y luego, básicamente, crean un " Falsificado "verifique con esta información y reciba el pago. (Comprenda que en realidad no está falsificado, ya que se hace con su autorización). Aparece en el extracto de su cuenta bancaria como un retiro electrónico o pago con cheque. ¿Cómo es esto legal, se podría estar preguntando? Es legal, porque se hace con su consentimiento. Pero ese no es el punto. El punto es que la única información necesaria para que esto suceda es el código de enrutamiento y el número de cuenta. Si un comerciante honesto puede hacer esto, también lo puede hacer un comerciante deshonesto. Es probable que haya límites en cuanto a quién tiene acceso para hacerlo de manera electrónica y automatizada; alguien que lo haga sin su autorización probablemente será atrapado, si se lo hacen a un grupo de personas y las víctimas se quejan ante su banco; en resumen, la disuasión puede ser razonablemente efectiva en la práctica; Pero no hay nada que lo impida absolutamente. La infraestructura de verificación de cheques tiene ciertas vulnerabilidades inherentes, es triste decirlo.

Un segundo riesgo es que alguien que conozca su número de cuenta de su cuenta corriente pueda conocer el saldo de su cuenta. Vea mi explicación sobre cómo puede suceder esto (versión corta: implica explotar los sistemas de verificación de cheques de comerciantes, que están disponibles por los bancos y son inseguros por diseño).

Estos riesgos son inherentes al sistema de verificación actual. No hay mucho que puedas hacer al respecto. Puede cerrar el agujero de confidencialidad , si le importa lo suficiente, pero no puede solucionar los otros riesgos.

Como regla general, es mejor que no compartas tu número de cuenta bancaria con alguien que no lo necesite (por ejemplo, para recibir un pago de tu parte).

Todo esto se explica en detalle en la siguiente pregunta en el sitio de Personal Finance y Money Stack Exchange: No se puede ¿La información de la cuenta en mis cheques se puede usar fácilmente para el fraude? . Consulte también ¿Puede alguien robar dinero de mi cuenta bancaria si conoce mi IBAN y sus datos personales? en este sitio para obtener una Explicación detallada de cómo alguien puede retirar dinero de su cuenta, si conocen su ruta y número de cuenta. Vea especialmente el caso con Jeremy Clark .

    
respondido por el D.W. 25.04.2012 - 00:43
fuente
1

Una forma diferente de responder:

Los números de cuenta de cheques y de tarjeta de crédito son una forma antigua de hacer las cosas, ambas inventadas antes de que se generalizaran Internet, las computadoras y los servicios de borrador automático. Ambos métodos utilizan una contraseña reutilizable que envías a todas partes. (ok, es un número de cuenta, pero funciona)

La solución correcta sería reemplazar cheques, tarjetas de crédito y tarjetas de débito por computadoras (preferiblemente de mano) que generen contraseñas / certificados únicos que funcionen solo por la cantidad acordada, utilizando encriptación asimétrica.

Esta es la razón por la que convertir un Android en un dispositivo de pago podría ser prometedor , ya que eliminaría efectivamente el problema de las grabadoras de tarjetas magnéticas. La pregunta es, si / cuándo usarán certificados únicos en la implementación?

Los cheques impresos pueden tener un código QR o similar en ellos con el certificado único al que me refiero.

Piense en los lectores de tarjetas y los bancos como estaciones de servicio, y los cheques y tarjetas de crédito como automóviles. Es muy costoso admitir a la próxima generación si nadie lo está utilizando todavía.

P.S. No soy un experto en banca, finanzas o seguridad, solo un programador. :)

    
respondido por el George Bailey 24.04.2012 - 14:55
fuente
1

Es cierto, los bancos deberían implementar algún tipo de hash pero:

  • los estafadores descubrirían cómo descifrarlo de todos modos
  • rompería cada biz de escaneo de cheques en línea
  • rompería todos los procedimientos bancarios en todo el mundo a menos que se introdujeran los estándares
  • a los bancos no les gusta cambiar

Si un estafador puede averiguar su número de cuenta, puede hacer fácilmente un cheque falso y tener una buena posibilidad de pasarlo como algo real si puede diseñar una firma de usted. La mitad del tiempo que los bancos ni siquiera comprueban una firma, simplemente toman el cheque y le dan dinero si fue girado en ese banco.

La verificación debe ser obsoleta, pero creo que a los bancos les gusta cometer fraude.

    
respondido por el user18082 25.04.2012 - 03:12
fuente

Lea otras preguntas en las etiquetas