Bancos online : cómo evitar que los “hackers” se lleven tu pasta

Compartir:

El otro día recibí un SMS en el móvil…Openbank, mi banco online, me enviaba un código para confirmar una transferencia de 100 euros a una cuenta desconocida. ¡¡Su puta madre!! Yo no había introducido ninguna orden de transferencia, se trataba de algún hijoputa que había conseguido las contraseñas y que quería desplumar a un pobre desgraciado como yo. Inmediatamente me puse en contacto con el banco para cambiar las contraseñas, formateé el portátil (los antivirus no detectaron nada), etc etc. El ciberdelincuente no consiguió su objetivo de llevarse la pasta, porque no disponía de ese código de confirmación que me llegó al móvil. Bendito código…hace no mucho tiempo, Openbank no funcionaba con este sistema de seguridad. Bien…es el momento de las reflexiones…¿¿cómo coño me la habían colado de esta manera, a mí, un usuario de tipo medio, curado de espantos??. Veamos :

¿Phising? : No. No he recibido ningún supuesto mail del banco pidiéndome contraseñas ni nada por el estilo. Además, no hubiese picado (no pq sea especialmente listo, sino pq he conocido varios casos de primera mano…)

– ¿Algún troyano con el que me hubiesen infectado? Pues…es la única explicación. A pesar de que utilizo el firewall Zone Alarm, el antivirus Avast (protección en tiempo real), y ad-ware, me han debido de colar un troyano. Después de hacer un escaneo del equipo con Avast, ad-Ware, y Microsoft Security Essential, no se detectó nada anómalo. Nada.

¿Conclusión? No puedes bajar la guardia por el hecho de tener protegido tu equipo. Nada te garantiza que no haya algún malware indetectable para tu antivirus. Entonces, tenemos que seguir SIEMPRE algunas reglas básicas al realizar alguna operación de banca online :

Utilizar teclados virtuales. Ahí la cagué yo, porque a pesar de disponer de teclado virtual para loguearme en la pagina del banco, no recurría a él, tecleando las claves de acceso (y un troyano del tipo keylogger…cualquier cosa que tecleéis, será registrado por este “programita”, cabrón donde los haya). ¿Y si mi banco no funciona con teclados virtuales?. Pues te descargas e instalas tú mism@ uno en tu equipo

– Esto ya deberíais de saberlo. Para verificar que no estamos ante una web “clonada” del banco (web falsa que suplanta a la verdadera), comprobad siempre que la dirección en la barra del navegador empieza por “https://” y que en la barra de estado del navegador hay un dibujito de un candado cerrado. Sin embargo, si hubiese un keylogger en nuestro ordenador, esta cautela serviría de poco.

– Y lo más importante, en vista de mi experiencia. Elegid un banco que trabaje con el sistema de enviar SMS´s con códigos de confirmación de ciertas operativas (como transferencias a cuentas externas). Eso fue lo que me salvó…y visto cómo está el patio, todos los bancos por internet deberían adoptar este sistema (¿conocéis alguno que no lo tenga?). Y si no lo tuviese, operad únicamente por teléfono…

En cuanto a la pregunta “¿cómo me he infectado?”…bueno…alguien que como yo tiene muchísima actividad en internet, tiene mucho más riesgo de visitar alguna web infectada con código malicioso. También podría ser alguno de los muchos pdf´s que me descargo (Acrobat Reader tiene un historial importante de fallos de seguridad…habrá que cambiarse a otros lectores más fiables). Qué sé yo…espero haber aprendido de esto…

Por cierto, se agradece comentarios y aportaciones de personas expertas en estas lides…al fin y al cabo yo no tengo ni puta idea de esto (como bien he demostrado)


65 comentarios

  1. Hydra   •  

    Hola a todos.

    Una página web muy interesante con enlaces a emisoras de radio, periódicos, revistas y televisiones en formato digital de todo el mundo (ordenado por continentes o por medio de comunicación):

    http://www.mediatico.com/

    Un saludo

  2. Jotremar   •  

    La protección perfecta no existe. Yo probaría a pasar otro antivirus, ya he visto más de una vez que un antivirus no detecte nada, instalar otro y salir 2 o 3 virus.
    También supones que el problema viene de tu pc y no por un ataque directo al banco, hará un par de años consiguieron entrar en los servidores de visa y nadie se enteró, solo se supo porque mucha gente recibía la tarjeta y se encontraba que ya estaba activada y con cargos en ella.

