Portada
mis comunidades
otras secciones
#4:
Es importante que existan dos contraseñas distintas una para consulta dentro del banco y otra para operaciones de movimiento de dinero como son las transferencias.
Al menos en ING Direct de piden el uso de una tarjeta de coordenadas que la tienes que tener físicamente para conocer el código, se introduce siempre mediante teclado virtual. Hecho según el tipo de operación también te piden la confirmación de SMS.
En iBanesto hay también dos claves, una para consulta y otra para operaciones de movimiento de dinero. Pero por desgracia ambas son contraseñas relativamente cortas y que con un par o tres de operaciones el troyano puede capturar sin problemas. Tiene teclado virtual pero creo que solo se usa para la primera clave y no para la segunda, que es la importante.
Paypal no me gusta mucho ya que a la mínima hacen cargos a tu cuenta y su medida de seguridad es una única contraseña. Tengo que mirar si se pueden desactivar los cargos a cuenta para que únicamente use el saldo existente (casi seguro que sí pero por pereza aún no lo he hecho). Con esta configuración sí tendría una seguridad aceptable al permitir poner un límite específico y puntual para una compra específica.
En cualquier caso es inadmisible que a día de hoy haya bancos con banca electrónica que no tengan niveles aceptables de seguridad. Por suerte están aún asumiendo la responsabilidad de su incompetencia y en la práctica totalidad de los casos denunciados asumen ellos el importe del dinero robado.
He estado buscando algún estudio fiable al respecto y únicamente he encontrado esta tabla que tampoco aporta mucho: http://1.bp.blogspot.com/_fWA7DVpD2eo/TMR4AVoVX0I/AAAAAAAAAjQ/xLXHl_NNWig/s1600/bancos-ssl.jpg
Si alguien tiene un enlace con un estudio con mayor profundidad se lo agradecería.
Al menos en ING Direct de piden el uso de una tarjeta de coordenadas que la tienes que tener físicamente para conocer el código, se introduce siempre mediante teclado virtual. Hecho según el tipo de operación también te piden la confirmación de SMS.
En iBanesto hay también dos claves, una para consulta y otra para operaciones de movimiento de dinero. Pero por desgracia ambas son contraseñas relativamente cortas y que con un par o tres de operaciones el troyano puede capturar sin problemas. Tiene teclado virtual pero creo que solo se usa para la primera clave y no para la segunda, que es la importante.
Paypal no me gusta mucho ya que a la mínima hacen cargos a tu cuenta y su medida de seguridad es una única contraseña. Tengo que mirar si se pueden desactivar los cargos a cuenta para que únicamente use el saldo existente (casi seguro que sí pero por pereza aún no lo he hecho). Con esta configuración sí tendría una seguridad aceptable al permitir poner un límite específico y puntual para una compra específica.
En cualquier caso es inadmisible que a día de hoy haya bancos con banca electrónica que no tengan niveles aceptables de seguridad. Por suerte están aún asumiendo la responsabilidad de su incompetencia y en la práctica totalidad de los casos denunciados asumen ellos el importe del dinero robado.
He estado buscando algún estudio fiable al respecto y únicamente he encontrado esta tabla que tampoco aporta mucho: http://1.bp.blogspot.com/_fWA7DVpD2eo/TMR4AVoVX0I/AAAAAAAAAjQ/xLXHl_NNWig/s1600/bancos-ssl.jpg
Si alguien tiene un enlace con un estudio con mayor profundidad se lo agradecería.
#28:
#8 La mayoría de los métodos de phishing se basan en la ingeniería social, por lo que ni siquiera un sistema operativo libre de fallos (el cual no existe) es garantía de protección.
#0 ha recibido un SMS supuestamente de su banco, pidiendo la confirmación de una transferencia de X euros. Sin entrar a valorar si en su caso particular era verdadero o falso, es una de las estrategias de phishing mas frecuentes: provocar terror y urgencia.
Llega un aviso de que se ha efectuado una transferencia de 3000 euros a una cuenta de las Islas Barbados y que sólo se dispone de 24 horas para cancelarla. Pero para ello, es necesario un procedimiento especial y personalizado, al cual se accede desde el enlace que el mensaje proporciona. Naturalmente, los que ya entendemos de técnicas de phishing sabemos que el enlace conduce a una web calcada a la del banco, que se hará con las dos contraseñas habituales. Pero mucha gente, aterrorizada ante la idea de perder mucho dinero, correrá a efectuar esa "cancelación" sin darse cuenta de sus terribles efectos.
Por tanto, primer mandamiento: cuanto más desastrosas sean las consecuencias del peligro del que advierte el mensaje y más nos incite a correr a evitarlo, mayor probabilidad de que se trate de una estafa. Es precisamente el miedo lo que los delincuentes buscan.
Segundo mandamiento: no os fiéis sólo del "candadito" como dice el artículo. Pinchad en la información de seguridad (dependiendo del navegador, suele ser algún icono al lado de la barra de direcciones) y verificad que realmente pertenece al banco. NUNCA JAMÁS hay que meterse al banco pinchando un enlace (en realidad, pinchar enlaces de E-mails es una temeridad en sí misma). Idea anti-pharming: averiguar la IP del banco y acceder directamente con ella, si lo permite (si no lo permite, añadidla al archivo HOSTS).
Keyloggers: si realmente os preocupan y no hay disponible teclado virtual, abrir el Bloc de Notas y teclead la contraseña intercalando letras entre navegador y Bloc de Notas. Por supuesto, terminantemente prohibido acceder a un banco desde cibercafés o incluso la oficina (podemos tener al traidor como compañero de mesa, y un keylogger de hardware USB o PS/2 es muy fácil de colocar). Sistema alternativo: tener un fichero de texto con las contraseñas (cifrado, claro está) y hacer copiar-pegar. Aunque todo esto fallaría ante un keylogger de vídeo (que sería un videologger).
Otra idea bastante buena que todo banco debería tener es no pedir la contraseña completa, sino parte de ella (cambiando en cada ocasión). De ese modo, ni keyloggers ni videologgers serían eficaces.
#0 ha recibido un SMS supuestamente de su banco, pidiendo la confirmación de una transferencia de X euros. Sin entrar a valorar si en su caso particular era verdadero o falso, es una de las estrategias de phishing mas frecuentes: provocar terror y urgencia.
