lunes, abril 02, 2018

Cómo configurar tu cuenta de Paypal para que no sea "verbose" #Paypal

La verdad es que a raíz del artículo de Cómo averiguar los números de teléfono con Paypal, Facebook, Gmail y WhatsApp que me envió Pablo García, estuve jugando un rato con las opciones de seguridad de mi cuenta de Paypal, y quedé bastante decepcionado de todas ellas. Pero no paré hasta que no conseguí tener la cuenta como yo quería, y este artículo os trae lo que hice para evitar que Paypal diera información de mi número de teléfono personal.

Figura 1: Cómo configurar tu cuenta de Paypal para que no sea "verbose"

Antes de comenzar a proteger tu cuenta, revisa que la quieres tener de esta forma o no.  Como hemos visto en el artículo anterior, el problema está en las opciones de recuperación de contraseña, donde si tienes verificado el correo electrónico, creadas preguntas de seguridad y asociado un número de teléfono, las opciones que ofrece Paypal son estas.

Figura 2: Opciones de recuperación de cuenta en Paypal con
Teléfono verificado, e-mail verificado y Preguntas de Seguridad.

Para mí, a excepción de la opción de recuperar la contraseña vía correo electrónico - que tengo protegido con Latch Cloud TOTP, ninguna de las otras dos opciones me gustaba. La primera de recibir un mensaje SMS, porque el interface de Paypal es demasiado "verbose" con mi número de teléfono. Da demasiados dígitos y quería quitarla.

Ni mi número, ni Preguntas de (in)Seguridad

La segunda opción, de recuperar la contraseña vía Preguntas de Seguridad, me parece un fallo de garrafal en los tiempos en los que vivimos. Son más Preguntas de (In)Seguridad que otra cosa. Más, cuando las preguntas no se pueden elegir y las personas menos informadas van a responderlas de verdad, es decir, poniendo el segundo apellido de su abuela, o el nombre de su primer colegio.

Figura 3: Preguntas de (In)Seguridad en Paypal

Yo he jugado muchas veces a esto con las cuentas de mis amigos, en sitios como Facebook o Apple ID, y la verdad es que es una pena. Deberían desaparecer esas opciones sí o sí de los sistemas de recuperación de cuentas. Yo la quería fuera, y la gracia está que, intentando quitar el número SMS, configuré las Preguntas de Seguridad... y una vez las configuras, se quedan para siempre. Fail. 

Configurando mi cuenta desde cero

Para revisar la configuración de seguridad de tu cuenta, debes entrar en la zona de configuración, accesible por el icono de la "rueda dentada" arriba a la derecha, y luego dentro del Centro de Seguridad. Ahí te aparecen las siguientes partes que puedes configurar. No me voy a centrar en todo, pero sí en lo más importante.

Figura 4: Centro de Seguridad en Paypal


Como os he dicho, una vez que configuras las Preguntas de Seguridad no se pueden quitar, pero tampoco se puede quitar el Número de Teléfono si lo has asociado y verificado. Yo intente Configurar un 2FA en Paypal y desactivar el número de teléfono como 2FA, pero ni aún así desaparece de las opciones de recuperación de contraseña, así que había que buscar otro mecanismo.

Paso 1: Vacía tu cuenta de Paypal

No me quedó otra opción que configurar mi cuenta de Paypal desde el principio, para ello, moví todo el dinero de mi cuenta Paypal a otra cuenta puente para comenzar desde cero a configurar mi cuenta. Una vez que la tuve vacía.

Paso 2: Borra tu cuenta de Paypal

El proceso de borrar tu cuenta es sencillo. Pierdes información de log, personalizaciones, contactos almacenados, etcétera. Así que si quieres mantener algo de eso, haz backup antes de esa información. Yo la borre completa. desde las opciones de Paypal. Es sencillo y rápido. Tarda menos de un par de segundos.

Figura 5: Opción de borrado de cuenta

Paso 3: Recrea tu cuenta de Paypal... con el mismo usuario

Nada más borrar tu cuenta de Paypal, tu e-mail queda liberado para que pueda ser usado por cualquiera, algo que me llamó la atención. Yo estaba preparado a utilizar otro correo electrónico, pero me dejó recrear la cuenta al minuto. Así que, ojo que no te caduque el correo electrónico que usas.

Por supuesto, sea el correo electrónico que sea, pon un 2FA en él. En estos enlaces tienes cómo configurar un Latch Cloud TOTP en algunos de ellos:

- Configurar Latch Cloud TOTP en Office 365.
- Configurar Latch Cloud TOTP en Gmail y Google.
- Configurar Latch Cloud TOTP en ProtonMail.

Paso 4: No Verifiques tu número de teléfono... ni pongas Preguntas de (In)Seguridad


Si verificas tu Número de Teléfono o creas las Preguntas de Seguridad, ya no hay vuelta atrás, así que cuando pongas tu número de teléfono en la creación de la cuenta no lo verifiques. Yo me salté ese paso, y la cuenta funciona. Sale en la parte de abajo que no está confirmado.

Figura 6: Número de Teléfono no confirmado

Esto evita el leakage del número, pero también hace que no pueda recuperar la cuenta vía SMS o llamada de teléfono, así que hay que tomar medidas extras de seguridad para evitar no poder recuperar la cuenta. Nota: Se va a verificar el número en cuento crees una Clave de Seguridad, así que no la crees si no quieres que 5 dígitos de tu número de teléfono salgan en las opciones de recuperación.

Figura 7: Si Creas la Clave de Seguridad se verifica tu Número de Móvil

Por supuesto, evita el uso de las Preguntas de Seguridad. No es mi recomendación para nada que las utilices. Siempre se abre una puerta a que alguien averigüe qué has configurado. No es divertido.

