Una serie de investigaciones que he estado escribiendo sobre le cibercrimen organizado robando millones de dólares de pequeños y medianos empresas ha generado más que unas pocas respuestas de propietarios de negocios que estaban preocupados sobre cómo protegerse mejora sí mismos de este tipo de fraude.
¿La más simple y efectiva respuesta respuesta que conozco? No use Microsoft Windows para acceder a un cuenta de banco online.
No ofrezco esta recomendación de forma ligera (y en el fondo de esta columna encontrará un enlace a otra columna donde explico una alternativa fácil de usar). Pero he entrevistado docenas de compañías víctimas que perdieron desde 10.000$ a 500.000$ dólares debido a una simple infección de malware. He oido historias merecedoras de una película acerca de las miles de formas en que los ciber-atacantes están evadiendo casi cualquier obstáculo que el banco pone en su camino.
Pero independientemente de los métodos utilizados por el banco o los atacantes, todos los ataques tenían un denominador común compartido, simple e innegable: Tuvieron éxito porque los "chicos malos" eran capaces de plantar software maligno que les otorgaba control completo sobre el PC con Windows de la víctima.
¿Por qué el sistema operativo es importante? Virtualmente todo el malware de robo de datos en circulación hoy en día es construido para atacar sistemas con Windows, y simplemente fallará al ejecutarse en ordenadores no-Windows. También, el malware basado en Windows empleado en cada uno de estos ataques en linea recientes contra negocios era tán sofisticado que puso extremadamente difícil a los bancos encontrar la diferencia entre una transacción iniciada por sus clientes y una transferencia puesta en marcha por los hackers que habían secuestrado el PC del cliente.
El ahora infame hack contra Bullitt County, Ky. ilustró como los ladores usan malware para vencer dos de las principales líneas de defensa comunmente utilizadas por los bancos para detectar actividad no autorizada.
Muchos bancos ofrecen a los clientes la opción de los así llamados "controles duales" - requiriendo al menos dos empleados autorizados a firmar cualquier transferencia bancaria. En un ataque, los ladroes usaron malware plantado en el sistema del tesorero para efectivamente añadirse a sí mismos como un aprovador autorizado de transacciones.
Los bancos también ofrecen seguir la pista de las direcciones de internet usadas por sus clientes, y edificar medidas de seguridad adicional cuando esos clientes acceden sus cuentas online a través de ordenadores or direcciones no familiares. En el caso de Bullitt County y al menos otras tres víctimas que entrevisté en los pasados 3 meses, los atacantes usaron su software maligno para encaminar la conexión a la web del banco tuneleando a través de la propio ordenador y dirección de internet del cliente.
El software maligno también ayuda a los ladrones a vencer las así llamadas "autentificaciones de dos fases", las cuales generalmente envuelven requerir a los clientes de banca online introducir algo que ellos tienen además de su nombre y contraseña, tal como un código generado por un robot de llaves que crea un nuevo número de 6 dígitosque cambia cad 30 segundos.
Durante los 2 últimos meses, escribí acerca del pleito de 2 compañías que fueron víctimas de fraude online de banca a pesar de que sus bancos requerían e uso de estos tokens de seguridad.
David Johnston, propiertario de Modesto, Calif. based Sign Designs, perdió cerca de $100,000 el 23 de Julio debido a un malware basado en Windows. El banco de Johnston requiere que los clientes introduzcan el código de un token de seguridad Vasco. Pero los ladrones, - armados con malware en el PC del controlador de la compañía - fueron capaces de interceptar uno de estos códigos cuando el controlador trató de logearse, y entonces retardaron el loggin real del controlador. De hecho Johnston dijo que los históricos (logs) del ordenador de la compañía mostraban que el controlador se logeó en el sistema mientras que la serie de robos ya estaba en progreso.
Los ladrones usaron la misma aproximación para steal robar 447,000$ a Ferma Corp., una firma de demolición en Santa Maria, Calif. cuyo banco también requería a los clientes introducir el código de un token de seguridad.
No soy el único recomendando a los clientes de banca online comercial que consideren acceder a sus cuentas sólamente desde sistemas no-Windows. El Centro de Compartición de Información y Análisis de Servicios Financieros (Financial Services Information Sharing and Analysis Center en inglés) (FS-ISAC) - un grupo industrial soportado por alguno de los bancos más grandes del mundo -- recientemente estableció unas lineas guía urgiendo a los negocios a llevar todas las actividades de banca online desde un "puesto aislado, reforzado y completamente cerrado donde navegar por la web y e-mail regular no sea posible"
En respuesta directa a esta series reportadas y publicadas por Security Fix, el Instituto Tecnológico SANS, una organización de investigación y educación en seguridad, retó a sus estudiantes a crear un "white-paper" para determinar los métodos más efectivos para los pequeños y medianos negocios para mitigar la amenaza de este tipo de ataques. ¿Su conclusión? Mientras que hay múltiples capas de protección que un negocio y banco podrían poner en marcha, la más barata solución "a prueba de tontos" es usar un sistema operatibo arrancable de "sólo lectura", tal como Knoppix o Ubuntu. Puede consultarse el informe de SANS aquí (PDF, inglés).
También conocidos como "Lives CDs", estos son generalmente, sistemas operativos basados en Linux que uno puede descargar y quemar en un CD-Rom. La belleza de estas distribuciones Live CD es que pueden ser usadas para transformar un PC basado en Windows temporalmente en un ordenador Linux ya que el Live CD permite al usuario arrancar un sistema Linux sin instalar nada en el disco duro. Los programas de un LiveCD son cargados en memory del sistema y cualquier cambio - tal como el historial de navegación u otra actividad- son completamente borrados cuando se apaga la máquina. Para volver a Windows, simplementa basta con extraer el LiveCD y reiniciar.
Más importante, el malware que se ha construido para robar datos de sistemas basados en Windows no funcionará cuando el usuario esté arrancando el LiveCD. Dicho simple: Incluso si la instalación de Windows o el disco duro está completamente corrompido con un virus o troyano que almacena las teclas pulsadas, el malware no puede capturar las credenciales del banco de la víctima si ese usuario sólo transmite su credencial después de haber arrancado desde unos de los LiveCDs.
El "Arco de Steuben", una organización sin ánimo de lucro en Bath, N.Y., que proporciona atención para adultos discapacitados, ha tomado este consejo/aviso al pie de la letra. En Septiembre, escribí como los ladrones habían usado malware para robar cerca de 200.000$ de la organización. Desde entonces, la organización ha restringido el acceso a su banca online a un único sistema Linux en su red, de acuerdo con un informe informe del 1 de Octubre el periódico local Star Gazette.
"Recomendaría fuertemente mirar cualesquiera sistemas que esté usando si está realizando banca electrónica". La gazeta cita a Bernie Burns, el director ejecutivo de Arc. "Y si es un sistema Microsoft, quizás buscar algo diferente".
Por supuesto, quizás un Mac funcionaría también, pero el foco aquí está en usuarios de Windows que pueden estar buscando una forma barata de reforzar su sistema existente para evitar software maligno.
Si nunca ha usuado un LiveCD y está interesado en aprender como, o si sólamente quiere tomar un Sistema Linux para una "prueba de conducción", visite mi tutorial aquí..
#7:
#2 Si te roban tus contraseñas de acceso al banco la perjudicada no es la banca, sino la persona que opera con la web del banco.
Vamos, que debería serte fácil decidirte
#2:
Siendo la banca la perjudicada no sé si animarles a que usen Linux o que se jodan y sigan usando Windows.
...
...
...
...
...
...
...
...
Nada, que no me decido
#10:
Pues mira, no es una idea tan descabellada. Fijaros que no dice una distribución de linux, dice un LIVE-CD. No es lo mismo.
La idea de usar el Live-CD es que estés usando un sistema que está completamente limpio. No hay posible infección de virús en tanto que acabas de cargarlo todo.
Pensandolo bien, no me parecería nada mal la idea de que los bancos regalaran una versión superligera de algun Sistema Operativo (no tiene por que ser linux) destinada exclusivamente a hacer las operaciones on-line.
Una serie de investigaciones que he estado escribiendo sobre le cibercrimen organizado robando millones de dólares de pequeños y medianos empresas ha generado más que unas pocas respuestas de propietarios de negocios que estaban preocupados sobre cómo protegerse mejora sí mismos de este tipo de fraude.
¿La más simple y efectiva respuesta respuesta que conozco? No use Microsoft Windows para acceder a un cuenta de banco online.
No ofrezco esta recomendación de forma ligera (y en el fondo de esta columna encontrará un enlace a otra columna donde explico una alternativa fácil de usar). Pero he entrevistado docenas de compañías víctimas que perdieron desde 10.000$ a 500.000$ dólares debido a una simple infección de malware. He oido historias merecedoras de una película acerca de las miles de formas en que los ciber-atacantes están evadiendo casi cualquier obstáculo que el banco pone en su camino.
Pero independientemente de los métodos utilizados por el banco o los atacantes, todos los ataques tenían un denominador común compartido, simple e innegable: Tuvieron éxito porque los "chicos malos" eran capaces de plantar software maligno que les otorgaba control completo sobre el PC con Windows de la víctima.
