Así podemos perder todo nuestro dinero en un instante

Yo ,llevo el W7 ultimate SP1 ,estuve unos 2 meses con el W10 y no me adapté , seguiré con este a pesar de que en enero concluyen las actualizaciones, es más nunca las descargaba.
Mi perfil informático es muy básico apenas he descargado antivirus, CCleaner , adobe reader , Flash player y Adblock plus

@trapero No he leído todo el hilo, pero quiero aportar un enlace que creo que puede ser de utilidad.

Seguridad en tu cuenta bancaria por internet desde tu smartphone:

https://write.privacytools.io/jal/seguridad-en-tu-cuenta-bancaria-por-internet-desde-tu-smartphone

Recomiendo el artículo a mi gente cercana, para muchos soy un exagerado; luego ocurren cosas y la gente se asusta.

Lo siento @Duckelcano pero no estoy nada de acuerdo con lo que dice ese artículo. Pero nada.
De entrada confunde privacidad y seguridad. ¿Qué seguridad te aporta borrar el historial de navegación? Es absurdo. El keylogger ya ha recogido todo lo que has tecleado aunque luego lo borres.

Mira, como escribiendo este hilo he puesto un poco mis ideas en orden te voy a hacer un breve resumen de lo dicho hasta ahora:
1- Corremos peligro de que los ciberdelincuentes consigan colocarnos en nuestro ordenador un programa dañino que nos espíe y robe nuestras claves cuando las tecleamos.
2- Para evitar 1 es conveniente tener un equipo limpio dedicado exclusivamente a cosas importantes donde tendremos extremo cuidado de: 
no picar enlaces en correos si no estamos seguros ellos
no descargar más programas/aplicaciones que los que necesitemos y comprobando su autenticidad
no navegaremos por internet excepto lo imprescindible para el uso que estamos dando al equipo y comprobando la seguridad de la página (el candado)
no nos conectaremos a wifis dudosas (lo mejor es cable o SIM)
no introduciremos memorias usb dudosas 
mantendremos todo actualizado para arreglar vulnerabilidades
3- Con lo anterior reducimos el riesgo al mínimo. Pero vamos a ponernos en lo peor e imaginar que nos han colado el programa espía en el ordenador y que al teclear la contraseña el ladrón la roba. ¿Cómo nos protegemos? Utilizamos la verificación en 2 factores de manera que hace falta un segundo factor además de la contraseña para operar.
4- Pero si el segundo factor lo tenemos que teclear en el ordenador ¿qué ganamos? El ladrón lo puede averiguar con su programa espía.
Para eso se creó el sistema de tarjeta de coordenadas. Como cada vez te pide una posición de la tarjeta diferente al ladrón no le sirve conocer la clave que ya has metido porque desconoce cuál va a ser la siguiente que el banco va a pedir.
Sin embargo la tarjeta de coordenadas tiene una desventaja: las posiciones son limitadas (suelen ser 50) y el que nos espía puede ir coleccionando las claves hasta arriesgarse a que le pidan una que ya ha salido.
5- La solución que se encontró es crear unas claves que no se reutilicen NUNCA, que sean de un solo uso y que caduquen cada vez. Además esas claves se conocen por un canal diferente al del ordenador, de manera que el ladrón que espía nuestro ordenador solo las descubre cuando ya se han usado y han caducado. No puede saber nunca la siguiente que le van a pedir.
Este es el sistema de código por SMS. Es una buena idea pero tiene un problema: los mensajes SMS son vulnerables (SIM duplicada o interceptar).
6- ¿Qué se puede hacer? La respuesta está en seguir utilizando como segundo factor unos códigos de un solo uso, que caduquen y que veamos a través de un segundo canal diferente del ordenador donde se nos ha metido el espía, pero sin recibirlos por SMS.
Y ahí es donde entran en juego las aplicaciones autenticadoras que hacen precisamente eso: generar códigos desechables pero haciéndolo desde el propio teléfono (incluso offline). Al crear los códigos en un programa dentro de nuestro teléfono, el ladrón no tiene acceso a ellos aunque hackee la SIM.
Y sería prácticamente imposible que el mismo ciberdelincuente consiguiera colar su programa espía en los dos canales a la vez: ordenador y teléfono.

El entorno de trabajo de un PC es exageradamente mas amplio, las probabilidades de que entre un virus son inmensas, y el entorno de trabajo de un smartphone sin ninguna App, es salvo novedad, totalmente seguro porque esta chapado. al menos IOS. 