Llega un aviso de que se ha efectuado una transferencia de 3000 euros a una cuenta de las Islas Barbados y que sólo se dispone de 24 horas para cancelarla. Pero para ello, es necesario un procedimiento especial y personalizado, al cual se accede desde el enlace que el mensaje proporciona. Naturalmente, los que ya entendemos de técnicas de phishing sabemos que el enlace conduce a una web calcada a la del banco, que se hará con las dos contraseñas habituales. Pero mucha gente, aterrorizada ante la idea de perder mucho dinero, correrá a efectuar esa "cancelación" sin darse cuenta de sus terribles efectos.
Por tanto, primer mandamiento: cuanto más desastrosas sean las consecuencias del peligro del que advierte el mensaje y más nos incite a correr a evitarlo, mayor probabilidad de que se trate de una estafa. Es precisamente el miedo lo que los delincuentes buscan.
Segundo mandamiento: no os fiéis sólo del "candadito" como dice el artículo. Pinchad en la información de seguridad (dependiendo del navegador, suele ser algún icono al lado de la barra de direcciones) y verificad que realmente pertenece al banco. NUNCA JAMÁS hay que meterse al banco pinchando un enlace (en realidad, pinchar enlaces de E-mails es una temeridad en sí misma). Idea anti-pharming: averiguar la IP del banco y acceder directamente con ella, si lo permite (si no lo permite, añadidla al archivo HOSTS).
Keyloggers: si realmente os preocupan y no hay disponible teclado virtual, abrir el Bloc de Notas y teclead la contraseña intercalando letras entre navegador y Bloc de Notas. Por supuesto, terminantemente prohibido acceder a un banco desde cibercafés o incluso la oficina (podemos tener al traidor como compañero de mesa, y un keylogger de hardware USB o PS/2 es muy fácil de colocar). Sistema alternativo: tener un fichero de texto con las contraseñas (cifrado, claro está) y hacer copiar-pegar. Aunque todo esto fallaría ante un keylogger de vídeo (que sería un videologger).
Otra idea bastante buena que todo banco debería tener es no pedir la contraseña completa, sino parte de ella (cambiando en cada ocasión). De ese modo, ni keyloggers ni videologgers serían eficaces.
#63:
El artículo para mi es cuanto menos cómico
A pesar de que utilizo el firewall Zone Alarm, el antivirus Avast (protección en tiempo real), y ad-ware, me han debido de colar un troyano. Después de hacer un escaneo del equipo con Avast, ad-Ware, y Microsoft Security Essential, no se detectó nada anómalo. Nada.
Pues chico lo siento pero Zone Alarm como firewall de aplicaciones es bastante de juguete, es un producto cutre para el gran público, con una efectividad realmente baja. Sobre Avast y todos los antivirus basados en firmas y heurística de estar por casa, pues hombre, es que un sistema tan rudimentario como catalogar todos los virus del mundo, para que no te infecten...que esperabas?
¿Conclusión? No puedes bajar la guardia por el hecho de tener protegido tu equipo. Nada te garantiza que no haya algún malware indetectable para tu antivirus. Entonces, tenemos que seguir SIEMPRE algunas reglas básicas al realizar alguna operación de banca online :
Lo siento para con un sistema operativo PRIVATIVO e inseguro, tu equipo no estaba protegido, y mucho menos agregando mas y mas software PRIVATIVO (zone alarm), por encima, liándolo aún mas.
También podría ser alguno de los muchos pdf´s que me descargo (Acrobat Reader tiene un historial importante de fallos de seguridad…habrá que cambiarse a otros lectores más fiables). Qué sé yo…espero haber aprendido de esto…
En un sitio dice que tiene el protegido el sistema, mas abajo confiesa utiliza Acrobat Reader...
Conclusión para mi: típico usuario de windows, con el pc lleno de mierda, que cree que tiene el PC protegido.
A pesar de que utilizo el firewall Zone Alarm, el antivirus Avast (protección en tiempo real), y ad-ware, me han debido de colar un troyano. Después de hacer un escaneo del equipo con Avast, ad-Ware, y Microsoft Security Essential, no se detectó nada anómalo. Nada.
Pues chico lo siento pero Zone Alarm como firewall de aplicaciones es bastante de juguete, es un producto cutre para el gran público, con una efectividad realmente baja. Sobre Avast y todos los antivirus basados en firmas y heurística de estar por casa, pues hombre, es que un sistema tan rudimentario como catalogar todos los virus del mundo, para que no te infecten...que esperabas?
¿Conclusión? No puedes bajar la guardia por el hecho de tener protegido tu equipo. Nada te garantiza que no haya algún malware indetectable para tu antivirus. Entonces, tenemos que seguir SIEMPRE algunas reglas básicas al realizar alguna operación de banca online :
Lo siento para con un sistema operativo PRIVATIVO e inseguro, tu equipo no estaba protegido, y mucho menos agregando mas y mas software PRIVATIVO (zone alarm), por encima, liándolo aún mas.
También podría ser alguno de los muchos pdf´s que me descargo (Acrobat Reader tiene un historial importante de fallos de seguridad…habrá que cambiarse a otros lectores más fiables). Qué sé yo…espero haber aprendido de esto…
En un sitio dice que tiene el protegido el sistema, mas abajo confiesa utiliza Acrobat Reader...
Conclusión para mi: típico usuario de windows, con el pc lleno de mierda, que cree que tiene el PC protegido.
#19:
¿Y para evitar que se la lleven los bancos hay algun truco?
#8:
¿Y que tal no usar un sistema operativo de juguete?
#22:
Copio y pego mi comentario del blog:
Siento deciros que los teclados virtuales ya no sirven, puedes buscar en youtube y vereis como hay troyanos que te graban en un vídeo un recuadro alrededor del ratón que les permite ver las teclas que pulsas en el teclado virtual y luego se lo envían a sus servidores sin que te des cuenta...
El mejor sistema es el de tener notificación por sms, te permite estar al tanto de tu actividad con el banco a tiempo real.
Siento deciros que los teclados virtuales ya no sirven, puedes buscar en youtube y vereis como hay troyanos que te graban en un vídeo un recuadro alrededor del ratón que les permite ver las teclas que pulsas en el teclado virtual y luego se lo envían a sus servidores sin que te des cuenta...
