Usas el programa Puntos Vida del BBVA? cómo crees que guardan tu contraseña?

Usas el programa Puntos Vida del BBVA? cómo crees que guardan tu contraseña?Untitled Blog Post Name

Hace unos días me volví a encontrar con el programa Puntos Vida del BBVA Continental, el cual me parece interesante pues como todo programa tiene sus beneficios (obvio), estos, sinceramente no los he usado salvo la posibilidad de cambiar puntos por dinero, eso me parece genial!! 😀

Okey basta de propaganda (ya saben, mi blog no tiene sponsors, ya no), el tema es que nunca me habia inscrito ya que en otras ocasiones he cambiado los puntos directamente. Hace poco decidí entrar a la página a ver las ofertas y me pidieron registrarme, lo cual me parece en serio, innecesario pero bueno, no le presté mucha importancia.

Me registré y les soy sincero, cada vez que paso por la experiencia del registro en una página me entra la duda: 
– Debo usar una nueva contraseña,
– O una que siempre uso
– O debo esperar a que se tenga una integración con google o facebook los cuales actualmente son las mas utilizadas (si me estoy equivocando en este tema, no hay problema podemos conversar de eso en la sección comentarios :D)

Como estaba interesado y soy un desconfiado del mal pues:

– He tenido más de un amigo que revisaba las bases de datos donde habían tablas que almacenaban usuarios, correos de contacto y contraseñas sin cifrar (es decir así como la escribías así se grababa), y que creen que hacían con eso? Pues probaban si la contraseña hacia match con el correo de contacto, muchas veces, OJO, muchas veces era así, la mayoría de personas colocaba la misma contraseña que usaban en su correo, sea trabajo o personal.

– Revisando la biografía de Mark Zuckeberg encontré que las primeras versiones de Facebook se guardaba un log, registro o historial de las contraseñas incorrectas y que en algunas situaciones el buen (tengo mis dudas si en serio lo es) Mark revisó si la info de este log hacía match con los correos de los usuarios. Así es, también pudo acceder a algunos correos, claro esto lo leí hace un tiempo en wikipedia, la cual acabo de revisar y ya no se encuentra pero en Business Insider pueden encontrar mas información al respecto.

Con esto no quiero decir que uno de mis amigos tenia el potencial de Mark Zuckerberg (no amiguito no te ilusiones) pero definitivamente desde hace mucho tiempo que manejo mis contraseñas con mucha cautela y mientras puedo sugiero a mis amigos tengan cierto cuidado.

Pues bien, esto ya está rozando el límite de la brevedad, a lo que quiero llegar es que no confío en aquellas páginas que me piden usuario y contraseña, claro ustedes dirán quien quiere ver mis correos? Pues les diré sin ánimo de ofenderlos que ese es mi problema, por lo general evito registrarme en muchas páginas que me soliciten una vez más usuarios y contraseñas existiendo hace tanto tiempo el concepto de cuentas federadas (repito hay muchos servicios que te permiten aprovechar tu acceso sea por Facebook, GMail, Yahoo, OpenId), un ejemplo muy bueno es cuando quieres registrarte en Stackoverflow, para muestra una imagen (o era un botón?)

En fin, el punto es que quería ver las ofertas y me dije “por que no?” así que me registré contra mi voluntad o será por el cochino dinero? pero como sigo siendo un desconfiado puse una clave cualquiera, muy fácil de recordar y me dije, a confiar, no? mentira

Lo que me sorprendió es que minutos después –en realidad fueron segundos, no como los mensajes de texto para validar el acceso a los estados de cuenta que a veces demoran una vida– llegó a mi bandeja de correo una notificación con un resumen de mis credenciales, esto incluía usuario y contraseña, así es, la que acababa de escribir. 

En ese recuadro salía la clave que había colocado y si, mi segundo nombre es vidal, como mi abuelo y bisuabuelo, y si ya me han preguntado como 874652103 veces si es mi tercer apellido

Eso me hizo pensar, cómo guardan la clave? La encriptan? La verdad no lo creo, mas aun cuando me puse a revisar como aseguraban la pagina que me pedía usuario y contraseña para ingresar nuevamente, hablando un poco en marciano hay mecanismos que encriptan el contenido del formulario e incrementan el nivel de seguridad, no es del todo seguro pero al menos es un avance, una prueba de que esto no es algo nuevo aquí un ejemplo de hace muchos años (12 años? posiblemente), así es, cuando algunos hablábamos de eso que se llamaba IIS5.

Les cuento entonces que usando herramientas del navegador descubrí que mi contraseña viaja por la red sin nivel de seguridad alguno, no estoy bromeando, cualquier hijo del vecino (sin ofender claro, a mis buenos vecinos que en estos momentos deben estar durmiendo) que tenga ciertos conocimientos para atrapar lo que viaja por una red puede tomar nota y listo (no me crees? aquí algo que te puede interesar), acceso fácil a tus puntos vida o bueno, a tu correo electrónico si es que no tienes cuidado con ese tema.

Así es, en ese recuadro sale mi contraseña completamente desnuda 🙂

Por mi parte espero que algún amigo del BBVA revise esto y converse con los que hicieron el sistema de puntos vida, tan difícil es encriptar una contraseña? No me digan que no encriptan porque hacen el clásico “if (claveEnBD==claveEnFormulario)” me muero si es así 🙂 no, mentira, todavía no puedo

Hace un momento le envié un correo con esta info a los amigos del BBVA, no encontré una cuenta de contacto así que les escribí a atencioncliente@vidadelivery.com, que fue el correo que me dejaron los amigos de puntos vida en su ultima notificación. Si alguien sabe de una cuenta, no dude en avisarme o en todo caso, avisarle 🙂

Repito, quien quiere entrar a mi correo? no lo sé, la verdad no estoy muy interesado en saberlo, la información que almaceno no tiene mucho valor pero eso lo decido yo, no creen?

