Guz Gomez Profile picture
Jul 27 22 tweets 3 min read
Una breve descripción de mi experiencia con #BBVA y por que no es nada segura.
#BBVANoEsSeguro
Abro hilo
INGENIERIA SOCIAL
Hace tres semanas fui al supermercado, al estar en cajas para pagar mis productos, note a una persona detras de mi, mas cerca de lo normal, pero simplemente usaba mucho su celular, como si estuviera escuchando audio de whatsapp….
En ese momento lo pase por alto, nada inusual.
Termine mis compras y sali del supermercado, el cual se encuentra dentro de una complejo comercial, por lo que enseguida fui a comprar un cafe antes irme a mi auto.
Sorpresa, una señora algo mayor se nos acerco un poco preocupada, me dijo que el señor que estaba detrás de mi en la fila del super, todo el tiempo estuvo grabando mis movimientos, en especial cuando pague y teclee mi nip…
Un poco después de eso, notamos que un par de personas sospechosas rondaban nuestro entorno, como esperando un descuido, pero ya estábamos alertas. Nos fuimos de prisa al auto, ya un poco asustados.
Estuve un par de noches repasando lo sucedido y tratando de comprender el por que grabaron todo lo que hacíamos.

CACERIA
Lei una anecdota de alguien que había sido “hackeado” casi después de estar en un centro comercial, le vaciaron la cuenta. después se dio cuenta que le robaron el celular, mientras comia en un restaurante de la misma plaza. Todo en 15 minutos.
Los centros comerciales y supermercados son lugares donde usamos sin ningún cuidado los celulares. ¿Cuantas veces al día desbloqueas tu celular? ¿Sabes si alguien de observa mientras tecleas el NIP de tu cel?
No se necesita una vista de águila para conocer el patron. Ese data input tan valioso esta a la vista de todos y mas en centros comerciales, cines, plazas, restaurantes. Nos confiamos mucho. por eso nos graban.
La red de delincuentes se encuentran cazando a sus víctimas en estos lugares concurridos, identificando patrones: Celular con fingerprint, celular con face ID, uso de banca, uso constante. Un dia de plaza observen cuantas personas se encuentran vulnerables al “hackeo”.
Modus Operandi
Hice un par de pruebas en mis dispositivos, con mi NIP, cambie el Face ID por la cara de mi esposa, despues le dije a mi esposa que entrara a la app de #BBVA y Oh! Sorpresa.
La app hace la petición de autentificacion al sistema, el sistema le dice: si la cara coincide ( cual? la del cliente o la nueva) a la app no le importa, simplemente valida una cara. La nueva persona entra a tu app, entra a todo, te chingan la lana.
Esto lo saben muy bien las ratas. Por eso el modus operandi:
Cazan a la posible victima, le hacen shadow en lugares donde la proximidad es normal y la visibilidad de tus patrones de desbloqueo son accesibles.
Por eso te graban, mientras simulan una llamada y tu pagando en la terminal del super… Te tienen, ahora solo necesitan tu dispositivo y te lo chingan con o sin violencia, un segundo de distracción y listo.
Con tu NIP o patron de desbloqueo, registran una nueva cara o un finger print. y listo. Adios ahorros, en especial los del BBVA que ya no tienen ni token, ni NIP de seguridad.
Fallas de seguridad u omisión de casos de uso y patrones.
La app es sumamente insegura por dos razones:
No valida si hay un cambio de rostro o finger print, simplemente valida el que es sistema dice OK
No tiene un candado mas como NIP o SuperToken privado.
Un poco de ingeniería social y fallas de la app y miles de usuarios vulnerables seguirán viéndose afectados.
i, el UX de la app de BBVA es muy fácil de usar para todos, pero deja vulnerables a muchos usuarios que a diarios usan la app.
Sugerencia
No activen la autentificación bio metrica en BBVA.
Usen un folder con contraseña para ocultar sus apps bancarias.
Los quiero, adios

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Guz Gomez

Guz Gomez Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Don't want to be a Premium member but still want to support us?

Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal

Or Donate anonymously using crypto!

Ethereum

0xfe58350B80634f60Fa6Dc149a72b4DFbc17D341E copy

Bitcoin

3ATGMxNzCUFzxpMCHL5sWSt4DVtS8UqXpi copy

Thank you for your support!

Follow Us on Twitter!

:(