El mejor sistema es el de tener notificación por sms, te permite estar al tanto de tu actividad con el banco a tiempo real.
#26:
Yo me estoy planteando seriamente utilizar Linux para casi todo (dejaría un Windows para juegos).
Y lo cierto es que me identifico bastante con esta persona. Soy bastante cuidadoso en temas de seguridad, y aun así por lo que veo me la podrían jugar.
Y lo cierto es que me identifico bastante con esta persona. Soy bastante cuidadoso en temas de seguridad, y aun así por lo que veo me la podrían jugar.
#1:
Buen consejo ese de los teclados virtuales. A tener en cuenta.
Comentarios
Es importante que existan dos contraseñas distintas una para consulta dentro del banco y otra para operaciones de movimiento de dinero como son las transferencias.
Al menos en ING Direct de piden el uso de una tarjeta de coordenadas que la tienes que tener físicamente para conocer el código, se introduce siempre mediante teclado virtual. Hecho según el tipo de operación también te piden la confirmación de SMS.
En iBanesto hay también dos claves, una para consulta y otra para operaciones de movimiento de dinero. Pero por desgracia ambas son contraseñas relativamente cortas y que con un par o tres de operaciones el troyano puede capturar sin problemas. Tiene teclado virtual pero creo que solo se usa para la primera clave y no para la segunda, que es la importante.
Paypal no me gusta mucho ya que a la mínima hacen cargos a tu cuenta y su medida de seguridad es una única contraseña. Tengo que mirar si se pueden desactivar los cargos a cuenta para que únicamente use el saldo existente (casi seguro que sí pero por pereza aún no lo he hecho). Con esta configuración sí tendría una seguridad aceptable al permitir poner un límite específico y puntual para una compra específica.
En cualquier caso es inadmisible que a día de hoy haya bancos con banca electrónica que no tengan niveles aceptables de seguridad. Por suerte están aún asumiendo la responsabilidad de su incompetencia y en la práctica totalidad de los casos denunciados asumen ellos el importe del dinero robado.
He estado buscando algún estudio fiable al respecto y únicamente he encontrado esta tabla que tampoco aporta mucho: http://1.bp.blogspot.com/_fWA7DVpD2eo/TMR4AVoVX0I/AAAAAAAAAjQ/xLXHl_NNWig/s1600/bancos-ssl.jpg
Si alguien tiene un enlace con un estudio con mayor profundidad se lo agradecería.
#4
iBanesto permite el uso de certificados
#40 Le veo dos grandes problemas al uso del certificado digital:
- Te limita la movilidad. No puedes operar desde cualquier sitio a menos que lleves el certificado digital encima, algo poco práctico. Cuando se masifique el uso del DNI-e probablemente este problema desaparezca pero por ahora no me parece práctico.
- No identifica a una persona sino a un equipo. Es decir, si el atacante coge el control de tu ordenador y opera cuando tu no estás delante la pantalla tiene el certificado a su merced. En cualquier caso estará protegido por contraseña pero ésta también puede haberse capturado en tu anterior uso.
Por otro lado no me sirve eso de "puedes hacer tal o cual", la seguridad por defecto del banco debe ser suficientemente buena. No puede permitir que el usuario elija el "modo inseguro" ya que presupone que éste es suficientemente experto para saber elegir y eso normalmente no es así.
#44
No hace falta que el eDNI se masifique: puedes obtenerlo mañana mismo en tu comisaría.
Esto te identifica personalmente y sólo necesitas un lector.
El cualquier caso, iBanesto tiene 2 claves ( una de acceso y otra de transacciones ) , junto con un código de verificación enviado por SMS. Esto me parece bastante seguro.
#47 Lo del SMS no lo recordaba, hace meses que no lo uso. Siendo así sí es suficiente.
De hecho el SMS se está convirtiendo en un estándar en todos los bancos, es una buena noticia.
Otra parte beneficiosa es que si alguien intenta la transferencia el SMS te sirve para alertarte del intento de robo con lo que puedes proceder a cambiar las claves.
#4 Te pongo el articulo de donde sale la tabla:
http://www.securitybydefault.com/2010/10/bancos-y-ssl-quien-aprueba.html
Aconsejo la lectura del blog , es muy didactico y muy interesante.
¿Y que tal no usar un sistema operativo de juguete?
#8 La mayoría de los métodos de phishing se basan en la ingeniería social, por lo que ni siquiera un sistema operativo libre de fallos (el cual no existe) es garantía de protección.
#0 ha recibido un SMS supuestamente de su banco, pidiendo la confirmación de una transferencia de X euros. Sin entrar a valorar si en su caso particular era verdadero o falso, es una de las estrategias de phishing mas frecuentes: provocar terror y urgencia.
Llega un aviso de que se ha efectuado una transferencia de 3000 euros a una cuenta de las Islas Barbados y que sólo se dispone de 24 horas para cancelarla. Pero para ello, es necesario un procedimiento especial y personalizado, al cual se accede desde el enlace que el mensaje proporciona. Naturalmente, los que ya entendemos de técnicas de phishing sabemos que el enlace conduce a una web calcada a la del banco, que se hará con las dos contraseñas habituales. Pero mucha gente, aterrorizada ante la idea de perder mucho dinero, correrá a efectuar esa "cancelación" sin darse cuenta de sus terribles efectos.
Por tanto, primer mandamiento: cuanto más desastrosas sean las consecuencias del peligro del que advierte el mensaje y más nos incite a correr a evitarlo, mayor probabilidad de que se trate de una estafa. Es precisamente el miedo lo que los delincuentes buscan.
Segundo mandamiento: no os fiéis sólo del "candadito" como dice el artículo. Pinchad en la información de seguridad (dependiendo del navegador, suele ser algún icono al lado de la barra de direcciones) y verificad que realmente pertenece al banco. NUNCA JAMÁS hay que meterse al banco pinchando un enlace (en realidad, pinchar enlaces de E-mails es una temeridad en sí misma). Idea anti-pharming: averiguar la IP del banco y acceder directamente con ella, si lo permite (si no lo permite, añadidla al archivo HOSTS).