Me despido, definitivamente uno de estos días borraré mi cuenta de puntos vida, 
Un abrazo.
@jersson,

PD: No creo que se moleste nadie del BBVA, o si? En realidad no he intentado obtener la clave de nadie, salvo la mía 🙂

Lo que si me gustaría saber es si están al tanto de estos riesgos de seguridad, algunos dirán “pero no es la clave de tu tarjeta de crédito” han probado? Qué creen que descubrí? (drumroll)

Claro que no puse mis datos pero probé con la tarjeta de número 1234123412341234 y clave 123456 🙂 Tampoco es que quiera ser alarmista pero creo que se deberían revisar los mecanismos de seguridad en estos formularios, o es que estoy loco?

UPDATE:
– El día de la publicación del post algunos amigos del BBVA se comunicaron conmigo para comentarme que revisarían el caso, creo que ya van varios días (más de tres? no se contar)
– Mi preocupación fue principalmente por la página de puntos vida, pues lamento confirmar que hasta el día de hoy su web de acceso no maneja HTTPS, esto a pesar de que uno de los comentarios indicaba de que si. 

16 thoughts on “Usas el programa Puntos Vida del BBVA? cómo crees que guardan tu contraseña?

  1. toshi

    if (claveEnBD==claveEnFormulario) mori! jajaja pero si he visto el algoritmo que usan para la encriptacion de claves en el bbva (no, no lo voy a decir) y es de las mas sencillas (al menos por alla en el 2010… ojala la hayan mejorado).

    Lo unico que se es que jamas meteria 1 sol a ese banco…

    como anecdota a un amigo le depositaron la CTS de otro cliente (una suma muy fuerte), pero mi amigo siendo honesto notifico de este error al banco y pudieron retirar los fondos y darselo al cliente correcto. Pero que hubiera pasado si mi amigo no hubiera sido honesto? pues simplemente retiraba su dinero y ya! o al menos el % que para ese año le era permitido y no pasaba nada!

    Reply
  2. Ytalo

    Bien divertido el post @jersson !

    Saludos

    PD: Creo que es cifrar, en vez de encriptar.

    Reply
  3. DCR

    Hola Jersson,
    No he podido replicar la parte de las tarjetas, ¿Podrias contarnos los pasos que estas siguiendo?
    Adicionalmente te comento que la herramienta que estas utilizando te permite ver lo que estas digitado en la pagina, pero no significa que lo digitado se guarde en tu ordenador, ni tampoco significa que los datos viajen desprotegidos si la pagina es https como es el caso del Banco.

    Reply
    1. Jersson Post author

      Hola!
      Pues no hice nada del otro mundo, solo habilité las dev tools de chrome y revise lo que salía del navegador, en el caso de puntos vida la página no tiene HTTPS

      La página de la tarjeta de crédito si cuenta con HTTPS, en ese caso me aseguré de guardar de revisar lo que salía del navegador y chrome me indica que el contenido está encriptado pero tiene una opción para ver el contenido escrito,
      Quizá no soy un experto en seguridad pero no dije en ningún momento que la clave se guarde en la máquina o navegador, mi primera observación va porque segun veo la página de puntos vida no está asegurada, envía la contraseña como texto plano y para sonar más interesante todo indica que la graba así en su base de datos. Interesante no?

      Un saludo 🙂

      Reply
  4. Charlie

    Buen dato @Jersson, acabo de ingresar a desarrollar en una entidad financiera, le echare un ojo al tema por aquí, si encuentro la misma situación haré lo posible para que lo resuelvan ya que este tipo de información no debería estar visible bajo ninguna circunstancia.

    Saludos cordiales

    Reply
  5. juan

    Gers tu link “mas información al respecto.” tiene 2 links con de separador 😉

    Reply
    1. Jersson Post author

      Gracias! lo reviso y actualizo! (no puedo desde aquí pues el editor del wordpress sucks!)

      Reply
  6. Alfredo

    En ambos casos te estás fijando en las cabeceras de request, el asunto sería si es lo mismo en las cabeceras de respuesta (response headers). Realmente no le veo nada de malo incluso con lo de la tarjeta de crédito, si te fijas bien es el Form Data o sea lo que envías al server, o sea es y tiene que ser exactamente lo que tipeas. Y si tendría que cifrarse sería totalmente ridículo tener que cifrarlo de lado del cliente.

    El asunto serio si está en que te envían la contraseña al email, Habría que ver si te la envían antes o no de cifrarla y guardarla en su base de datos.

    Reply
    1. Jersson Post author

      Hola, en realidad yo creo que si graban la clave en duro, por eso cuando pides recuperar contraseña te la mandan de nuevo sin problema, prueba 🙂

      Lo de la tarjeta de crédito está bajo HTTPS así que algo de seguridad tiene no? el de puntos vida, la clave viaja así como la escribes.

      Reply
      1. Alfredo

        No tengo cuenta allí, pero si te envian la contraseña al pedir recuperarla pues es muy probable que la esten guardando en texto plano. A lo que iba es que esas imágenes que has puesto no prueban el asunto de tu post. Es las mismas transacciones igual en todas los sitios web del mundo, y todo esto se hace bajo https.

        Ahora si estando en HTTPS alguien logra leer la comunicación con el server, ahí si ya estamos hablando de OOOTRA cosa que escapa del alcance de la seguridad del banco.

        Reply
  7. Alfredo

    Acabo de revisarlo y te estás equivocando brother, confirma las cosas y corrige tu post.

    Reply

Leave a Reply

Your email address will not be published. Required fields are marked *