¿Por qué el sistema operativo es importante? Virtualmente todo el malware de robo de datos en circulación hoy en día es construido para atacar sistemas con Windows, y simplemente fallará al ejecutarse en ordenadores no-Windows. También, el malware basado en Windows empleado en cada uno de estos ataques en linea recientes contra negocios era tán sofisticado que puso extremadamente difícil a los bancos encontrar la diferencia entre una transacción iniciada por sus clientes y una transferencia puesta en marcha por los hackers que habían secuestrado el PC del cliente.
El ahora infame hack contra Bullitt County, Ky. ilustró como los ladores usan malware para vencer dos de las principales líneas de defensa comunmente utilizadas por los bancos para detectar actividad no autorizada.
Muchos bancos ofrecen a los clientes la opción de los así llamados "controles duales" - requiriendo al menos dos empleados autorizados a firmar cualquier transferencia bancaria. En un ataque, los ladroes usaron malware plantado en el sistema del tesorero para efectivamente añadirse a sí mismos como un aprovador autorizado de transacciones.
Los bancos también ofrecen seguir la pista de las direcciones de internet usadas por sus clientes, y edificar medidas de seguridad adicional cuando esos clientes acceden sus cuentas online a través de ordenadores or direcciones no familiares. En el caso de Bullitt County y al menos otras tres víctimas que entrevisté en los pasados 3 meses, los atacantes usaron su software maligno para encaminar la conexión a la web del banco tuneleando a través de la propio ordenador y dirección de internet del cliente.
El software maligno también ayuda a los ladrones a vencer las así llamadas "autentificaciones de dos fases", las cuales generalmente envuelven requerir a los clientes de banca online introducir algo que ellos tienen además de su nombre y contraseña, tal como un código generado por un robot de llaves que crea un nuevo número de 6 dígitosque cambia cad 30 segundos.
Durante los 2 últimos meses, escribí acerca del pleito de 2 compañías que fueron víctimas de fraude online de banca a pesar de que sus bancos requerían e uso de estos tokens de seguridad.
David Johnston, propiertario de Modesto, Calif. based Sign Designs, perdió cerca de $100,000 el 23 de Julio debido a un malware basado en Windows. El banco de Johnston requiere que los clientes introduzcan el código de un token de seguridad Vasco. Pero los ladrones, - armados con malware en el PC del controlador de la compañía - fueron capaces de interceptar uno de estos códigos cuando el controlador trató de logearse, y entonces retardaron el loggin real del controlador. De hecho Johnston dijo que los históricos (logs) del ordenador de la compañía mostraban que el controlador se logeó en el sistema mientras que la serie de robos ya estaba en progreso.
Los ladrones usaron la misma aproximación para steal robar 447,000$ a Ferma Corp., una firma de demolición en Santa Maria, Calif. cuyo banco también requería a los clientes introducir el código de un token de seguridad.
No soy el único recomendando a los clientes de banca online comercial que consideren acceder a sus cuentas sólamente desde sistemas no-Windows. El Centro de Compartición de Información y Análisis de Servicios Financieros (Financial Services Information Sharing and Analysis Center en inglés) (FS-ISAC) - un grupo industrial soportado por alguno de los bancos más grandes del mundo -- recientemente estableció unas lineas guía urgiendo a los negocios a llevar todas las actividades de banca online desde un "puesto aislado, reforzado y completamente cerrado donde navegar por la web y e-mail regular no sea posible"
En respuesta directa a esta series reportadas y publicadas por Security Fix, el Instituto Tecnológico SANS, una organización de investigación y educación en seguridad, retó a sus estudiantes a crear un "white-paper" para determinar los métodos más efectivos para los pequeños y medianos negocios para mitigar la amenaza de este tipo de ataques. ¿Su conclusión? Mientras que hay múltiples capas de protección que un negocio y banco podrían poner en marcha, la más barata solución "a prueba de tontos" es usar un sistema operatibo arrancable de "sólo lectura", tal como Knoppix o Ubuntu. Puede consultarse el informe de SANS aquí (PDF, inglés).
También conocidos como "Lives CDs", estos son generalmente, sistemas operativos basados en Linux que uno puede descargar y quemar en un CD-Rom. La belleza de estas distribuciones Live CD es que pueden ser usadas para transformar un PC basado en Windows temporalmente en un ordenador Linux ya que el Live CD permite al usuario arrancar un sistema Linux sin instalar nada en el disco duro. Los programas de un LiveCD son cargados en memory del sistema y cualquier cambio - tal como el historial de navegación u otra actividad- son completamente borrados cuando se apaga la máquina. Para volver a Windows, simplementa basta con extraer el LiveCD y reiniciar.