Keyloggers: si realmente os preocupan y no hay disponible teclado virtual, abrir el Bloc de Notas y teclead la contraseña intercalando letras entre navegador y Bloc de Notas. Por supuesto, terminantemente prohibido acceder a un banco desde cibercafés o incluso la oficina (podemos tener al traidor como compañero de mesa, y un keylogger de hardware USB o PS/2 es muy fácil de colocar). Sistema alternativo: tener un fichero de texto con las contraseñas (cifrado, claro está) y hacer copiar-pegar. Aunque todo esto fallaría ante un keylogger de vídeo (que sería un videologger).
Otra idea bastante buena que todo banco debería tener es no pedir la contraseña completa, sino parte de ella (cambiando en cada ocasión). De ese modo, ni keyloggers ni videologgers serían eficaces.
¿Y para evitar que se la lleven los bancos hay algun truco?
El artículo para mi es cuanto menos cómico
A pesar de que utilizo el firewall Zone Alarm, el antivirus Avast (protección en tiempo real), y ad-ware, me han debido de colar un troyano. Después de hacer un escaneo del equipo con Avast, ad-Ware, y Microsoft Security Essential, no se detectó nada anómalo. Nada.
Pues chico lo siento pero Zone Alarm como firewall de aplicaciones es bastante de juguete, es un producto cutre para el gran público, con una efectividad realmente baja. Sobre Avast y todos los antivirus basados en firmas y heurística de estar por casa, pues hombre, es que un sistema tan rudimentario como catalogar todos los virus del mundo, para que no te infecten...que esperabas?
¿Conclusión? No puedes bajar la guardia por el hecho de tener protegido tu equipo. Nada te garantiza que no haya algún malware indetectable para tu antivirus. Entonces, tenemos que seguir SIEMPRE algunas reglas básicas al realizar alguna operación de banca online :
Lo siento para con un sistema operativo PRIVATIVO e inseguro, tu equipo no estaba protegido, y mucho menos agregando mas y mas software PRIVATIVO (zone alarm), por encima, liándolo aún mas.
También podría ser alguno de los muchos pdf´s que me descargo (Acrobat Reader tiene un historial importante de fallos de seguridad…habrá que cambiarse a otros lectores más fiables). Qué sé yo…espero haber aprendido de esto…
En un sitio dice que tiene el protegido el sistema, mas abajo confiesa utiliza Acrobat Reader...
Conclusión para mi: típico usuario de windows, con el pc lleno de mierda, que cree que tiene el PC protegido.
#63 Amigo, no puedo estar más de acuerdo. Y eso que yo también uso Windows, pero se a lo que me atengo.
#15 ¿Y qué razón tienes para no poder usar linux? Yo lo veo al revés, todos pueden usar linux ya que es libre, pero no Windows.
#29 Yo, por ejemplo, el software que necesito para trabajar solo funciona bajo Windows y no tengo otro alternativo o compatible que funcione en linux.
#32 Ah te refieres a compatibilidad, tienes razón. A veces wine lo soluciona pero bueno, a ver si cada vez hay más versiones de programas para linux.
#32 #36 Y os olvidais de lo mas importante. Y es que aqui NO se esta debatiendo eso.
#77 ve a #36, y perdon por el offtopic #43, pero hay que contestar
#87 ¿Me enlazas a #36 para? No sé si alguna vez has usado un programa de diseño en Wine, porque no es ni una solución contemplada, mucho menos para programas de 3D que ya es suerte si los ejecuta. Las máquinas virtuales tampoco son una solución.
No voy a tener un sistema operativo libre a la fuerza si este no cumple mis exigencias, mucho menos cuando hay otro que las cumple por completo, en el aspecto de que los programas se han desarrollado para él, no malinterpretes.
Además, te puedo decir que aunque Windows acabe jodiéndose con el tiempo, pasar de Linux a éste fue orgásmico: el sistema de ventanas va mucho más fluido (al menos que Gnome, no sé cómo irán los otros), a la hora de usar dos monitores no hay punto de comparación...
A los usuarios estándar les recomiendo Linux porque cubre todo los requisitos (internet y ofimática) y consume menos recursos, pero para los profesionales de algunos sectores es inviable por el momento, le falta el apoyo de las desarrolladoras.
#32 puedes instalar ambos sistemas operativos y solucionado, o incluso usar un Live CD para los temas bancarios, con un Live CD ni keyloggers ni leches y es muy útil por si tienes que usar PC's ajenos de dudosa seguridad
#45 Tengo instalado Ubuntu y WIndows. Y el live CD no lo he usado nunca, pero no realizo ninguna operación, ni siquiera consultar el correo personal, desde un ordenador que no sea el mío.
#52 esa es otra; en casos extremos cuando tengo que hacerlo tecleo usuario y password copiando y pegando de aqui y de alli, borrando aqui y alli, de manera que queda imposible de saber la contraseña...
#29 3d max studio, photoshop, flash, 3d rhinoceros, Illustrator...
Para cada tren hay un viajero, me aburre ya lo de "usa linux", cada cual que use lo que quiera
Fmdo: antiguo usuario de ubuntu y debian
#83 ¿Me argumentas tu negativo en #77?
Porque si es por no estar de acuerdo en la emulación de programas Windows en Linux, podrías decirme si eres capaz de correr Photoshop x64 o After Effects x64 o mismo x86 en Wine. Igual tú conseguiste algo que los desarrolladores aún no consiguieron hacer. Wine es bueno para programas básicos, pero no es la solución a programas potentes, repito. Lo digo bajo la experiencia de haberlo intentado.
Ahora si quieres vótame de nuevo negativo, esta vez me lo tomaré como que no tienes argumentos para debatirme.
P.D: No por ser fanboy de Linux eres mejor que un Fanboy de Apple o de Windows.
Buen consejo ese de los teclados virtuales. A tener en cuenta.
#1 Los keyloggers los carga el diablo!
Copio y pego mi comentario del blog:
Siento deciros que los teclados virtuales ya no sirven, puedes buscar en youtube y vereis como hay troyanos que te graban en un vídeo un recuadro alrededor del ratón que les permite ver las teclas que pulsas en el teclado virtual y luego se lo envían a sus servidores sin que te des cuenta...
El mejor sistema es el de tener notificación por sms, te permite estar al tanto de tu actividad con el banco a tiempo real.
