Acceder

Participaciones del usuario Trapero

Trapero 05/09/19 22:45
Ha respondido al tema Así podemos perder todo nuestro dinero en un instante
Lo siento @Duckelcano pero no estoy nada de acuerdo con lo que dice ese artículo. Pero nada.De entrada confunde privacidad y seguridad. ¿Qué seguridad te aporta borrar el historial de navegación? Es absurdo. El keylogger ya ha recogido todo lo que has tecleado aunque luego lo borres.Mira, como escribiendo este hilo he puesto un poco mis ideas en orden te voy a hacer un breve resumen de lo dicho hasta ahora:1- Corremos peligro de que los ciberdelincuentes consigan colocarnos en nuestro ordenador un programa dañino que nos espíe y robe nuestras claves cuando las tecleamos.2- Para evitar 1 es conveniente tener un equipo limpio dedicado exclusivamente a cosas importantes donde tendremos extremo cuidado de: no picar enlaces en correos si no estamos seguros ellosno descargar más programas/aplicaciones que los que necesitemos y comprobando su autenticidadno navegaremos por internet excepto lo imprescindible para el uso que estamos dando al equipo y comprobando la seguridad de la página (el candado)no nos conectaremos a wifis dudosas (lo mejor es cable o SIM)no introduciremos memorias usb dudosas mantendremos todo actualizado para arreglar vulnerabilidades3- Con lo anterior reducimos el riesgo al mínimo. Pero vamos a ponernos en lo peor e imaginar que nos han colado el programa espía en el ordenador y que al teclear la contraseña el ladrón la roba. ¿Cómo nos protegemos? Utilizamos la verificación en 2 factores de manera que hace falta un segundo factor además de la contraseña para operar.4- Pero si el segundo factor lo tenemos que teclear en el ordenador ¿qué ganamos? El ladrón lo puede averiguar con su programa espía.Para eso se creó el sistema de tarjeta de coordenadas. Como cada vez te pide una posición de la tarjeta diferente al ladrón no le sirve conocer la clave que ya has metido porque desconoce cuál va a ser la siguiente que el banco va a pedir.Sin embargo la tarjeta de coordenadas tiene una desventaja: las posiciones son limitadas (suelen ser 50) y el que nos espía puede ir coleccionando las claves hasta arriesgarse a que le pidan una que ya ha salido.5- La solución que se encontró es crear unas claves que no se reutilicen NUNCA, que sean de un solo uso y que caduquen cada vez. Además esas claves se conocen por un canal diferente al del ordenador, de manera que el ladrón que espía nuestro ordenador solo las descubre cuando ya se han usado y han caducado. No puede saber nunca la siguiente que le van a pedir.Este es el sistema de código por SMS. Es una buena idea pero tiene un problema: los mensajes SMS son vulnerables (SIM duplicada o interceptar).6- ¿Qué se puede hacer? La respuesta está en seguir utilizando como segundo factor unos códigos de un solo uso, que caduquen y que veamos a través de un segundo canal diferente del ordenador donde se nos ha metido el espía, pero sin recibirlos por SMS.Y ahí es donde entran en juego las aplicaciones autenticadoras que hacen precisamente eso: generar códigos desechables pero haciéndolo desde el propio teléfono (incluso offline). Al crear los códigos en un programa dentro de nuestro teléfono, el ladrón no tiene acceso a ellos aunque hackee la SIM.Y sería prácticamente imposible que el mismo ciberdelincuente consiguiera colar su programa espía en los dos canales a la vez: ordenador y teléfono.
Ir a respuesta
Trapero 05/09/19 17:52
Ha respondido al tema Así podemos perder todo nuestro dinero en un instante
A ver, he hecho la prueba de intentar saber el número de teléfono asociado a mi banco sólo con usuario y contraseña.En uno (la primera en la frente) entrando con usuario y contraseña ya puedo saber nombre, dni, fecha de nacimiento, domicilio, teléfono y correo electrónico. Así de fácil. Ahora los ladrones que han conseguido mi primer factor (contraseña) ya saben qué n° de teléfono manipular para tener acceso al código SMS del segundo factor y vaciarme mi cuenta.En el siguiente con usuario y contraseña me permite ver correo electrónico y 5 cifras de las 9 que tiene el teléfono. Podemos pensar que ésto es una barrera pero al parecer se pueden adivinar las otras cifras cruzando datos con el correo (véase http://www.elladodelmal.com/2018/03/como-averiguar-numeros-de-telefono.html?m=1 ). Si utilizas ese número de teléfono exclusivamente para el banco, ahí sí que creo que te puede proteger más.En el tercer banco me pide ya simplemente para conectarme los dos factores de verificación (¡bien por Degiro!).En el cuarto me deja ver 6 cifras del teléfono (solo faltan 3 más por descubrir).Y esto es lo que hay.
Ir a respuesta
Trapero 05/09/19 14:01
Ha respondido al tema Así podemos perder todo nuestro dinero en un instante
Hagamos la prueba. La próxima vez que nos conectemos a nuestro(s) banco(s) a ver si con solo usuario y contraseña somos capaces de ver cuál es nuestro número de teléfono. Y respecto a lo de "cancelar" la trasferencia... me temo que no es tan sencillo. Una cosa es pedir anularla y otra que el dinero vuelva al redil.