Más importante, el malware que se ha construido para robar datos de sistemas basados en Windows no funcionará cuando el usuario esté arrancando el LiveCD. Dicho simple: Incluso si la instalación de Windows o el disco duro está completamente corrompido con un virus o troyano que almacena las teclas pulsadas, el malware no puede capturar las credenciales del banco de la víctima si ese usuario sólo transmite su credencial después de haber arrancado desde unos de los LiveCDs.
El "Arco de Steuben", una organización sin ánimo de lucro en Bath, N.Y., que proporciona atención para adultos discapacitados, ha tomado este consejo/aviso al pie de la letra. En Septiembre, escribí como los ladrones habían usado malware para robar cerca de 200.000$ de la organización. Desde entonces, la organización ha restringido el acceso a su banca online a un único sistema Linux en su red, de acuerdo con un informe informe del 1 de Octubre el periódico local Star Gazette.
"Recomendaría fuertemente mirar cualesquiera sistemas que esté usando si está realizando banca electrónica". La gazeta cita a Bernie Burns, el director ejecutivo de Arc. "Y si es un sistema Microsoft, quizás buscar algo diferente".
Por supuesto, quizás un Mac funcionaría también, pero el foco aquí está en usuarios de Windows que pueden estar buscando una forma barata de reforzar su sistema existente para evitar software maligno.
Si nunca ha usuado un LiveCD y está interesado en aprender como, o si sólamente quiere tomar un Sistema Linux para una "prueba de conducción", visite mi tutorial aquí..
Siendo la banca la perjudicada no sé si animarles a que usen Linux o que se jodan y sigan usando Windows.
...
...
...
...
...
...
...
...
Nada, que no me decido
#7 Pues entonces a usar todos Linux, como debe ser
Por cierto:
Un banco es una institución financiera que se encarga de administrar y prestar dinero. La banca, o el sistema bancario, es el conjunto de entidades o instituciones que, dentro de una economía determinada, prestan el servicio de banco.
Pues mira, no es una idea tan descabellada. Fijaros que no dice una distribución de linux, dice un LIVE-CD. No es lo mismo.
La idea de usar el Live-CD es que estés usando un sistema que está completamente limpio. No hay posible infección de virús en tanto que acabas de cargarlo todo.
Pensandolo bien, no me parecería nada mal la idea de que los bancos regalaran una versión superligera de algun Sistema Operativo (no tiene por que ser linux) destinada exclusivamente a hacer las operaciones on-line.
#10 Casi mejor tener una partición con ese sistema ligero y nada más, "congelado" como están los ordenadores de los colegios que vuelven a su estado original con cada reinicio. Porque cargar un livecd es un coñazo.
Pues sí, pero luego te encuentras con sitios como el de Banco Estado [*] (de Chile) en el que no puedes realizar operaciones si no utilizas Internet Explorer .
En mi banca online para hacer cualquier gestión te piden un código de una tarjeta que te dan y que cambian cada 6 meses. Es una cuadricula y la página te pide que pongas en código de la celda A4 por ejemplo. Hay 64 códigos numéricos así que sin esa tarjeta es complicado realizar alguna operación. Con esto me diréis "puede que en algún momento aparezca un código repetido" pero eso solo pasa cuando ya has usado los 64, no se repiten hasta que los has usado todos. Llegados a este punto, de hecho cuando estás a punto de agotar los códigos, cuando entras te avisa de esto y te recomienda, no es obligatorio, que pidas otra tarjeta. Otro punto que tiene a favor es que si en algún momento te pide el código y por lo que sea no lo introduces y te vas (no tienes la tarjeta o lo que sea) la próxima vez te volverá a pedir el mismo. Si por lo que sea roban mi identificación de la banca online sin la tarjeta no se puede hacer nada y como no se repiten los códigos por mucho que me roben un código no lo podrán volver a utilizar. Otra cosa, a la tercera vez que te equivoques con el código la cuenta se bloquea y tienes que ir al banco a que la desbloqueen dándote una nueva tarjeta.
Como siempre no existe sistema infalible pero creo que con algo tan sencillo se genera una buena seguridad.
Si esto se generaliza empezarán a aparecer webs de "seguridad" que te ofrecen descargas de live-cd para acceder al banco con keylogger incorporado igual que ahora te ofrecen descargas de "antivirus" que en realidad lo que hacen es infectarte el ordenador
#27 Sinceramente, si te vas a descargar el disco de instalacion de (por ejemplo) ubuntu a la pagina WWW.todogratistetasyculosgratis.com seguro que lo que te descargas no es la distro oficial. Pero vamos que con un poco de sentido comun no tendria que haber ningun problema.
"La belleza de estas distribuciones Live CD es que pueden ser usadas para transformar un PC basado en Windows temporalmente en un ordenador Linux ya que el Live CD permite al usuario arrancar un sistema Linux sin instalar nada en el disco duro. Los programas de un LiveCD son cargados en memory del sistema y cualquier cambio - tal como el historial de navegación u otra actividad- son completamente borrados cuando se apaga la máquina."
#26 Pues la verdad es que no me puse a investigar en ello, pese a que se que existe. En teoría, por lo poco que leí acerca del tema, se puede hacer por software o por hardware si tu placa tiene la opción, o algo así. Por software, es mediante un programa que debe instalar un administrador y que evita que lo escrito en disco quede grabado. Para poder cambiar algo supongo que debas entrar como administrador y allí puedes instalar/desinstalar o cambiar lo que quieras. En la red seguro que tienes información acerca de esto.
Creo que el principal problema no es usar windows o linux, si no que el personal que tiene acceso a un ordenador con operaciones tan sensibles no tiene ni puta idea de informática a nivel de usuario, ni una mínima formación en internet.
Deberían tener pcs dedicados, controladas las cuentas y muy capados.
Obviamente todo ese malware, virus y demás les entran por usos estúpidos del pc.
Linux está muy bien, pero siendo sincero, si un usuario no sabe usar un pc, ni sabe lo que hay en internet, por mucho linux se la van a colar por otro lado...
Pero debe ser mucho coñazo reiniciar y usar una distro live
No vale que me digais que tenga instalado gnu/linux porque aquí comentan que lo mejor es que sea una copia en blanco en cada uso. A lo mejor tener un USB pero solo con acceso a lectura sea lo mejor. Por lo menos a tiempos de descarga.
Además ¿qué otras medidas se deben tomar para evitar fraudes en este tipo de trámites? Por ejemplo he oido pishing pero no se cuales existen más.
#16 Se puede tener un sistema operativo instalado y "congelado" para que vuelva al estado original con cada reinicio. Da igual que instales 200 virus, que cuando apagues se irán con la electricidad...
"KioskCD es un LiveCD que consta simplemente de un kernel Linux “pelado” y un navegador Firefox, nada más. Arrancas un equipo desde el CD y simplemente aparece un navegador sobre el que trabajar. Es excelente pues puedes utilizarlo en equipos ajenos sin necesidad de usar el sistema operativo nativo del equipo, del cual no conocemos la seguridad (imaginad en hoteles, escuelas, ciber cafes, etc…)."
Si a mi me roban los datos, y usan mi número de cuenta para sacar dinero del banco, a mi me da igual, porque le están robando al banco, no a mí. Además, el dinero siempre suele volver a tu cuenta, el único problema es todo el papeleo, que es un coñazo. Pero, si para evitarte un posible coñazo, tienes que aguantar uno mayor cada vez que quieras hacer una compra, mejor usas tu sistema operativo habitual y te olvidas de lo que pueda pasar.
Comentarios
Traducido:
Una serie de investigaciones que he estado escribiendo sobre le cibercrimen organizado robando millones de dólares de pequeños y medianos empresas ha generado más que unas pocas respuestas de propietarios de negocios que estaban preocupados sobre cómo protegerse mejora sí mismos de este tipo de fraude.
¿La más simple y efectiva respuesta respuesta que conozco? No use Microsoft Windows para acceder a un cuenta de banco online.
No ofrezco esta recomendación de forma ligera (y en el fondo de esta columna encontrará un enlace a otra columna donde explico una alternativa fácil de usar). Pero he entrevistado docenas de compañías víctimas que perdieron desde 10.000$ a 500.000$ dólares debido a una simple infección de malware. He oido historias merecedoras de una película acerca de las miles de formas en que los ciber-atacantes están evadiendo casi cualquier obstáculo que el banco pone en su camino.
Pero independientemente de los métodos utilizados por el banco o los atacantes, todos los ataques tenían un denominador común compartido, simple e innegable: Tuvieron éxito porque los "chicos malos" eran capaces de plantar software maligno que les otorgaba control completo sobre el PC con Windows de la víctima.
¿Por qué el sistema operativo es importante? Virtualmente todo el malware de robo de datos en circulación hoy en día es construido para atacar sistemas con Windows, y simplemente fallará al ejecutarse en ordenadores no-Windows. También, el malware basado en Windows empleado en cada uno de estos ataques en linea recientes contra negocios era tán sofisticado que puso extremadamente difícil a los bancos encontrar la diferencia entre una transacción iniciada por sus clientes y una transferencia puesta en marcha por los hackers que habían secuestrado el PC del cliente.
El ahora infame hack contra Bullitt County, Ky. ilustró como los ladores usan malware para vencer dos de las principales líneas de defensa comunmente utilizadas por los bancos para detectar actividad no autorizada.