    Los fanboys de linux, que tengan muy claro que si trabajan de informaticos en una empresa y le dicen eso a su jefe de departamento, están con un pie en la calle, las soluciones tienen que ser pácticas y no tener que cambiar todo para entrar en el banco. Por supuesto nadie va a cambiar a linux y quedarse sin poder jugar al poker online, porque la aplicación solo esté para win XD

  3. Sergio   •  

    A todos se os esta olvidando una posibilidad
    Que el sms sea lo que es falso y en el te dejen un numero de telefono desde donde te “saquen” tus claves

  4. SrPyYy   •  

    Jotemar te comento una cosita asi rapida. Utilizo Ubuntu 10.04 en un PC de hace cuatro años y medio. Tengo en el sistema todos los programas de uso habitual que puede necesitar cualquier persona para un uso casero del ordenador: GIMP, Spotify, Skype, JDownloader, Chrome(Chromium que es libre =)) Tweetdeck(twitter), Dropbox, MSN no uso pero hay clientes como aMSN, OpenOffice con todo lo necesario para editar documentos. Ademas de esto hay una cantidad de programas en la red para hacer cualquier cosa que es vergonzoso que alguen diga que es que desde Linux no puedes hacer tal cosa.

    En particular voy a responderte a lo de jugar al poker. Juego al PokerStar desde Ubuntu simplemente bajandome el instalador y dandole a “ejecutar como aplicacion de Windows” porque con Wine(un emulador de Windows GRATUITO Y LIBRE) puedes ejecutar e instalar programas sencillos o no tanto. Tambien tuve instalado con Wine el M$ Office pero lo quite porque no lo usaba, prefiero Open Office.

    Ademas de esto para jugar y para todo lo demas(y a dia de hoy todavia no he necesitado nada mas) utilizo VirtualBox con Windows XP. Tengo un sistema virtualizado desde el cual unicamente hago algun trabajo de la Universidad en el que me piden que use programas especificos como M$ Visio y cosas asi aun habiendo alternativas libres, pero me lo piden en ese formato.

    Desde esta virtualizacion juego a todo lo que quieras jugar, ya sean juegos nuevos o viejos, aunque soy de clasicos la verdad. Con esto quiero decir que para lo unico que veo util tener una particion de Windows es para tenerla hasta arriba de juegos porque para navegar por internet es un peligro.

    Por suerte yo no soy ningun fanboy de linux, solo estudio todas las opciones posibles y escojo la mas optima. De esta forma le puse linux a mi hermano pequeño y lo utiliza siempre y cuando no va a jugar a juegos que no funcionan con Wine(aun no le he puesto la virtualizacion). Ademas para hacer cualquier cosa de las que he dicho en Ubuntu hay una gran comunidad de personas que te ayudan sin ningun problema y tutoriales por todas partes para hacer cualquier cosa que se te ocurre.

    No hay mas ciego que el que no quiere ver amigo.

  5. brtini   •  

    Os habéis olvidado del principal factor de riesgo, la conexión a internet. Si tienes el wifi activado no sabes quién puede estar conectado a tu lan, y ya no hablemos si te conectas a otras redes que no son tuyas… Por esto te comento, que aunque pudieras tener algún virus, lo más probable es que te quitaran las contraseñas a través de tu conexión, ya que es mucho más fácil. Saludos!

  6. rss   •  

    Mira que soy usuario de Linux, pero se me quitan las ganas de ir diciendolo por ahí, porque aprovecháis cualquier excusa para convencer a la gente para que se cambie de S.O. Los comentarios son para hablar de cosas relacionadas con el artículo, no para hablar de lo que os salgas de las pelo***.

    Un saludo

  7. Fripo   •  

    Por cierto alguien seria tan amable de pasar alguna lista sobre los bancos que conozca que tengan este sistema de confirmacion por SMS ?

    PD:. Como funciona OpenBank ? es como un banco normal con su establecimiento fisico donde metes dinero y tal cual ?

  8. David   •  

    En el artículo se dice que si ves en la barra de direcciones “https” y el candado, es que no te está haciendo phishing y eso NO es correcto.

    Por ejemplo, si en lugar de conectarte a “https://openbank.es” te conectas a “https://zpenbank.es”, y “zpenbank.es” es el dominio del que te quiere hacer el phishing, te la están colando, y estarás mandando tus datos por un canal seguro, pero no al banco.

    Conectarse por https sólo quiere decir que la comunicación entre tu pc y el servidor es segura, lo que hay que hacer (entre otras cosas) es fijarse en que el nombre de dominio sea el correcto (en este caso “openbank.es”).

  9. meri   •  

    El sistema que utiliza el banco naranja, la caixa y algún otro es el de doble contraseña. Cuando vas a hacer una transferencia u otra operación de ese estilo, se pide una 2ª contraseña con teclado virtual, que está en una tarjeta de claves (te piden la clave “x” de 50 que aparecen en la tarjeta). Cada vez piden una. No es infalible, pero es mucho más seguro.