Ir a respuesta
Trapero 05/09/19 13:59
Ha respondido al tema Así podemos perder todo nuestro dinero en un instante
Usar un equipo sólo para esos asuntos ya es una medida importante. Lo de Ubuntu, pues yo siempre he oído que con linux estás menos expuesto a programas maliciosos, aunque solo sea porque es mucho más minoritario. Si controlas bien ese sistema operativo puede ser una buena opción para añadir aún más seguridad. Pero ojo que lo más importante es lo que haces tú. No hay que abrir enlaces en correos electrónicos si no estás seguro del remitente (cuidado con el phishing), nada de instalar programas no fiables, etc...
Ir a respuesta
Trapero 05/09/19 12:20
Ha respondido al tema Así podemos perder todo nuestro dinero en un instante
Hola, Analytics Entiendo que la idea de tener un número de teléfono exclusivo para bancos tiene como objetivo, en el caso de funcionar con un sistema de verificación de dos factores con código por SMS como segundo factor, evitar que los ladrones puedan siquiera llegar a conocer cuál es tu número de teléfono para así evitar que dupliquen la SIM o intercepten nuestros mensajes SMS. El problema es que averiguar el número de teléfono que utilizas con el banco, aunque sea diferente del personal, me temo que no es extremadamente difícil. Por poner un ejemplo, si los ladrones ya han conseguido el primer factor (usuario y contraseña) porque han podido colar un programa espía en tu ordenador (pongámonos en el peor de los casos) lo único que tienen que hacer es iniciar sesión en tu cuenta y entrar en la sección "datos personales" para leer tu nombre, correo electrónico, teléfono, etc... O elegir la opción "cambiar teléfono" para que les muestre el número actual y pida teclear el nuevo. (Incluso hay un banco que hasta hace poco si le pedías cambiar tu número de teléfono enviaba el código SMS de verificación... ¡al nuevo teléfono que habías puesto! Así de chapuceros son algunos bancos con la seguridad) Me parece más seguro evitar el código SMS como segundo factor de verificación siempre que te den otras opciones menos vulnerables. Un saludo
Ir a respuesta
Trapero 04/09/19 23:08
Ha respondido al tema Así podemos perder todo nuestro dinero en un instante
Si no te fías de Google existen también aplicaciones de autenticación de código abierto. (Para el que no sepa qué es eso, "de código abierto" significa que el código del programa está publicado y puede ser examinado por cualquiera con conocimientos de programación para comprobar que no hay trampa ni cartón)
Ir a respuesta
Trapero 04/09/19 23:01
Ha respondido al tema Así podemos perder todo nuestro dinero en un instante
Hola gerorako Yo me pasé una temporada leyendo libros y buscando información en internet y la verdad me sirvió mucho para poner en orden la seguridad de mis cuentas. El tema de cambiar periódicamente las contraseñas es muy polémico. Muchos dicen que es contraproducente porque al final la gente, aburrida de tanto cambio, acaba poniendo contraseñas tontas y débiles para acordarse de ellas. Otros sugieren usar las aplicaciones de gestión de contraseñas que menciona @Cosasutiles aunque yo no las conozco, soy más de escribírmelas. Otros incluso dicen que las contraseñas deben desaparecer y ser sustituidas por ejemplo por un dispositivo de hardware externo (como los que se usan con Bitcoin). Yo la verdad es que no hago cambio de contraseñas porque tampoco me parece que la molestia compense. Cambiaría si sospecho que ha habido brechas de seguridad o si pasa ya mucho tiempo. Por cierto, existe una famosa página web donde se puede comprobar si tu cuenta de correo electrónico ha sido hackeada y vendida 'Have I Been Pwned?' https://haveibeenpwned.com/ Lo de crear varios usuarios para compartimentar también lo había oído. Conectarse con cable o SIM telefónica siempre es más seguro que con wifi, pero tienes tablets que traen ranura para meter la SIM de tu móvil. Saludos
Ir a respuesta
Trapero 04/09/19 22:32
Ha respondido al tema Así podemos perder todo nuestro dinero en un instante
Efectivamente, cuando ves que ya has usado muchas posiciones de la tarjeta es buena idea cambiarla por otra nueva por precaución. Lo gracioso es que preguntas al banco si renuevan las tarjeta de coordenadas regularmente (como las de crédito) y te dicen que no, que es "ya para siempre". Ay dios mío.
Ir a respuesta
Trapero 04/09/19 09:30
Ha respondido al tema Así podemos perder todo nuestro dinero en un instante
El ladrón va a activar su SMS duplicada justo en el momento de retirar el dinero de tu cuenta. Recibe el código SMS de segundo factor de verificación, da la orden de transferir y cuando la víctima se quiere dar cuenta ya es tarde. De ahí el título de mi hilo. Efectivamente fsoriano, mi intención al publicar esto es dar un aldabonazo sobre el riesgo de robo informático para el que no se haya planteado estos temas se ponga al día.
Ir a respuesta