Siento ser aguafiestas, pero técnicamente los SMS no son un canal seguro de comunicación como mucha gente dentro del mundo bancario piensa. Son muy fácilmente interceptables y manipulables, pudiendo realizarse suplantación de identidad y ataques Man in th Middle de forma «sencilla». ¿El motivo? La red SMS no está cifrada como sí lo es HTTPS, todo lo que pasa por ella se puede ver y modificar.
Entiendo que ING quiere elevar su nivel de seguridad usando criptografía más avanzada (que dependiendo del caso ni siquiera necesita conexión a Internet, solo un pairing inicial para obtener la clave privada que usa el algoritmo) como hacen Authy y otras apps genéricas, cosa que con SMS no se puede cumplir.
Como programador te puedo decir que ahora mismo en Android soportar versiones antiguas se está volviendo casi como hacer una aplicación independiente y lleva mucho más tiempo de desarrollo (y gastar más espacio del teléfono, ya que muchas veces se usa código intermedio para poder hacer lo mismo entre versiones).
Supongo que habrán analizado cuantos usuarios tienen esas versiones de Android (según AppBrain el 17% de los teléfonos llevan Android 5 o inferior, aunque clientes de N26 puede que sean menos) y les compense.
El verdadero problema es de los fabricantes de los móviles, que nunca actualizan el Android de los teléfonos, cuando son dispositivos muchas veces plenamente capaces y ahí se quedan los Android 5, con todos los fallos de seguridad que tienen y demás.
Sinceramente, este artículo parece bastante estúpido, sin duda escrito por alguien que apenas maneja la criptografía, pero es normal hasta cierto punto, no todo el mundo tiene que saber de todo.
"Robar la tarjeta en un datáfono manipulado". Hmmm, eso se podía hacer con la banda magnética pero no con los chips, ya que estos realizan una firma criptográfica de cada operación y la clave privada necesaria es inaccesible (físicamente innaccesible, no hay cables que permitan acceder a ella). Solo podrías obtener firmas para un par de operaciones fraudulentas, pero se te acabarían sin posibilidad de hacer más cargos.
Sobre los passwords. Los algoritmos de fuerza bruta existen y son una... basura. Para una contraseña mínimamente decente tendría que estar probando el ordenador durante varios siglos. Por otro lado, los gestores de contraseñas son 100% fiables, al menos la teoría matemática subyacente (puede que la implementación tenga fallos). Un algoritmo de clave privada/pública es básicamente irrompible (RSA, 1977). El juego que haces con las figuras geométricas es nada comparado con lo que un cifrado decente hace a una contraseña.
El Bitcoin tiene muchos fallos, pero no me parece que la seguridad sea uno de ellos. Desde un punto de vista matemático, la blockchain es infalible, aunque eso no quita que pueda haber fallos en la implementación.