Nada es 100% fiable, pero bueno. Mi banco usa teclado virtual (aunque con lo que dice #22 ya no pienso que sea tan seguro), tarjeta virtual -un nº de tarjeta aleatorio para hacer las compras-, claves por sms... hoy por hoy creo que es más seguro operar online que ir al banco andando y que te salga un "kinki" con un pincho.
Ojito con los keyloggers que algunos son jodidos de detectar de verdad.
Y yo añado:
- usa GNU/Linux
Los teclados virtuales no sirven si te están grabando. Coincido con #3
#3 Él podrá decirte a ti que uses Windows. No todos podemos usar Linux.
Edito: Windows trae su propio teclado virtual para discapacitados.
#3 Con eso queda el pishing solucionado.
Un día, Windows mató a mi gato y violó a mi perrita
La mejor solución es el SC Antivirus, que por desgracia es difícil de encontrar, y imposible de instalar en algunos sistemas
PD: SC = Sentido Común
#76 Quise decir "e imposible". Esas copas de después de comer que terminan a la hora de cenar tienen la culpa
#3 lo secundo.
#72 ni lamers, ni phreaker.
#24 En una Isla secreta, ahora que todos los internautas somos "Piratas" sería un buen método, no marquéis la X en el google maps o derivados.
Lo de GNU/Linux lo veo como una solución para reducir el ERROR de tipo maquina, es decir intrusión de virus o de otros agentes, pero esta maquina esta controlada por un usuario, y este usuario si los puede cometer, y hay entra otra vez GNU/Linux o derivados , no puedes arrancar el sistema GNU/Linux directamente en RooT(Superusuario o Marronman como yo le llamo) y eso evita muchos problemas basados en descuidos por parte del usuario.
También hay niveles de seguridad en los S.O. y se puede decir que un GNU/Linux instalado de serie tiene una mucho mejor seguridad que un W**D**s, pero que sepáis que eso es el primer escalón y que se pueden subir muchos más y hay está el hecho diferencial entre usar un W**D*S y un GNU/Linux , que este ultimo, en cuanto a seguridad es escalable.
PD:Por cierto para los de las aplicaciones vitales en W**D*S tenemos WINE(GPL) y parallels de pago
#83 ¿Tanto te molesta que no me hayan robado nunca que me negativizas? Chico, ya lo siento, pero así son las cosas. Y sin presumir de ser más listo que nadie.
Yo me estoy planteando seriamente utilizar Linux para casi todo (dejaría un Windows para juegos).
Y lo cierto es que me identifico bastante con esta persona. Soy bastante cuidadoso en temas de seguridad, y aun así por lo que veo me la podrían jugar.
#26 "Yo me estoy planteando seriamente utilizar Linux para casi todo (dejaría un Windows para juegos)."
Bienvenido al club.
#23 #31 Yo ahora mismo utilizo mac para trabajar ( o linux) y Win para jugar... La verdad es que a mi personalmente win no me gusta para "estar"
o no tener dinero...
asi ni te roba el banco ni los hackers
A los que dicen que se use linux les diría que sentitirse seguro es mas peligroso que tomar precauciones y asegurarse. Viven en una falsa seguridad.
Y por supuesto no usar Internet Explorer para hacer nada serio en internet.
"En cuanto a la pregunta “¿cómo me he infectado?”…bueno…alguien que como yo tiene muchísima actividad en internet, tiene mucho más riesgo de visitar alguna web infectada con código malicioso."
Alarma, visualizador de porno en cantidades industriales avistado
Triodos también permite utilizar el teclado virtual para conectarte, e igualmente necesitas tarjeta física de coordenadas para confirmar la operación...que se introduce también por teclado virtual. Y después de cada operación recibes un sms para confirmar lo que has hecho (sacar dinero del cajero, pagar en una tienda con la tarjeta, haber hecho una trasferencia, etc.).
yo llevo usando openbank y uno-e desde que salieron (hace casi 10 años), y nunca he tenido problemas; no uso antivirus en mi ordenador, me descargo de todo, y nunca he tenido un virus...y llevo 4 años sin formatear el ordenador (aunque se jubila el prox. mes). Hacer una trasnferencia a otra cuenta desde la cuenta de otro titular de 100 euros no tiene sentido; queda RASTRO, es un delito muy gordo, y total, por 100 euros? no me creo la historia del todo...quiza alguien por error puso el movil equivocado. Robar una cuenta online para retirar el dinero por trasnferencias es lo mas estupido que existe......
#60 A un conocido le robaron unos 2.500 € (que después le devolvió el banco) mediante centenares de operaciones de entre 0,75 y 50 €. Cualquiera sabe las intenciones...
#66 pues denuncia al beneficiario y mas pruebas no peudes tener!!!, el delito no es solo economico, es suplantacion de personalidad, intromision, vamos, que la llevas buena por sacar 3 perras. Es como robar en un sitio que para hacerlo tienes que entregar el DNI, absurdo...
#60 Hacer una trasnferencia a otra cuenta desde la cuenta de otro titular de 100 euros no tiene sentido; queda RASTRO, es un delito muy gordo, y total, por 100 euros? no me creo la historia del todo...quiza alguien por error puso el movil equivocado. Robar una cuenta online para retirar el dinero por trasnferencias es lo mas estupido que existe......
Que para ti sea una estupidez no significa que lo sea para todo el mundo.
A diario se roban identidades online y estas son utilizadas ordenar transferencias desde la cuenta del pardillo/listillo/desgraciado a otras cuentas. Y si lo logran es gracias a las estupideces que comete la gente debido a su ignorancia, como por ejemplo la que podrías llegar a cometer si ordenases a tu banco que desactivase cualquier tipo de operación online excepto las transferencias y comenzases a conectarte a tu banco desde cualquier ordenador sin preocuparte de su estado y/o utlizando una contraseña mas sencilla, creyendo que el riesgo de que te roben haciendo una transferencia es nulo al creer que es estúpido: cada vez que el banco gestiona una transferencia apunta la cuenta de destino y con ella podrías localizar al que tiene tu dinero para que te lo devuelva tras explicarle lo sucedido.. o peor aún, creer firmemente que el beneficiario es necesariamente el ladrón y cabreadísimo, liarla parda...¿y en lugar de esto, resulta que el saldo de la cuenta a la que se transfirió el dinero es de 0€ y el titular no existe o no sabe de la existencia de esa cuenta y resulta que estaba en coma el día que se abrio la cuenta?
