Acceder

Aparatito en el ordenador. ¡Cuidado!

23 respuestas
Aparatito en el ordenador. ¡Cuidado!
Aparatito en el ordenador. ¡Cuidado!
Página
2 / 3
#9

Re: Aparatito en el ordenador. ¡Cuidado!

Pero vamos, si yo voy a un cibercafe yo trabajo partiendo de la base de que el dueño puede haber el mismo instalado un keylogger en el ordenador -- sin necesidad de cosas como esta --, así que paso de entrar en mi cuenta del banco o hacer nada que involucre información sensible. Lo mismo vale para ordenadores públicos tipo biblioteca o demás. Si quiero hacer algo con claves, me bajo el portátil y lo conecto a un wifi y trabajo sólo con páginas que tienen certificados de seguridad conocidos.

#10

Re: Aparatito en el ordenador. ¡Cuidado!

Bueno, es complejo pero posible, llaman a la técnica "man in the middle", consiste en que un troyano se identifica en el banco al mismo tiempo que te pide a ti mismo los datos mediante phising. Es decir:

-Tú entras en la web del banco pero el troyano intercepta la conexión.
-A ti te muestra una web idéntica a la del banco pero que en realidad es una recreación creada por el troyano.
-Al mismo tiempo el troyano se conecta al banco y averigua que datos te pide para identificarte.
-Mediante la web falsa te pide los datos y tú se los das, incluyendo SMS, tarjeta de coordenadas o clave operativa, creyendo que es el banco original.
-El troyano usa esos datos para identificarse en el banco.
-Te muestra un mensaje de que el banco está en mantenimiento, por lo que cierras la web del banco pensando que todo ha ido bien pero en ese momento no puedes operar.
-El troyano ya está conectado y de forma automática realiza en tu cuenta los pasos para los que fue programado. Normalmente hacer varias transferencias a cuentas de unos "muleros" (un pringados que sin saberlo están ayudando a desviar el dinero y son los primeros a quien detiene la policía).

Este tipo de software es muy raro, pues debe estar específicamente diseñado para cada banco y debe tener el control sobre el sistema operativo y/o el navegador. Que nadie se asuste, los típicos troyanos no son ni de lejos tan avanzados. Aparte es muy improbable que un troyano tan especifico acabe en un cliente del banco concreto para el que fue hecho, bueno... a no ser que se instale mediante ingeniería social, por ejemplo un Spam que simule ser el propio banco y pida a sus clientes que instalen un programa raro (sí... hay gente que se lo cree).

Pero es un ejemplo de lo importante que es conectarte a un banco online solo desde un entorno seguro que controles. Si por contra estás en un entorno comprometido, las medidas de seguridad pasivas como el SMS pueden dejar de ser validas.

#11

Re: Aparatito en el ordenador. ¡Cuidado!

Leñe, la caixa lo mismo, puedes entrar con http solo, ¿y dices que colocando el https es mas seguro??¿para entrar desde tu conexion y en tu ordenador hace falta tomar esa precaución?
Gracias.

“Los dos guerreros más poderosos son paciencia y tiempo.” (León Tolstoi)

#12

Re: Aparatito en el ordenador. ¡Cuidado!

El protocolo de seguridad "https" se coloca automáticamente. En la Caixa también aparece cuando entras como cliente; no así cuando entrar en http://portal.lacaixa.es/

ING e iBanesto también lo hacen así.

S2

#13

Re: Aparatito en el ordenador. ¡Cuidado!

¿Y si tu metes tus claves en http://portal.lacaixa.es/ ¿corres riesgo? porque he visto que si las metes ahi cuando entra cambia a https

“Los dos guerreros más poderosos son paciencia y tiempo.” (León Tolstoi)

#14

Re: Aparatito en el ordenador. ¡Cuidado!

Supongo que hoy en día, todos los bancos usarán el https, ya que si no lo tienen implementado por mucho que tu pongas https, sencillamente no funcionará.
Y a parte del https también fijarse que realmente es la página del banco. Ya que los del phising a lo mejor te hacen conectar a https://www.lacaixa.eu tu ves que tiene el https y ya estás seguro... pues fíjate en el final que no es .es sino .eu, y así miles de ejemplos. Lo mejor es entrar con tu enlace de favoritos y mejor aún si escribes cada vez la dirección en el navegador. Luego rezar por que no tengas un "keylogger" ya que de nada te servirá el https ;)

#15

Re: Aparatito en el ordenador. ¡Cuidado!

Si te pones encima de los campos de login (en el candado) ya verás que te explica que se usa el https....

#16

Re: Aparatito en el ordenador. ¡Cuidado!

En realidad, en la web de Renta4 no se envían los datos del formulario en claro aunque esté sobre la web en claro. En todos los bancos será igual, muy torpe hay que ser para hacerlo de la otra manera.

Concretamente, en la web de R4, el formulario apunta a https:

<form id="T_LOGIN_FORM_P" method="post" action="https://www.r4.com/portal?TX=login&OPC=1" >

Por lo que al hacer el "post", ya tienes una sessión SSL con el servidor y da igual que estén capturando los datos.