Tarjetas de coordenadas del BBVA


Como usuario frecuente de banca electrónica del BBVA, siempre estuve preocupado de la seguridad de mis transacciones, y de la relativa facilidad de que algun intruso pudiera vulnerar la seguridad de las mismas.

Recientemente el BBVA ha implementado el uso de la tarjeta de coordenadas en las operaciones de banca electronica que realizemos vía internet. Pero ¿Que es esta tarjeta?. Para ponerlo en palabras sencillas, diremos que esta tarjeta es una matriz, es decir, una tabla de coordenadas que pueden ser identificadas por una cabecera (identificada por una letra) y una fila (identificada por un numero), al igual que, por ejemplo, Microsoft Excel, el cual tambien es una matriz con coordenadas que identifican cada celda por su cabecera y fila (la celda A1 es la intersección de la columna A con la fila 1)

Una vez que hemos definido lo que representa esta tarjeta de coordenadas, la siguiente pregunta es ¿Que tan segura es dicha tarjeta?. Resulta obvio, que tarde o temprano (más temprano en realidad) las claves empezarán a repetirse. En nuestro caso, la tarjeta del BBVA presenta una matriz de 10 columnas y 10 filas, es decir, 100 claves a usar.

Entonces ¿Que tan segura es? Las tarjeta de coordenadas fueron creadas para aumentar la seguridad de las contraseñas estáticas. Una contraseña estática, como su nombre indica, no cambia. Un ejemplo clásico de esto sería la contraseña de tu correo electrónico. Una vez que un intruso consigue tu contraseña estatica, es el fin de todo. El objetivo al que apunta la tarjeta de coordenadas es a brindar un nivel de seguridad extra a dicha contraseña estatica. El uso de tarjetas de coordenadas en las transacciones, si bien no es un sistema "One Time Password" (contraseña de un solo uso), representa un gran avance en la seguridad en banca electronica en el pais, ya que permite agregar "un nivel" de seguridad extra en las transacciones sobre el uso de contraseñas estaticas.

Lo unico que no me gusto fue que una vez que la recogí del banco, y luego de firmar el típico papeleo, el empleado apunto mi número de tarjeta ¡en un cuaderno!

Alberto Peves M.

El siguiente post esta basado en el informe titulado "Banca Electrónica. Nuevos vectores de ataque", el cual trata acerca de la tarjeta de coordenadas, ventajas, desventajas y conclusiones de la mismAS. SI deseas detalles tecnicos o mas informacion del mismo debes visitar dicho informe

6 comentarios:

raphsoft dijo...

claro que no son 100 posibles claves. son 100 posibles combinaciones para cada digito que tenga la clave, es decir. si la clave que solicitan las transacciones es de 8 digitos tendra en todo 100^8 posibles combinaciones... ello hace que la posibilidad de que se repitan, con un algorimo adecuado sea muy baja -.- sobre todo si limitamos el uso de la tarjeta a 100^8 veces.... del modo como usted lo dice, no seria para nada seguro...
le recomiendo visitar: http://raphsoft.webcindario.com

apeves dijo...

Pues creo te equivocas , si son 100 posibles claves. Cuando lo usas para ingresar via web al banco, te pide el numero particular de una interseccion particular. Solo existen 100 intersecciones, es decir 100 claves.

Anónimo dijo...

Hoy 10.09.10, buscaba cómo usar la tarjeta de coordenadas, llegué hasta esta página y ví estos comentarios. Usted dice que son 100 posibles intersecciones, pero yo diría que son 80, porque hay lo filas y 8 colunnas, y en ese sentido por cada número del 1 al 10, sólo es posible hacer 80 combinaciones . Estaré en lo cierto??

Anónimo dijo...

Que pasa si la dejas un rato, le sacan fotocopia a tu tarjeta o le toman una foto? ya no es segura para nada!!! "le sacaron una copia a tu tarjeta ultrasegura!!!!! en cambio con el BPC ese aparatito asi le tomen foto o le saken copia, las claves cambian cada minuto..digo yo!!!

Anónimo dijo...

relativamente solo son 80 digitos de claves no 100 la pregunta es tiene relevancia si hay alguna copia de mi tarjeta de coordenadas es posible la seguridad en un 100% realmente esperare por las respuestas

Anónimo dijo...

en la clave digital.... token del bcp... hay un número de serie que el que nos la entrega anota.... entonces no existe seguridad....