Aún no saben distinguir en hackers y crackers?
Y el artículo es del tipo, "Eh! Cojo guarrerías del suelo y me pillo enfermedades. Si, soy tonto y en mi casa lo saben. Si, soy del pasado"
Si entran en mi cuenta, fijo que me dejan 30 euros y me desean suerte...
Me encanta ver como en cada noticia de seguridad informática se activa la Buitreseñal de los linuxeros que nos describen las bondades de su SO
Los que habéis marcado esta noticia como favorita es que tenéis pasta y utilizáis la banca electrónica. Gracias por la info...
El teclado virtual no sirve de mucho, porque se hace una captura de pantalla antes de que el cursor se mueva.
La tarjeta de coordenadas y el sms sí sirven, pero hay que saber que:
a) NUNCA debes escribir la tarjeta completa de coordenadas en el ordenador, estarás infectado y te estarán timando (ning´n banco las pide, ni pide nada por correo, precisamente para evitar el fraude)
b) Los sms son un buen factor de autenticación, siempre que no te infecten el móvil. Ya existen infecciones para android, symbian y blackberry (las he visto), así que nunca instales un certificado/aplicación de la que no sabes su procedencia!!
#24 En onzas de oro debajo del colchón es lo mejor.
#68 SMPlayer. Y por lo tanto, supongo que cualquier reproductor que use mplayer.
Para ver los subtítulos a la resolución nativa del monitor, basta con que uses el escalado por software.
Caixa Galicia en su versión online "Caixa activa" también tiene teclado virtual y tarjeta de coordenadas.
Las tarjetas de coordenadas están bien, pero a las 100 operaciones se tienen que repetir...
Lo que están bien son unos aparatos que generan claves en función del día y hora y la cuenta destino (la cual introduces en el aparato), de esta forma, si no te roban físicamente el aparato, no pueden tener las claves.
#11 CaixaGalicia tiene una aplicación iPhone que creo que es lo que hace. Y están entregando aparatos "físicos" para los que no tengan esa opción de instalarlo en el móvil.
#18 Lo del iPhone les saldrá más barato a la entidad (aunque si te pueden regalar una vajilla regalarte un aparato de menos de un euro no creo que les importe), pero prefiero el aparato externo porque el iPhone aunque en teoría tenga medidas de seguridad mientras no se haga jailbreak y no se le otorguen a propósito ciertos privilegios (unas aplicaciones no pueden tener acceso al contenido de otras), siempre cabe la posibilidad de que existan agujeros de seguridad, y se trata de un aparato que puede enviar los datos a través de internet.
Los SMS al móvil tampoco son seguros. Ya el año pasado se empezó a popularizar un troyano para móviles que te confirmaba las transferencias de forma transparente al usuario infectado:
http://www.theregister.co.uk/2010/09/27/zeus_mobile_malware/
Si bien los sistemas de autorización "out of band" (fuera de banda, es decir, confirmar la transacción mediante otro canal que no sea el PC para reducir la posibilidad de que todos los canales estén interceptados) son una buena medida, no se puede "bajar la guardia" confiando únicamente en ese sistema.
Los token dinámicos que apunta #11 son una buena medida y están muy extendidos fuera de España... pero yo aquí aún no he visto muchos bancos que lo empleen.
#23
Dudo mucho de la existencia de esto.
El móvil no confirma nada. Te envía un código que debes introducir en unos minutos en una casilla de verificación.
¿ Esto lo haría el troyano ? Lo dudo
#39 La gracia del asunto es que el troyano con el que se infecta el móvil reenvía el SMS con el código a quien te ha robado las claves y está haciendo la transferencia, con lo cual puede completar la operación.
#65
O sea, que el malo tiene que saber mi clave de acceso, mi clave de operación y mi número de teléfono.
Creo que puedo sentirme seguro.
Buscando en la página de asistencia de Kaspersky me encuentro con ésto:
La herramienta de Teclado Virtual no puede proteger sus datos personales si la página web, que la página web que requiere de sus datos ha sido hackeada, ya que la información esta siendo obtenida directamente por los intrusos.
Teclado virtual solo previene de la intercepción de los datos privados cuando trabaja con Microsoft Internet Explorer y el navegador Mozilla Firefox.
http://support.kaspersky.com/sp/faq/?qid=208280449
Linux no evitará que recibáis correos con contenido Phishing, ni webs falsas ni mensajes a móvil.
La información si lo hará.
Visitad www.fraudeenred.com
O estos artículos que estan muy bien:
http://www.elpais.com/edigitales/entrevista.html?id=7534
http://www.lavanguardia.es/internet/20101227/54092358643/diego-guerrero-el-sentido-comun-es-la-mejor-arma-contra-el-ciberdelincuente.html
También hay un libro en Castellano. Fraude en la Red de editorial Ra-MA muy completo sobre el tema.
Salu2
Además en Wikipedia dice que los Key-loggers también detectan y registran las pulsaciones hechas sobre un teclado virtual que es externo y no está nativamente integrado en la página del banco. http://en.wikipedia.org/wiki/Virtual_keyboard#Security_considerations
Para que no te roben lo mejor es tener los euros debajo de un ladrillo y vigilar 24horas nonstop a su lado, armado hasta los dientes
Yo como no tengo ni un duro, lo único la hipoteca
Os digo el truco infalible ... lo malo que no sirve para todos .... sentido común.
El sistema de SMS suele ser efectivo.
Y digo yo,siendo esto un suponer teórico.
En caso de los keylogger, si registran toda actividad de tecleo. Por qué no hacer un poco el paripé cuando metes los datos. Es decir. Que tienes que teclear una clave (dato sensible). Pues tecleas ristras de números en el notepad pulsando enter, teniendo varias ristras de números, hasta que tecleas el correcto en la caja correspondiente (antes, durante y después del proceso por ejemplo).
¿Serviría de algo para que el keylogger si registra lo que tecleas, al menos se lleve mierda entre medias para evitar tomar el dato correcto?
