Syswoody

Blog de Sistemas Informáticos

Noticias

Descubre el saldo de una cuenta corriente de la CAM aun no siendo el propietario

Poradmin

May 21, 2010

Cómo descubrir el saldo de una cuenta corriente en la Caja de Ahorros del Mediterráneo

camSi tienes un euro en el bolsillo, y conoces el número de DNI del titular de la cuenta, te resultará muy sencillo descubrir el saldo de su cuenta, su nombre y apellidos, la dirección de su domicilio y los 20 dígitos correspondientes.

Cuando hablamos de “protección de datos” o de “medidas de seguridad” siempre nos viene a la cabeza aquellos mecanismos informáticos o físicos encaminados a proteger la información. Sin embargo, una vertiente muy importante de la seguridad de los datos comienza en el propio usuario que maneja la información o en los protocolos que la empresa tenga establecidos para ello.

Hoy voy a poner de manifiesto cómo es posible acceder a información personal de un cliente, obrante en una entidad financiera, sin vulnerar sus sistemas informáticos, simplemente haciendo uso normal de las herramientas que, en este caso la Caja de Ahorros del Mediterráneo, pone a disposición de sus clientes.

 

La teoría que se va a explicar ha sido verificada a lo largo de varios años y en varias sucursales de esta entidad, eso sí, todas ellas en Murcia, por lo que desconozco si la forma de proceder es igual en cualquier parte del territorio nacional.

El objetivo de la misión es conocer el saldo de la cuenta corriente de un cliente cualquiera de esta entidad (víctima). Para ello necesitamos las siguientes herramientas e información:

: Disponer en efectivo 1 euro o más.
: Conocer el número de DNI de la victima.

Aunque el objetivo es simplemente conocer el saldo, si todo sale bien obtendremos la siguiente información de la víctima:

  1. Saldo de su cuenta corriente
  2. Nombre y apellidos
  3. Dirección postal
  4. Número de su cuenta corriente

¿Cómo podemos conseguir esto?

Muy sencillo. Acudamos primero a cualquier sucursal de la CAM; una vez allí podemos tener la siguiente conversación con el cajero (reproducción aproximada de casos reales):

Yo: hola, buenos días.
Cajero: buenos días.
Yo: venía a hacer un ingreso en MI cuenta
Cajero: muy bien, ¿te sabes el número de cuenta?
Yo: pues no, pero te digo mi DNI
Cajero: perfecto, dime
Yo: es el (aquí ponemos el DNI de la víctima).
Cajero: ok, ¿cuánto querías ingresar?
Yo: 1 euro, tome
Cajero: ¬ ¬
Cajero: ya está, aquí tiene su resguardo
Yo: muchas gracias, hasta luego.

Misión completada… ah claro, os preguntaréis que de donde saco yo ahora el saldo de la cuenta de la víctima, su nombre, etc, bueno, pues toda esa información nos la ha dado la propia entidad en el resguardo.

resguardo camEchemos un vistazo a la siguiente imagen que no es más que un resguardo escaneado de hace unos días (pincha en ella para verla más grande).

He quitado los datos personales, y aunque se entiende claramente paso a explicar cada campo, empezando desde arriba a la izquierda:

 

  • 0102 Espinardo: la sucursal en concreto
  • Fecha: la fecha de la operación de ingreso en efectivo
  • CCC: 2090…… aquí aparece los 20 dígitos de la cuenta corriente del beneficiario, o sea, de la victima
  • Nominal: cantidad que hemos ingresado
  • Saldo en cuenta: lo que hay en la cuenta después de hacer el ingreso
  • Abajo a la izquierda pone, D. …, aquí aparece el nombre completo del titular de la cuenta y su dirección

Esto se puede considerar una vulneración del artículo 10 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD), que establece:

“El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.”

Aquí el problema radica en el protocolo que tienen establecido en la CAM cuando un supuesto cliente realiza un ingreso en efectivo en su cuenta; no es excepcional que el cajero no me solicite físicamente mi carnet de identidad para asegurarse que soy realmente yo el titular de la cuenta y no un tercero como es el caso.
O en su defecto, que en los resguardos no aparezca toda esa cantidad de información y solamente la estrictamente necesaria.

Esta prueba se ha realizado en varias sucursales donde no se me conocía en absoluto.

En definitiva, sirva esta entrada como muestra de que lo de la protección de datos esa no es simplemente tener unos ficheros “dados de alta” en la AEPD, y tener unas cuantas cláusulas aquí y allá, sino que lo realmente importante es adoptar las medidas necesarias para evitar que terceros no autorizados accedan a la información personal de clientes, pacientes, etc… y esas medidas, por mucho que les cueste entender a algunas organizaciones, no es sólo poner un usuario y contraseña para entrar al ordenador.

 

Via: http://www.samuelparra.com

Noticias de informática:

  1. El estándar WHDI está listo para su aprobación
  2. Componentes de Nexus
  3. Como liberar módem Huawei E220 3G
  4. Apple continua con su censura en dispositivos,

Por admin

Entrada relacionada

Apache Noticias Sistemas

Instalar PHP 7.2 Debian 11 con Plesk

Oct 1, 2023 admin
Windows Noticias Sistemas

Windows 11 23H2: Copilot llega a España y otras novedades en seguridad – Moment 4

Oct 1, 2023 admin
Noticias Seguridad Software Windows

Actualizaciones de seguridad septiembre de 2023

Sep 16, 2023 admin

Deja una respuesta

You missed

promociones

Libros que te cambiaran

12/05/2024 admin
promociones

Accesorios Recomendados Oculus

08/05/2024 admin
promociones

Discos Duros para NAS

29/04/2024 admin
promociones

Comparativa de Moviles Xiaomi

24/04/2024 admin
Ads Blocker Image Powered by Code Help Pro

Ads Blocker Detected!!!

We have detected that you are using extensions to block ads. Please support us by disabling these ads blocker.

Powered By
Best Wordpress Adblock Detecting Plugin | CHP Adblock