Paso 5: Verifica tu correo electrónico y usa un gestor de contraseñas


Para proteger tu cuenta, comienza por verificar tu correo electrónico. Así tendrás cierto control sobre tu cuenta de Paypal. Esto se hace simplemente haciendo clic en el mensaje que Paypal te envía a la cuenta cuando la creas.  Es un poco extraño que Paypal no permita ver y copiar el enlace para los que nos gusta ver dónde hacemos clic y evitar un poco más el phishing copiando el enlace manualmente. Otro mini-negativo para el servicio.

Figura 8: Verificación de correo en Paypal

Mi recomendación, para que no olvides la contraseña de Paypal, es que utilices un Gestor de Contraseñas para configurar una contraseña que no sea fácil de adivinar por nadie, evitando palabras de diccionario o cosas que estén asociadas a ti, y que utilices un gestor de contraseñas para almacenarla.

Figura 9: Contraseña en Paypal con complejidad exigida

Las opciones de complejidad de la contraseña de Paypal van a forzar que no sea muy fácil de recuperar, ya que tiene que tener mayúsculas y minúsculas, más de 8 caracteres y dígitos, con lo que lo mejor es que la tengas protegida en un gestor de contraseñas.

Paso 6: Configura tu 2FA en Paypal

Como os expliqué el otro día, existe una forma de Configurar un 2FA en Paypal sin necesidad de utilizar el SMS (y que se publiquen tus 5 dígitos del número) ni comprar el dispositivo hardware que utiliza Paypal. Para ello, sigue los pasos que te expliqué en este artículo: Cómo configurar Latch Cloud TOTP en Paypal.


Figura 10: Cómo configurar Latch Cloud TOTP en Paypal

Son muy sencillos los pasos, pero lee el artículo con cuidado para no perderte que tienes que generar el número de serie del dispositivo hardware, a diferencia de un servicio normal de TOTP.

Paso 7: Verifica las opciones de recuperación de contraseña

Yo he añadido de vuelta mi dinero, he enviado dinero y he recibido. Y va todo normal. Y cuando intento ver las opciones de Recuperar mi Contraseña, lo que sale es el siguiente mensaje.

Figura 11: Al recuperar la cuenta sin número de teléfono verificado

Por supuesto, tengo verificado mi dirección de correo electrónico. Tengo protegida mi cuenta de Paypal con un 2FA y tengo protegida mi cuenta de e-mail asociada a Paypal con un 2FA. Además de tener almacenada mi password compleja de Paypal en un Gestor de Contraseñas. He perdido la opción de recuperación de cuenta pero para mi está ok. Además, Paypal tiene servicio de atención telefónica para poder recuperar tu cuenta con tu e-mail verificado y, por supuesto, espero no tener que recuperar la contraseña porque la recuerdo.

Saludos Malignos!

6 comentarios:

FrancoH dijo...

Muy bueno.. gracias chema.

Anónimo dijo...

¡Genial idea! Gracias.

Unknown dijo...

Chema, para lo que hiciste, te diste cuenta a través del html, de Paypal, en los últimos 2 meses, he estado asistiendo a clases de programación, soy un chaval de 13 años, y te agradecería mucho, que me des un par de consejos, de como hacerlo, al menos lo de entrar en el html, si se hacerlo, pero como mi conocimiento en programación, no es muy elevado, apenas se la ley de herencias en java eclipse, no lo puedo verificar como está el código html. Gracias de todos modos por publicar el artículo, me va a venir bien, cuando tenga mi propia cuenta.

kukko dijo...

Muchas gracias, como siempre.
...pero un detalle no sin importancia... Al crear la cuenta den Paypal hay que dar numero de telefono SI o SI, entonces, cuando ya has hecho todos los pasos y no has confirmado el numero de telefono, si das a las opciones de recuperacion, vuelven a ofrecerte recibir una llamada a tu numero de telefono!!! y generando un codigo en pantalla del pc para que lo introduzcas a traves del telefono , cuando no aceptas es cuando sale la pantalla que mencionas al final del post con el simbolo de alerta !
y sigue dando en claro los mismos 5 dígitos de siempre....
este paso no lo has comentado en el post, entonces,,,,estamos como al principio? hay que poner un numero de movil falso? que hacemos?
Un saludo y gracias por todo, txema

joma dijo...

Muy cierto he intentado hacer eso pero como mencionas ahi que dar un numero si o si..u omiti algo sin querer, saludos

mpedraza dijo...

Me han hackeado Paypal!!! Sí, lo han hecho. Tengo configurado mi número de teléfono, y creía que era seguro. Bueno, pues ayer me hackearon. Me hicieron dos cargos, uno a baggood y otro en booking (600 eur). El curioso es el de booking, ya que a pesar de pagar desde mi cuenta de paypal, haber entrado en mi cuenta de correo asociada (Hotmail.com), la confirmación y el PIN de las vacaciones, nadie sabe en qué cuenta lo han confirmado. He solicitado cancelación del pago por fraude a paypal, he cambiado todas las opciones de seguridad de paypal y de la cuenta de correo, he dado de baja la tarjeta de correo, y he denunciado a la Policía. Pero me quedo con ganas de saber como lo han hecho...... Y lo peor, que han despertado el gusanillo de friki que llevaba años durmiendo, espero que a mi edad no sea tarde para aprender Seguridad y friquear en la red. En fin, espero que os sirva. Bss a tod@s.

Entrada destacada

Programa de Especialización "Inteligencia Artificial para Expertos en Ciberseguridad" 2ª Edición.

Hoy, en medio del verano, os traigo información de la 2ª Edición del   Programa de Especialización  de "Inteligencia Artificial para Ex...

Entradas populares