Hombre y si tienes el navegador que recuerda los datos, y tecleas solo uno pongamos que el usuario, mejor que la clave, ¿no sería también algo mas útil?
Son sólo ideas.
#42 Depende de el keylogger, los hay que registran cuando cambias de ventana e incluso cuando haces click en sitios distintos y escribes, vamos que son unos hijos de perra muy listos
. Como algunos han aconsejado yo uso linux para navegar la mayoría del tiempo.
.[/offtopic]
[offtopic] Para ver vídeos con subtítulos en condiciones aun necesito windows. ¿Alguien conoce algún programa capaz de duplicar la resolución de los subtítulos? (es para videos de baja resolución, en windows uso DirectVobSub) Y no me digáis VLC que me saca unos bordes de sierra en las letras que da gusto
Hablo de memoria, pero me suena que Kaspersky tiene un teclado virtual, mi duda es si es más seguro que cualquier otro teclado virtual.
BTW, que tal Chrome como lector de PDF? Lo uso por pereza de no instalar Acrobat o Foxnoseque Y no va mal, aunque es muy simple.
No sabéis si el teclado virtual está hecho por ladrones y espía lo que pulséis en el teclado virtual.
El sistema del colchón nunca falla, hasta que te roban en la casa
Ahora en serio, en la banca virtual lo normal es usar 2 claves, una para entrar y otra para operar, luego se suele añadir una tercera para confirmar las operaciones que te las envían por sms, primero tienes que validar tú móvil en el banco claro.
Lo del teclado virtual no lo sabía no sé si es efectivo al 100% aparentemente puede funcionar.
Otras de las opciones es usar una tarjeta virtual, la cual recargas a tu gusto y con lo justo por si te la clonan.
EA.
Eeemmm, alguien que como yo tiene muchísima actividad en internet, tiene mucho más riesgo de visitar alguna web infectada con código malicioso.
Hombre, si usas un SO algo seguro y un navegador decente es bastante complicado...
Como dice la noticia, y entre otros, un teclado virtual con elementos de seguridad (mediante codificados, etc.) emitido por el mismo banco, de tal forma que garantice, que lo escrito no sea detectado, ni puesto en tráfico.
Es posible que simplemente se haya conectado a la web de su banco usando alguna red wifi abierta o que tenga wifi con clave WPA debil (o directamente WEP) en casa, o que se haya conectado al banco desde la red local de su oficina. Si el banco no ha establecido las cookies como seguras, le han podido robar la sesión facilmente.
Y tampoco hay que olvidar que en cualquier sistema de seguridad el eslabón más debil es el ser humano: ingenieria social / compañero de piso / familia / pareja...
Aquí una serie de cosas imprescindibles a tener en cuenta que no necesitan de grandes conocimientos informáticos:
- Muy importante: no ponerse a navegar con privilegios de administrador, en Windows utilizar una cuenta restringida y ejecutar con permisos de administrador aquellas tareas que lo requieran. Es así como se usa de manera responsable el ordenador, pero en informática los usuarios aunque no tengan conocimientos son también administradores de sus equipos (mientras que un conductor no es mecánico de su propio coche). Porque resumiendo si se utiliza una cuenta restringida, todo lo que afecte al navegador no podrá causar estragos en partes sensibles del sistema, no entrarán virus por el navegador por muchas web maliciosas que visitemos.
- Desactivar Javascript en el navegador cuando estemos visitando páginas que no son de confianza, así evitamos no sólo los virus, también otro tipo de cosas que afectan a nuestra privacidad.
- Fijarse cuando se introduzcan datos sensibles en una web que aparece en la barra de direcciones https, que no nos de errores el navegador sobre un certificado no válido, para que sepamos que la web es quien dice ser por un lado y por otro que nuestros datos viajen cifrados, proteger también nuestra red doméstica si es WIFI con WPA-PSK o WPA2-PSK, con una contraseña PSK robusta, para evitar que intrusos tengan acceso a nuestra red local. Que los DNS como han dicho estén infectados no importa, ya que una web falsa nunca podrá presentar en un principio un certificado válido (al menos que lo hayamos instalado en nuestro navegaor). Como han comentado existe malware que captura las teclas pulsadas, hace capturas de pantalla e incluso los hay que generan una ventana que simula la visita a una web segura determinada en un navegador.
- Si se va a realizar una transacción muy importante utilizar un cd-live, se adquieren gratis de internet y son muy fáciles de usar.
Lo de utilizar Ubuntu u otra distribución eso que cada uno elija, yo lo recomiendo para probar nuevas cosas no tanto por la seguridad, existe por ejemplo Ubuntu para sistemas de escritorio que es muy fácil de utilizar para todo el mundo, el problema con Windows es que la gente no sabe utilizarlo de manera segura.
En mi blog http://elpiratillaguason.blogspot.com intento divulgar la seguridad informática de una forma amena y entendible para los que no son expertos ni tienen tiempo para empaparse de ésto, aunque existen artículos que requieren de ciertos conocimientos otros no y tienen una utilidad práctica.
La Caja Postal francesa, (La Banque Postale) usa un teclado virtual en el que basta detener el cursor sobre un número durante un segundo para marcarlo, sin necesidad de hacer click
¿habra creado la pagina despues de un ataque?
www.sindinero.org
Windows es un juguete. No queráis usar Windows y estar seguros, es incompatible.
Teclados virtuales????? mmmmmmmmm... lo desconocía...... está bien saberlo..
"El sentido común es la mejor arma contra el ciberdelincuente"
http://www.lavanguardia.es/internet/20101227/54092358643/diego-guerrero-el-sentido-comun-es-la-mejor-arma-contra-el-ciberdelincuente.html
PEro sin duda lo mejor es esto:
Fraude en la Red
http://libros.fnac.es/a398918/Varios-Autores-Fraude-en-la-red?PID=5&Mn=-1&Mu=-13&Ra=-1&To=0&Nu=1&Fr=0
Esta página de Facebook también es muy interesante
http://www.facebook.com/pages/FraudeenRed/133378876709485
Os ponéis un poco paranoicos: un antivirus decente, un navegador decente, no meterse en páginas raras y en general tener un poco de sentido común bastan para no tener un problema.
#48 Esto que dices es suficiente para proteger la cuenta de meneame y poco más.