Muchos bancos ofrecen a los clientes la opción de los así llamados "controles duales" - requiriendo al menos dos empleados autorizados a firmar cualquier transferencia bancaria. En un ataque, los ladroes usaron malware plantado en el sistema del tesorero para efectivamente añadirse a sí mismos como un aprovador autorizado de transacciones.
Los bancos también ofrecen seguir la pista de las direcciones de internet usadas por sus clientes, y edificar medidas de seguridad adicional cuando esos clientes acceden sus cuentas online a través de ordenadores or direcciones no familiares. En el caso de Bullitt County y al menos otras tres víctimas que entrevisté en los pasados 3 meses, los atacantes usaron su software maligno para encaminar la conexión a la web del banco tuneleando a través de la propio ordenador y dirección de internet del cliente.
El software maligno también ayuda a los ladrones a vencer las así llamadas "autentificaciones de dos fases", las cuales generalmente envuelven requerir a los clientes de banca online introducir algo que ellos tienen además de su nombre y contraseña, tal como un código generado por un robot de llaves que crea un nuevo número de 6 dígitosque cambia cad 30 segundos.
Durante los 2 últimos meses, escribí acerca del pleito de 2 compañías que fueron víctimas de fraude online de banca a pesar de que sus bancos requerían e uso de estos tokens de seguridad.
David Johnston, propiertario de Modesto, Calif. based Sign Designs, perdió cerca de $100,000 el 23 de Julio debido a un malware basado en Windows. El banco de Johnston requiere que los clientes introduzcan el código de un token de seguridad Vasco. Pero los ladrones, - armados con malware en el PC del controlador de la compañía - fueron capaces de interceptar uno de estos códigos cuando el controlador trató de logearse, y entonces retardaron el loggin real del controlador. De hecho Johnston dijo que los históricos (logs) del ordenador de la compañía mostraban que el controlador se logeó en el sistema mientras que la serie de robos ya estaba en progreso.
Los ladrones usaron la misma aproximación para steal robar 447,000$ a Ferma Corp., una firma de demolición en Santa Maria, Calif. cuyo banco también requería a los clientes introducir el código de un token de seguridad.
No soy el único recomendando a los clientes de banca online comercial que consideren acceder a sus cuentas sólamente desde sistemas no-Windows. El Centro de Compartición de Información y Análisis de Servicios Financieros (Financial Services Information Sharing and Analysis Center en inglés) (FS-ISAC) - un grupo industrial soportado por alguno de los bancos más grandes del mundo -- recientemente estableció unas lineas guía urgiendo a los negocios a llevar todas las actividades de banca online desde un "puesto aislado, reforzado y completamente cerrado donde navegar por la web y e-mail regular no sea posible"
En respuesta directa a esta series reportadas y publicadas por Security Fix, el Instituto Tecnológico SANS, una organización de investigación y educación en seguridad, retó a sus estudiantes a crear un "white-paper" para determinar los métodos más efectivos para los pequeños y medianos negocios para mitigar la amenaza de este tipo de ataques. ¿Su conclusión? Mientras que hay múltiples capas de protección que un negocio y banco podrían poner en marcha, la más barata solución "a prueba de tontos" es usar un sistema operatibo arrancable de "sólo lectura", tal como Knoppix o Ubuntu. Puede consultarse el informe de SANS aquí (PDF, inglés).
También conocidos como "Lives CDs", estos son generalmente, sistemas operativos basados en Linux que uno puede descargar y quemar en un CD-Rom. La belleza de estas distribuciones Live CD es que pueden ser usadas para transformar un PC basado en Windows temporalmente en un ordenador Linux ya que el Live CD permite al usuario arrancar un sistema Linux sin instalar nada en el disco duro. Los programas de un LiveCD son cargados en memory del sistema y cualquier cambio - tal como el historial de navegación u otra actividad- son completamente borrados cuando se apaga la máquina. Para volver a Windows, simplementa basta con extraer el LiveCD y reiniciar.
Más importante, el malware que se ha construido para robar datos de sistemas basados en Windows no funcionará cuando el usuario esté arrancando el LiveCD. Dicho simple: Incluso si la instalación de Windows o el disco duro está completamente corrompido con un virus o troyano que almacena las teclas pulsadas, el malware no puede capturar las credenciales del banco de la víctima si ese usuario sólo transmite su credencial después de haber arrancado desde unos de los LiveCDs.
El "Arco de Steuben", una organización sin ánimo de lucro en Bath, N.Y., que proporciona atención para adultos discapacitados, ha tomado este consejo/aviso al pie de la letra. En Septiembre, escribí como los ladrones habían usado malware para robar cerca de 200.000$ de la organización. Desde entonces, la organización ha restringido el acceso a su banca online a un único sistema Linux en su red, de acuerdo con un informe informe del 1 de Octubre el periódico local Star Gazette.