  10. Convidat   •  

    Bueno, aquí va una posible receta:

    1- Trabajar siempre con cuentas limitadas.

    2- Tener al menos 2 usuarios diferentes:

    a)Un usuario que solamente utilices para entrar a internet.
    Puedes estar casi seguro que este se infectará (sobretodo si usas windows). Nunca uses el internet explorer: firefox + noscript (puede que chrome sea una buena opción también)

    b)Otro para trabajar normalmente (sin acceso a internet).
    Para estar seguro que este usuario no puede acceder a internet tienes que instalar y configurar un cortafuegos (en mi caso uso linux y simplemente he añadido una linea en la configuración del cortafuegos (iptables) ).

    c) Para acceder a la banca online deberias crear otro usuario adicional sólo para este fin, asegurandote que cuando lo haces el usuario “a)” no esta ejecutando ningun proceso (programa). En el cortafuegos podrias limitar las direcciones a las que puede acceder este usuario.

    En linux (no se si en windows también se puede) antes de arrancar el navegador como “usuario c)” ejecutar ‘xhost -“usuario a)”@localhost’ para evitar problemas con keyloggers que graben la pantalla.

    Todo esto sólo tienes que configurarlo una vez, luego te olvidas del tema y no tiene porque llevarte más de una hora o dos.

    Así es más o menos como lo tengo yo y no he tenido ningun problema.

    Cuando arranca mi ordenador inicia sesión automaticamente como usuario “b)” y cuando desde el menú hago “click” en el icono de Firefox este se ejecuta automaticamente como el “usuario a)”.

    Mi icono “Acceder a la banca” deshabilita el acceso del “usuario a)” al interface gráfico i luego ejecuta el firefox como “usuario c)”

    Aunque el “usuario a)” se infecte, no puede comprometer la seguridad de los otros (no puede ni acceder a sus directorios ni leer sus archivos).

    Además de ser una manera bastante segura de trabajar y navegar resulta muy comoda (no tienes que apagar/reiniciar el ordenador, instalar maquinas virtuales ,configurarlas y arrancarlas simplemente para ejecutar un navegador, etc).

    Si usas windows evidentemente deberías instalar un buen antivirus (avira por ejemplo) y antimalware (malwarebytes) y escanear el sistema regularmente de manera automatica (al menos una vez por semana puedes hacer que el ordenador se encienda automaticamente, ejecute estas tareas sin tu supervisión y posteriormente se apague).

    Bueno, es más largo de explicarlo que de hacerlo ( para hacerlos solo necesité escribir 8 lineas, xD )

  11. Convidat   •  

    Esto, me rectifico a mi mismo, lo del acceso a la interface gráfica por parte de otros usuarios distintos al que esta ejecutando la sesión de habilita/deshabilita (para usuarios locales) con “xhost +local:” / “xhost -local:”

  12. IBZ   •  

    Hola.

    Yo, como han recomendado antes algunos, lo que hago es entrar al banco con un live cd de linux.
    Concretamente, un Ubuntu, grabado en un pendrive rápido (son baratos).
    Es muy fácil, y dependiendo del pendrive, el arranque es rápido. También hay Ubuntus más ligeros, y distribuciones que caben en 250 MB o menos. Para grabar el pendrive con un linux, busca info sobre un programa llamado Unetbootin, que lo simplifica todo al máximo.
    Animo, es muy facil.

  13. FernanDoylet   •  

    Concuerdo con que el SMS podria ser falso, para sacarte la clave; pero tambien hay que sospechar del banco mismo …que tal si tienen algun empleado pillo, o uno descuidado con acceso administrativo a quien lo estan hackeando?

  14. Elias   •  

    Pues solo para actualizar un poco, me he topado con un nuevo virus, que aunque en tu pantalla aparezca el https y el candado dibujado, aun con eso el virus “sobrepone” una pantalla a la que tu estas viendo, y despues de que tu introduciste tu nombre y contraseña, se “sobrepone” esta pantalla falsa, diciendo que debes de proporcionar otros datos, como la clave de la tarjeta y hasta la clave del cajero automatico (ahi fue cuando se detecto algo anormal) total, que procedi a actualizar el antivirus y en efecto, el virus fue detectado y eliminado, este llego al equipo al darle click a un adjunto de un correo que parecia real, en resumen, desgraciadamente ya no es fiable eso de la https y el candado, mantengan actualizado su antivirus y no habran nunca, un correo no solicitado, esto sucedio con el banco gringo Chase

    Elias compudoctorsonora@gmail.com

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *