Seguridad de los teclados virtuales de la banca por internet

Cuando haces click con el ratón en esos teclados no estás diciendo directamente la tecla que pulsas ya que va encriptada y más en los bancos, así que yo no me preocuparía. Lo haría más si tuvieses que teclear en un teclado físico que pudiese tener un keylogger.

Salu2

seamorgan escribió:Cuando haces click con el ratón en esos teclados no estás diciendo directamente la tecla que pulsas ya que va encriptada y más en los bancos, así que yo no me preocuparía. Lo haría más si tuvieses que teclear en un teclado físico que pudiese tener un keylogger.
Salu2

Discrepo. Los bancos cifran la información igual que el resto, con SSL.

El punto flaco de la seguridad en la banca online no es tanto que alguien intercepte tus comunicaciones ( la seguridad de éstos es más o menos robusta gracias al https + empresas como verisign, que verifican la propiedad del certificado del servidor web ) sino que alguien esté "mirando" tu pantalla cuando tecleas ( bien con un keylogger, bien con algún troyano que esté haciendo pequeñas capturas de pantalla del entorno de la pantalla donde haces clic con el ratón ) .

Bajo mi punto de vista, las páginas bancarias más de fiar son aquellas que te envían la casilla de la coordenada de barcos al móvil, porque es el único dispositivo que evita un posible troyano que te hayan colado y sepan de qué casilla estás metiendo el código.

Casi ningún banco pide esta información en el momento del login ( por motivos obvios, ya que un posible invasor podría completar todas las coordenadas mucho más rápido ) ya que lo realmente sensible no es que vean cuánta pasta tienes, sino que puedas operar con ella.

De todas formas, yo me fío más de las aplicaciones para iOS siempre y cuando no tengas un jailbreak hecho. De Android bastante menos.

Pero nunca de un equipo de otra persona.

Buenas. Me agrego al tema que me ha parecido interesante. Tal vez te pueda aportar algo de luz al tema.

Estoy de acuerdo con todo lo que ha comentado squarewave sobre el tema de la comunicación cifrada.

Ahora bien, dependiendo de otras entidades y los diferentes sistemas de seguridad que aplican suelen ser bastante seguros.

Yo trabajo para una entidad bancaria y tenemos también un teclado virtual de entrada, que las posiciones del primer código PIN cambian cada vez que inicias sesión con tu identificador.



Es decir, si hay un keyloger detrás poco podrá hacer. Solo se quedará con tu identificador.
Otra opción es si tienes DNIe, con lo cual no has de introducir ningún código (solo el del DNIe).

Aun así, realizamos un seguimiento mínimo de los hosts desde los que se accede por paises por si hay algún tipo de movimiento sospechoso con los clientes. Igual hacen los proveedores de VISA (Sermepa en el caso de ServiRed) que bloquea tarjetas si ha sido pasada por algún TPV en el extranjero que ha recibido denuncias anteriores de fraude).

Aunque consiguiesen entrar en tu cuenta, las entidades suelen tener tarjeta de coordenadas o un segundo código para poder operar y si pide un segundo pin suele pedir posiciones aleatorias.

Resumiento, si tu entidad no utiliza un sistema de: Identificador 1, PIN fijo 1 y Pin fijo 2 no tienes porque preocuparte.

Hoy en día con el sistemas de coordenadas es difícil que te hagan algo . El teclado aleatorio esta bastante bien ya que se pueden guardar las coordenadas de los clicks

Mi entidad, CaixaBank , pide un pin para acceder, que puede ser de 4 o 6 dígitos. Con eso solo te deja acceder a tus cuentas y hacer movimientos entre ellas. Pero si quieres hacer algún movimiento hacia fuera de tus cuentas entonces te pide una coordenada de la tarjeta de coordenadas y te obliga a usar el teclado virtual.

Sin embargo, ING solo te pide para entrar tu DNI y fecha de nacimiento (datos muy obvios) y luego tienes que complear tu pin de 6 dígitos con un teclado virtual que cambia aleatoriamente de posición. Lo que me mosquea es que de esos 6 dígitos, 3 ya están marcados, por lo que realmente solo tienes que marcar 3 posiciones.

Es extraño que cuando te registras a cualquier página web, o te logeas en una aplicación de tu trabajo que te pida 8 caracteres, que si mayúsculas, minúsculas y números... y luego el banco solo te pida un pin de 4 o 6 dígitos, aunque sea con teclado virtual.

PussyLover escribió:Buenas. Me agrego al tema que me ha parecido interesante. Tal vez te pueda aportar algo de luz al tema.

Estoy de acuerdo con todo lo que ha comentado squarewave sobre el tema de la comunicación cifrada.

Ahora bien, dependiendo de otras entidades y los diferentes sistemas de seguridad que aplican suelen ser bastante seguros.

Yo trabajo para una entidad bancaria y tenemos también un teclado virtual de entrada, que las posiciones del primer código PIN cambian cada vez que inicias sesión con tu identificador.



Es decir, si hay un keyloger detrás poco podrá hacer. Solo se quedará con tu identificador.
Otra opción es si tienes DNIe, con lo cual no has de introducir ningún código (solo el del DNIe).

Aun así, realizamos un seguimiento mínimo de los hosts desde los que se accede por paises por si hay algún tipo de movimiento sospechoso con los clientes. Igual hacen los proveedores de VISA (Sermepa en el caso de ServiRed) que bloquea tarjetas si ha sido pasada por algún TPV en el extranjero que ha recibido denuncias anteriores de fraude).

Aunque consiguiesen entrar en tu cuenta, las entidades suelen tener tarjeta de coordenadas o un segundo código para poder operar y si pide un segundo pin suele pedir posiciones aleatorias.

Resumiento, si tu entidad no utiliza un sistema de: Identificador 1, PIN fijo 1 y Pin fijo 2 no tienes porque preocuparte.

Creo que lo has explicado bastante bien.

lwordl escribió:Hoy en día con el sistemas de coordenadas es difícil que te hagan algo . El teclado aleatorio esta bastante bien ya que se pueden guardar las coordenadas de los clicks

Sí. Habéis obviado algo MUY importante cuando estáis en equipos ajenos. La suplantación de páginas web.

Un simple cambio en el archivo hosts del SO hace que al teclear cualquier página redireccione a un clon falso. MUCHÍSIMO cuidado con eso.

Siempre quedará ir los Martes y Jueves a primera hora de la mañana a pagar los recibos y aprovechar para actualizar la cartilla.

Las novedades tienen vulnerabilidades, como todo en este mundo. En estos temas nada es perfecto (y menos en seguridad informática), siempre habrá un back-door o 'algo' que tendrá en jaque a los programadores día si y día también.

Si vives muy "agobiado" por la "poca" seguridad que te ofrece tu banco en Internet, ve a una sucursal y opera desde allí.


Sobre el tema de las aplicaciones de iOS & Android... hay mucho que discutir ahí ya que seguramente las aplicaciones son un simple navegador web que tiene diferente interfaz. No estoy puesto en aplicaciones móviles y mucho menos en las de banca, pero no creo que haya un sistema especial para operar con tu banco. Quiero creer que la aplicación es igual que la de Twitter/Facebook, accede via HTTPS con el cifrado correspondiente pero te cambia la interfaz a una más amigable y más rápida.

largeroliker escribió:

lwordl escribió:Hoy en día con el sistemas de coordenadas es difícil que te hagan algo . El teclado aleatorio esta bastante bien ya que se pueden guardar las coordenadas de los clicks

Sí. Habéis obviado algo MUY importante cuando estáis en equipos ajenos. La suplantación de páginas web.

Un simple cambio en el archivo hosts del SO hace que al teclear cualquier página redireccione a un clon falso. MUCHÍSIMO cuidado con eso.

en primer lugar... acceder al banco desde un equipo ajeno ya es una mala idea. esto no es facebook, que aunque te roben la pass, bueno, tampoco es para tanto; esto es banca, o sea, dinero real, tuyo.
igual que no es aconsejable dejarle la tarjeta de credito a cualquiera, ¿por qué habría de serlo usar un ordenador cualquiera sobre el que no tienes control para usar banca online?

si aun asi decides hacerlo, usa el pc de alguien de confianza y para evitar el phising tenemos https. si yo intento acceder al banco y su certificado no me dice que es mi banco, me plantearia seguir con la transaccion, la verdad.

ojo, que tambien te puedes "saltar" esto, pues sí, pero es más dificil. tienes o bien que crear un certificado falso y colarle a la victima el de la entidad de certificacion para que el navegador confie en tu certificado, o bien robar un certificado de una entidad confiada y firmar el tuyo con él (amén de la réplica exacta de la página del banco), pero el phising la verdad es que es de fácil solución, el problema es que la gente puede no estar informada o no importarle una m*****.

lo fácil y aconsejable en estos casos, por ejemplo, móntate una máquina virtual o un sistema live de linux sin persistencia (un livecd/usb de ubuntu, mismo) y utilízalo siempre que hagas banca online, únicamente para ello (encender, tramites, apagar). Te evitas muchos problemas, porque siempre empiezas con un sistema fresco y si te tienen que atacar tiene que ser a la página del banco.

largeroliker escribió:Sí. Habéis obviado algo MUY importante cuando estáis en equipos ajenos. La suplantación de páginas web.

Un simple cambio en el archivo hosts del SO hace que al teclear cualquier página redireccione a un clon falso. MUCHÍSIMO cuidado con eso.

Para eso están como ya han dicho los certificados SSL en las URL's.

Una de las funciones de esos certificados es verificar el dominio. Si hoy en día un usuario no es capaz de fijarse en ese detalle mal va.

alexricoj escribió:Si vives muy "agobiado" por la "poca" seguridad que te ofrece tu banco en Internet, ve a una sucursal y opera desde allí.

Ten en cuenta que a medida que pasen los años, la idea es que la mayoría de oficinas sigan desapareciendo, el modelo de los Bancos Online es el que más fuerza tiene por el ahorro de costes que supone.

alexricoj escribió:Sobre el tema de las aplicaciones de iOS & Android... hay mucho que discutir ahí ya que seguramente las aplicaciones son un simple navegador web que tiene diferente interfaz. No estoy puesto en aplicaciones móviles y mucho menos en las de banca, pero no creo que haya un sistema especial para operar con tu banco. Quiero creer que la aplicación es igual que la de Twitter/Facebook, accede via HTTPS con el cifrado correspondiente pero te cambia la interfaz a una más amigable y más rápida.

Efectivamente, por las pocas aplicaciones que he utilizado no es más que una capa más a lo que la navegación se supone. Así que si la web está bien protegida las aplicaciones no deberían ser ningún problema.

Cloud_99 escribió:ojo, que tambien te puedes "saltar" esto, pues sí, pero es más dificil. tienes o bien que crear un certificado falso y colarle a la victima el de la entidad de certificacion para que el navegador confie en tu certificado, o bien robar un certificado de una entidad confiada y firmar el tuyo con él (amén de la réplica exacta de la página del banco), pero el phising la verdad es que es de fácil solución, el problema es que la gente puede no estar informada o no importarle una m*****.

Hombre, un certificado falso... un certificado es auténtico o no. Otra cosa es que no esté verificado por Verisign y esta lo apruebe. En cambio si lo firmas con tu propia CA saldrá el típico error de "Existe un problema con el certificado de seguridad de este sitio web."

Si ya sale este mensaje, mejor salir por patas ante la duda.

Cloud_99 escribió:
en primer lugar... acceder al banco desde un equipo ajeno ya es una mala idea

Totalmente de acuerdo, pero hay veces que no tienes más opciones, por ejemplo estando de vacaciones y tienes que consultar tu saldo, ves si te han pasado un cargo o recibo, etc. A veces no tienes más remedio que usar la wifi del hotel u otra wifi abierta, o ir a un locutorio o similar.

PussyLover escribió:Hombre, un certificado falso... un certificado es auténtico o no.

vale, me he expresado mal, el certificado es auténtico, pero intenta validar un sitio que no lo es, gracias por la puntualizacion.

suskie escribió:

Cloud_99 escribió:
en primer lugar... acceder al banco desde un equipo ajeno ya es una mala idea

Totalmente de acuerdo, pero hay veces que no tienes más opciones, por ejemplo estando de vacaciones y tienes que consultar tu saldo, ves si te han pasado un cargo o recibo, etc. A veces no tienes más remedio que usar la wifi del hotel u otra wifi abierta, o ir a un locutorio o similar.

uf... wifis abiertas... si no estás de roaming, es mejor hacer tethering con el móvil. busca alternativas a tener que usar redes abiertas u ordenadores "no confiables". si hemos de ponernos así, prefiero usar el móvil. si no tienes smartphone o tarifa de datos... ni idea, no he tenido ese problema, siempre llevo el movil y el portatil de vacaciones, etc.

pero bueno, volviendo al tema principal, los teclados virtuales y la banca online en si no deberian preocuparte a nivel de seguridad, teniendo ciertas precauciones (ssl, sistemas limpios/actualizados/etc, no redes abiertas)

Siempre he dicho que me fío más de operar desde mi ordenador que incluso desde las mismas oficinas bancarias. Conociendo el nivel que tienen algunos en términos informáticos a saber lo que habrá en esos ordenadores.

A mi el sistema de La Caixa con pedir el identificador pero luego el teclado en pantalla para cualquier cosa me parece más que suficiente.

y si vas con un pendrive con una distro de linux?? quizas sea mas seguro que usar el ordenador con el so que tiene instalado ya que se ha podido manipular, o tener keyloggers y esas mierdas.

vamos yo creo que es mas seguro, por lo menos sabes lo que le has hecho a tu linux en el pendrive

bueno, despues de tanta charla hoy leo esto:
http://blog.elevenpaths.com/2013/07/key ... es-de.html

teniendo en cuenta quién son los responsables del blog (expertos en seguridad informática bastante reputados, como Chema Alonso), creo que bastará como comentario sobre el tema.

Resumiendo y esperando la segunda parte del articulo, creo que la opcion del liveUSB con linux para las transacciones bancarias parece ser una gran idea.

Un saludo

Gracias por el artículo. Es muy interesante!