"Recomendaría fuertemente mirar cualesquiera sistemas que esté usando si está realizando banca electrónica". La gazeta cita a Bernie Burns, el director ejecutivo de Arc. "Y si es un sistema Microsoft, quizás buscar algo diferente".
Por supuesto, quizás un Mac funcionaría también, pero el foco aquí está en usuarios de Windows que pueden estar buscando una forma barata de reforzar su sistema existente para evitar software maligno.
Si nunca ha usuado un LiveCD y está interesado en aprender como, o si sólamente quiere tomar un Sistema Linux para una "prueba de conducción", visite mi tutorial aquí..
#1 Menuda matanza lo de traducir todo el articulo!
#17 qué significa eso?
Ahora la banca utiliza software libre, ergo nos robarán con más libertad.
#1 Buen trabajo al 1 por traducir el articulo.
Siendo la banca la perjudicada no sé si animarles a que usen Linux o que se jodan y sigan usando Windows.
...
...
...
...
...
...
...
...
Nada, que no me decido
#2 Si te roban tus contraseñas de acceso al banco la perjudicada no es la banca, sino la persona que opera con la web del banco.
Vamos, que debería serte fácil decidirte
#7 Pues entonces a usar todos Linux, como debe ser
#7 Pues entonces a usar todos Linux, como debe ser
Por cierto:
Un banco es una institución financiera que se encarga de administrar y prestar dinero. La banca, o el sistema bancario, es el conjunto de entidades o instituciones que, dentro de una economía determinada, prestan el servicio de banco.
Ya me he liado otra vez
Perdón por el doble post U_U
Era dupe de esta Linux, recomendado para la banca electrónica
Linux, recomendado para la banca electrónica
muycomputer.comPues mira, no es una idea tan descabellada. Fijaros que no dice una distribución de linux, dice un LIVE-CD. No es lo mismo.
La idea de usar el Live-CD es que estés usando un sistema que está completamente limpio. No hay posible infección de virús en tanto que acabas de cargarlo todo.
Pensandolo bien, no me parecería nada mal la idea de que los bancos regalaran una versión superligera de algun Sistema Operativo (no tiene por que ser linux) destinada exclusivamente a hacer las operaciones on-line.
#10 Casi mejor tener una partición con ese sistema ligero y nada más, "congelado" como están los ordenadores de los colegios que vuelven a su estado original con cada reinicio. Porque cargar un livecd es un coñazo.
La entradilla deja mucho que desear.
Pues sí, pero luego te encuentras con sitios como el de Banco Estado [*] (de Chile) en el que no puedes realizar operaciones si no utilizas Internet Explorer .
[*] Al margen, el mismo banco que "utilizó" el logo de Firefox: Banco estado, el banco que copia el logo a Firefox
Banco estado, el banco que copia el logo a Firefox
tecnologiaslibres.netMeneo, pero la entradilla podría estar mas currada...
Uno de los consejos más sensatos sobre seguridad en banca online para todos los públicos que he oído nunca.
En mi banca online para hacer cualquier gestión te piden un código de una tarjeta que te dan y que cambian cada 6 meses. Es una cuadricula y la página te pide que pongas en código de la celda A4 por ejemplo. Hay 64 códigos numéricos así que sin esa tarjeta es complicado realizar alguna operación. Con esto me diréis "puede que en algún momento aparezca un código repetido" pero eso solo pasa cuando ya has usado los 64, no se repiten hasta que los has usado todos. Llegados a este punto, de hecho cuando estás a punto de agotar los códigos, cuando entras te avisa de esto y te recomienda, no es obligatorio, que pidas otra tarjeta. Otro punto que tiene a favor es que si en algún momento te pide el código y por lo que sea no lo introduces y te vas (no tienes la tarjeta o lo que sea) la próxima vez te volverá a pedir el mismo. Si por lo que sea roban mi identificación de la banca online sin la tarjeta no se puede hacer nada y como no se repiten los códigos por mucho que me roben un código no lo podrán volver a utilizar. Otra cosa, a la tercera vez que te equivoques con el código la cuenta se bloquea y tienes que ir al banco a que la desbloqueen dándote una nueva tarjeta.
Como siempre no existe sistema infalible pero creo que con algo tan sencillo se genera una buena seguridad.