Un PC de oficina de un banco, con un entorno cerrado, y eso significa que si puertos que si sotfware etc etc.. es incluso mas peligroso a un ataque directo, al de un movil sin apps ni nada... 

Ademas, casi todos los virus de este tipo estan pensados para PC porque sirven para cazar las cuentas de banco de las empresas y las empresas trabajan con estos entornos. 

Si lo que quieres es lo mas seguro del mundo, no tengas banca electronica y haz las cosas desde la ofincina y asegurate que te pidan el DNI, porque hoy en dia, la banca electronica es MAS segura que la banca presencial, que con una firma parecida y una persona parecida, con el DNI robado, puedes hacer lo que quieras en cualquier oficina. . 

Te pregunto:
Usando un teclado virtual se reduce el riesgo de que un Keylogger averigue claves?

No lo sé seguro, pero hazte a la idea de que no. Al fin y al cabo lo que pulsas en ese teclado virtual que aparece en pantalla tiene que traducirse en caracteres: letras, números, signos.
Es verdad que en las páginas web de algunos bancos a la hora de introducir la contraseña ponen unos teclados en pantalla que se mueven un poco de posición cada vez que picas con el ratón en una tecla. Se supone que eso es para que sea más dificil de espiar lo que has puesto, pero yo no me haría muchas ilusiones: si la información va por el ordenador seguro que puede espiarse.
Es como lo de la huella dactilar. Por mucho que te escanee el dedo luego eso tiene que convertirse en un archivo digitalizado y compararse con otro de referencia. Y si es información que va por internet hay riesgo de hackeo.
Por eso la seguridad máxima sería un dispositivo en frío, es decir que esté offline, al margen de internet, y al que no tenga acceso el espía. Eso es lo bueno que tienen las tarjetas de coordenadas, que son objetos "en frío", pero hemos visto cuáles son sus limitaciones.
En cambio los dispositivos hardware de autenticación generan unas claves únicas en el aparatito pero el propio dispositivo es inaccesible para un hacker. Lo conectas al equipo con un cable y verifica la operación. Esa sería la barrera más infranqueable de todas.

Interesante todo lo que planteas, comparto las recomendaciones del artículo que he propuesto cómo las que listas a modo de resumen. Muchos sabemos que la seguridad %100 no existe y que el usuario es el eslabón más débil; pero si podemos poner ciertas dificultades a los delincuentes y usar buenas práticas mejor.

Ahora una pregunta que lanzo al aire, el cibercriminal que estas describiendo tiene unas habilidades bastante buenas, ¿realmente le interesa realizar un ataque dirigido a un ciudadano de a pie o que no tenga un montón de dinero? Si tuviera la capacidad de poder orquestar un ataque de tales magnitudes, seguramente un ciudadano medio no sería mi objetivo.

Con esto NO quiero trasmitir, "cómo no tengo MUCHO dinero me despreocupo" o cosas tipicas tipo, "las apps me espían, total si NO hago nada malo que más me da que me escucheen y me rastreen?" Más bien todo lo contrario, pero con las medidas que planteas creo que el %90 puede sentirse seguro.

He probado a utilizar mi cuenta de correo electrónico en haveibeenpwned y me ha salido que sí. Mi gozo en un pozo!!
Igual por eso recibo tanto spam. De momento voy a cambiar de contraseña.
Al final acabaré creando un nuevo correo para los bancos.

Eso no sirve de nada, los virus keylogger especializados ya vienen con screenshot por cada click, es mas pesado para el hacker, pero sirve para que sepan donde esta la posicion del raton al dar al click. 
Tambien se puede guardar la posicion del raton en cada momento, como si se tratara de un autoclick, y luego replicar el movimiento en las screenshot tomadas. 

De hecho como tengas un buen ordenador ni te enteras del lag que el virus te ocasiona. 

Si y no, por ejemplo, mandar tu huella digital por medio de un smartphone, pondre como ejemplo iphone, lo encripta antes de mandar nada, (se lleva haciendo desde 2016 o 2017 si no me equivoco) y los datos cifrados es de lado a lado, ningun hacker seria capaz de desencriptarte nada, es imposible, necesitas computacion cuantica, y por ejemplo, con computacion cuantica, se podria desencriptar hasta el bitcoin. 

Lo unico que pueden hacer los hackers es si algun terminal esta infectado podrian descubrir tu huella, o si hacekan una vulnerabilidad no actualizada, si el servidor del banco no esta infectado, y tu terminal movil tampoco, la huella cifrada podria pasar por el mismisimo centro de inteligencia nacional chino, la NSA o quien sea, a la que descubran tu huella habran podido pasar 80 años en decomputacion. 