Cuando hablamos de dinero toda paranoia es poca.
#51
Sí, además ahora, con Banesto, si haces una compra o sacas del cajero ( al menos en 4B ) te manda un SMS diciendo la cantidad que han sacado, lo cual te permite reaccionar en caso de que te clonen la tarjeta.
#51 LLevo años operando con bancos por internet, comprando online, etc. y jamás he tenido problema alguno. Y con Windows. La mayor parte de las estafas de internet vienen por desconocimientos del usuario.
lo mas sencillo es tener un livecd y usarlo para entrar a hacer operaciones en el banco.
lo que dicen de linux.. si ahora puede, pero si toda la gente lo usa, sera cuestion de tiempo que salgan virus/troyanos/keyloggers que los tontos de los usuarios se instalen solitos, igual que pasa en un windows bien usado(usuario limitado).
Metes tu pasta debajo de la cama.
/SOLUCION_FINAL
#34 Que fácil lo haceis siempre.
¿Quien me pagaría entonces todos los recibos automáticamente sin que yo tenga que mover hasta el banco los martes y los jueves de 8AM a 10:30?
¿Quién me permitiría realizar transferencias bancarias a otras cuentas sin tener que ir a la oficina más cercana?
¿Quién me permite tener acceso a dinero en efectivo en cualquier cajero de la ciudad sin tener que volver a casa a sacarlo del colchon?
¿Quien me permite el uso de tarjetas de debito evitandome la molestia(y el riesgo) de ir cargado de dinero?
Si eso para ti es la solución final....podemos volver al intercambio de gallinas por leche. Que así seguro que no te roban dinero.
#37 Y si en las gallinas les meto por el culo billetes, las meto debajo de la cama y despues les asigno a cada una de ellas una contraseña encriptada en SHA-512 con su corespondiente candadito y pongo trampas a los ladrones como en la peli "Solo en casa"? Entonces la cosa cambia no?
http://gamersmafia.com/storage/comments/870/70/trollface_hd.jpg
Comentario 101!!!! http://www.saulvargas.es/wp-content/uploads/2009/06/epic-fail-guy-dance.gif
No se si yo vivo en otro mundo... pero bueno... a ver si nos centramos...
- Un ladron de dinero electronico esta mas cerca de un spamer que de un Hacker o Cracker.
- Necesita:
1.- La clave de entrada a tu cuenta (DNI, fecha de nacimiento clave, etc...)
2.- La tarjeta de claves para realizar operaciones de transferencias de dinero.
3.- Necesitaría tener controlado tu movil, para bloquear el mensaje que tu banco te manda por SMS
La probabilidad de que ocurra 1 , 2 y 3 es una probabilidad condicionada, así que hay que multiplicar cada una de las probabilidades independientes, para calcular la probabilidad total de que eso ocurra.
-En el desafortunado caso que el caco haga una transferencia a su cuenta. Podemos poner una denuncia, (si como cuando nos atracan en la calle) y en algunos casos, si se lo explicamos al banco, nos ayudan y la ponen ellos.
El banco apunta TODO lo que pasa en sus sistemas, IPs, hora de acceso, tiempo de acceso, navegación que hemos realizado,... TODO es TODO, asi que:
- No será muy dificil encotrar la cuenta a la que ha sido transferido el dinero.
(recordar que el dinero electronico se puede rastrear!!! bueno hay metodos para borrar la pista pero eso es otra historia)
- La IP desde el ordenador que ha sido realizada, (si puede ser que haya utilizado proxis, etc.... pero eso es otra historia)
Todo esto no quita para que tengamos el máximo cuidado posible, y se utilicen SIEMPRE todos los sistemas de seguridad A LA VEZ!!!!
Y una cosa mas... para los fanboys de linux, no es ningún argumento válido de seguridad, utilizar un sistema no mayoritario o libre, o distinto. Ya que entonces yo podría decir que mejor acceder con un spectrum que ya no lo utiliza nadie..... por favor!!!!
Siento el "ladrillo", pero necesitaba explicarlo ... desde mi experiencia.
#91 Todo precioso, pero si te meto un palo en la cuenta, el dinero lo voy a transferir a un pringado que uso de mula que a su vez lo mandará vía Wester union a otro tio en Rumania....
Desde el momento en que la money pisa WU se acabo tus seguimientos maravillosos
Usad esto, ambos gratis
Prevx SafeOnline Free:
Comodo internet security:
http://personalfirewall.comodo.com/
#46 Ya me cuesta firme del banco imagínate tu de un tercero que pretenda ayudarme en la seguridad.
Ni de broma.
#50 Pues cuando el médico te quiera curar no te fíes y tírate por la ventana
PDFAmbas son empresas reconocias, la primera aplicación se encarga de isolar tu navegador de modo que aunque tu ordenador este infectado ningún malware podrá robar tus datos, ni captura de pantallas, ni teclas, ni injecciones dll, ni phishing...
Ejemplos prácticos:
http://www.prevx.com/customersecuritymanagement.asp
Prevx SafeOnline protects against browser-based attacks, including:
* Man-In-The-Browser
* Phishing attacks
* Keyloggers
* Screen Grabbers
* Cookie Stealers
* Info Stealing Trojans such as ZEUS, MBR, Goldun, and Silent Banker
Incluso los bancos lo recomiendan
https://www.fnb.co.za/prevx-safeonline/index.html
La segunda es la mejor suite de seguridad solo que es para usuario medios-avanzados. PDF
Prevx SafeOnline protects against browser-based attacks, including:
* Man-In-The-Browser
* Phishing attacks
* Keyloggers
* Screen Grabbers
* Cookie Stealers
* Info Stealing Trojans such as ZEUS, MBR, Goldun, and Silent Banker
Incluso los bancos lo recomiendan
https://www.fnb.co.za/prevx-safeonline/index.html
El método infalible es no hacer transacciones por internet
#9 El método infalible para no pillar enfermedades venéreas es no follar.
#12 pero es que al banco se puede ir físicamente, en tu símil tendría que follarse a distancia y poderse contagiar así enfermedades pero haciéndolo de manera normal no
así que la comparación no es válida.
#9 Más infalible aún no usar bancos
#16 ¿Pero entonces dónde guardámos nuestro dinero?