Si esto se generaliza empezarán a aparecer webs de "seguridad" que te ofrecen descargas de live-cd para acceder al banco con keylogger incorporado igual que ahora te ofrecen descargas de "antivirus" que en realidad lo que hacen es infectarte el ordenador
#27 Sinceramente, si te vas a descargar el disco de instalacion de (por ejemplo) ubuntu a la pagina WWW.todogratistetasyculosgratis.com seguro que lo que te descargas no es la distro oficial. Pero vamos que con un poco de sentido comun no tendria que haber ningun problema.
#35 Mucha fe tienes tú en la humanidad
Atencion spoiler!
"La belleza de estas distribuciones Live CD es que pueden ser usadas para transformar un PC basado en Windows temporalmente en un ordenador Linux ya que el Live CD permite al usuario arrancar un sistema Linux sin instalar nada en el disco duro. Los programas de un LiveCD son cargados en memory del sistema y cualquier cambio - tal como el historial de navegación u otra actividad- son completamente borrados cuando se apaga la máquina."
#31 Toda la razón, voy a buscar alguna similar que esté actualizada. Lo importante es que tenga lo mínimo, kernel + navegador y ya está.
Saludos
Duplicada: Linux, recomendado para la banca electrónica
Linux, recomendado para la banca electrónica
muycomputer.compero muy interesante...
#26 Pues la verdad es que no me puse a investigar en ello, pese a que se que existe. En teoría, por lo poco que leí acerca del tema, se puede hacer por software o por hardware si tu placa tiene la opción, o algo así. Por software, es mediante un programa que debe instalar un administrador y que evita que lo escrito en disco quede grabado. Para poder cambiar algo supongo que debas entrar como administrador y allí puedes instalar/desinstalar o cambiar lo que quieras. En la red seguro que tienes información acerca de esto.
Creo que el principal problema no es usar windows o linux, si no que el personal que tiene acceso a un ordenador con operaciones tan sensibles no tiene ni puta idea de informática a nivel de usuario, ni una mínima formación en internet.
Deberían tener pcs dedicados, controladas las cuentas y muy capados.
Obviamente todo ese malware, virus y demás les entran por usos estúpidos del pc.
Linux está muy bien, pero siendo sincero, si un usuario no sabe usar un pc, ni sabe lo que hay en internet, por mucho linux se la van a colar por otro lado...
.
Hay que decirlo mas!
Recomienda Linux para quienes no usen Mac, o sea, que el único sistema problemático es, como no, Windows.
Es más cómodo una máquina virtual en VirtualBox que sólo se use para eso, no?. Porque tardas menos yendo al banco que cargando un livcd de esos
Yo suelo recomendar SIDUX que es de las que mas se parecían a Knoppix.
La seguridad es importante y Linux la ofrece pero la gente seguirá pasando de todo.
Pues no habia caido en usar un live CD.
Pero debe ser mucho coñazo reiniciar y usar una distro live
No vale que me digais que tenga instalado gnu/linux porque aquí comentan que lo mejor es que sea una copia en blanco en cada uso. A lo mejor tener un USB pero solo con acceso a lectura sea lo mejor. Por lo menos a tiempos de descarga.
Además ¿qué otras medidas se deben tomar para evitar fraudes en este tipo de trámites? Por ejemplo he oido pishing pero no se cuales existen más.
#16 Se puede tener un sistema operativo instalado y "congelado" para que vuelva al estado original con cada reinicio. Da igual que instales 200 virus, que cuando apagues se irán con la electricidad...
#24 ¿Y eso como se consigue? ¿Se puede tener con cualquier sistema operativo? ¿Si fuese necesario se puede descongelar para aplicarle los cambios?
Para este tipo de tareas recomiendo el live CD KioskCD:
http://www.kioskcd.com/
Cito de http://rm-rf.es/navegar-por-internet-de-forma-segura-con-kioskcd/
"KioskCD es un LiveCD que consta simplemente de un kernel Linux “pelado” y un navegador Firefox, nada más. Arrancas un equipo desde el CD y simplemente aparece un navegador sobre el que trabajar. Es excelente pues puedes utilizarlo en equipos ajenos sin necesidad de usar el sistema operativo nativo del equipo, del cual no conocemos la seguridad (imaginad en hoteles, escuelas, ciber cafes, etc…)."
#29, hombre, recomendar una distro cuya última versión es del 2005...muy seguro tampoco lo veo
Si a mi me roban los datos, y usan mi número de cuenta para sacar dinero del banco, a mi me da igual, porque le están robando al banco, no a mí. Además, el dinero siempre suele volver a tu cuenta, el único problema es todo el papeleo, que es un coñazo. Pero, si para evitarte un posible coñazo, tienes que aguantar uno mayor cada vez que quieras hacer una compra, mejor usas tu sistema operativo habitual y te olvidas de lo que pueda pasar.
#9 Tu no operas con banca electronica verdad???