Con la llegada de los mensajes cifrados por entrelazamiento cuantico, se podria decir que añadiriamos aun mas seguridad de forma maxima. 

Pero lo mas seguro sera siempre usar un dispositivo cerrado para solo hacer eso, y que este correctamente actualizado. 

"En el 2002 hacían falta muchos conocimientos para dedicarse a cibercriminal. Hoy las herramientas necesarias están en internet al alcance de casi cualquier persona. "Crimeware" es un término utilizado por las fuerzas del orden para describir las herramientas que necesitan los ladrones para cometer cibercrímenes, y esas herramientas están fácilmente disponibles y a bajo coste"
'The Secret to Cybersecurity' Scott AUGENBAUM

Por cierto, a los que os manejéis con el inglés os recomiendo ese libro que acabo de citar. El autor es un agente del FBI especializado en cibercrimen y está pensado para un lector general que no sabe nada de estos temas y quiere protegerse.

Y sí, efectivamente, con unas pocas sencillas medidas como las que he puesto la inmensa mayoría del cibercrimen se puede mantener totalmente a raya.

Si la cuenta era de Yahoo no te sorprendas. Yahoo es notorio por sus brechas de seguridad y filtraciones de datos.

No, es de hotmail, creo que sucedió por alguna brecha de seguridad en Linkedin.
Por cierto, uno de mis bancos me envía extractos semanalmente a mi cuenta de correo electrónico. Creo que no es normal, en un curso de protección de datos hace un par de años, nos dijeron que un e-mail era como una postal y que a nivel profesional debíamos reducirlos y evitar su uso con datos sensibles.
Curiosamente, hoy al entrar en este banco por internet me ha saltado el aviso de que ya no se va a usar la tarjeta de coordenadas y que enviarán claves al móvil.
Me parece raro que no haya salido ninguna norma sobre la comunicación de los bancos con sus clientes, o al menos este banco no pone mucho empeño.
El resto de bancos no me envía ningún extracto, tengo que entrar en la web para consultar, lo normal.

Pena que este libro no  esté disponible en formato para Kindle, me da  más pereza comprarlo pero me lo apunto por si me da por profundizar.
He visto que en R4 sí que se puede activar el doble factor de seguridad con Google authenticator o Mobile Connect. Cuál es el  más recomendable?
Ayer descargué Microsoft Authenticator en el móvil para proteger Hotmail, Linkedin y Facebook. A ver si me aclaro cómo funciona  y consigo configurar las cuentas correctamente para que cumpla su función!!

Si vas a poner doble factor con aplicación de autenticación ten en cuenta lo siguiente:

1- Vincular la cuenta de correo o de banco (o de Amazon) con la aplicación de autenticación significa que ambas partes van a compartir un secreto. El secreto es el código que te va a dar tu cuenta y tú vas a traspasar a la aplicación. Una vez pasas ese código ambos quedan vinculados y la cuenta reconocerá las claves que de ahí en adelante genere la aplicación (las generará incluso offline).

2- Es importante que te apuntes ese código inicial, de manera que si pierdes el teléfono o quieres cambiarlo puedas instalar la misma vinculación que te dé las mismas claves en un nuevo teléfono.

3- La operación de pasar el "secreto" (el código) desde la cuenta a la aplicación es el momento más delicado. Si un espía conoce ese código tiene tu segundo factor. A partir de ahí usa el sentido común.

4- Si después de establecer la vinculación se te ocurre que hubiera habido una manera más segura de haberla llevado a cabo, no hay problema. Puedes deshacer la verificación de dos factores y volver a activarla de nuevo con un nuevo código y una nueva vinculación, haciéndolo esta vez de esa manera más segura que se te ha ocurrido.

Si lo haces bien este sistema te va a dar mucha tranquilidad.

Respecto a lo que dices de los extractos vía correo electrónico, es algo que aún no lo entiendo muy bien cómo lo pueden mandar desde el banco de manera automatizada.

Google por ejemplo recuerdo que era capaz de saber las compras que realizaba (https://myaccount.google.com/u/2/purchases?pageId=none) ya que llegaban correos de compras (por ejemplo de Amazon) a una cuenta de Gmail.

No creo que a Google le cueste demasiado extraer la información de los PDF de tus extractos del banco e ir sabiendo movimientos y evolución de tus finanzas en ese banco.

Al final va asustando un poco cómo mezclando distintos servicios obtienen información sobre nosotros; unos por otros pero al final es el usuario quién pierde 'privacidad'.