Ciberseguridad y patrimonio

Con la evolución de la tecnología y las comunicaciones, cada vez es mayor el uso de medios electrónicos y telemáticos para controlar y operar con nuestra economía doméstica y patrimonio financiero. A falta de datos, creo que nadie discute que una amplia mayoría son las personas que hacemos uso de estos medios para atender estas necesidades.

Es por ello, por lo que cada vez aumentan de forma desorbitada el crimen telemático, como anécdota para ilustrar esto puedo decir que tuve que recurrir a presentar una denuncia en comisaría por un delito “menor” en este sentido y la cola para atender delitos telemáticos y poder presentar esta denuncia fue de más de 3 horas, en la comisaría provincial de mi ciudad.

Si le sumamos a esto la rápida liquidez que tiene la renta variable, con una pequeña brecha de seguridad, podrían vaciar gran parte del patrimonio de un inversor medio en un par de días. Teniendo en cuenta que los delincuentes telemáticos no son tontos, suelen atacar en épocas estivales, donde solemos estar menos atentos a nuestros dispositivos móviles donde llegan las notificaciones, o directamente redireccionan las notificaciones de correo electrónico o SMS a otros dispositivos.

Por ello, frecuentemente me asalta la incertidumbre de cuan bien está protegido estamos frente a estas amenazas, por el lado de las entidades: en muchos casos nos preocupamos de informarnos por las comisiones, los mercados ofertados, lo bonitas o estables que son las aplicaciones móviles de las entidades, pero y la ciberseguridad? No me he encontrado aún ninguna entidad que informe acerca de la seguridad de sus comunicaciones o del tratamiento de los datos sensibles de los clientes.

Por la parte de ciberseguridad local: En mi caso personal trato de no acceder a estos datos a través de una red wifi desconocida, desde un ordenador que no controle única y exclusivamente o a través de un navegador web dudoso, pero reconozco que alguna vez en caso de necesidad si que he hecho alguna excepción…

En cuanto a credenciales: es muy recomendable cambiarlas cada varios meses y compartimentar, es decir no hacer lo típico que hacemos en muchas ocasiones, que es usar la misma clave para más de una cuenta, ya que en caso de haber una brecha de seguridad o filtración en un área, podrían atacarnos y acceder a varias cuentas, no hablo ya solo de entidades financieras, sino incluso de correo electrónico, de acceso a nuestro terminal móvil… que normalmente son utilizados para la verificación de dos pasos por las entidades.

Me gustaría abrir un poco de debate y reflexión de la comunidad acerca de este asunto y qué recomendaciones, consejos, curiosidades, artículos relacionados, experiencias… podemos aportar.

NOTA IMPORTANTE: Creo que sobra decirlo, pero siempre que aportemos cualquier información en este hilo o en cualquier otro ámbito abierto y público sea de forma aséptica, por favor que a nadie se le ocurra el más mínimo dato que pudiera servir como pista a una persona malintencionada, del tipo: “llevo mucho tiempo usando la misma clave en el correo, que en XXX sitio y ya va siendo hora de cambiarla”, “tengo las claves apuntadas en el un archivo de notas del ordenador…”, cualquier información o pista personal de este tipo podría dar mimbres para que atacasen nuestra información sensible.

Yo que he tenido trato en casos de robos, las entidades tienen límites en las transacciones y aunque no las tuvieran, existe un seguro para esos casos, se presenta la denuncia y por lo general se recupera el dinero.
Luego dependiendo del tipo de robo y la cantidad sustraída el banco puede poner más o menos pegas.
No es lo mismo:

• Pago con tarjeta sin autenticación
• Pago con tarjeta con autenticación de doble factor
• Una transferencia bancaria equivocada ( aquí el banco no pinta nada ya es un tema entre particulares aunque como intermediario puede hacer gestiones para recuperar, si es realizada por un acceso no autorizado no es lo mismo )

Al final si uno va a juicio, cualquier pago no autorizado lo va a recuperar, ya depende de la entidad ponerlo más o menos fácil y como digo, suelen tener seguros que cubren una gran casuística así que no ponen trabas, al menos así ha sido en mi experiencia hace ya años.

A mi es un tema que me preocupa bastante porque cada vez oigo más casos cercanos que han sido víctimas de engaño o a los que han intentado engañar aunque no hayan podido.
Por precaución, yo sólo accedo a mis cuentas bancarias desde el ordenador de casa aunque alguna vez lo he tenido que hacer desde mi ordenador del trabajo.
En el móvil sólo tengo instalada una APP bancaria para Bizum, que utilizo muy poco, 2-3 veces al año.
Las tarjetas bancarias sólo físicas y de débito, con un límite de compra y de disposición de efectivo diario.
Utilizo un correo electrónico de pago, para las notificaciones bancarias, diferente al personal de Hotmail desde hace unos años. Accedo a él sólo desde el ordenador de casa, no lo tengo instalado en el móvil.
El tema de las contraseñas es algo que tengo pendiente de mejorar. Las tengo anotadas en un cuaderno pero tengo que cambiar muchas de ellas.

Tengo cuentas en varios bancos y tengo todas las claves de cuatro y ocho dígitos en la cabeza (por ahora aguanta la neurona). También están anotadas en un papel que tengo por ahí (por si la neurona falla). No, no se me ocurriría conectarme a una app de un banco a través de una wifi pública. Ordenador de casa y del trabajo (más seguro que el de casa) y móvil con datos o wifi de casa. Las tarjetas siempre apagadas mientras no se usen, y si viajo, borro las apps de los bancos del móvil y dejo activo lo básico para pagar y subsistir. En caso de emergencia, no faltaría el dinero sino la manera de acceder a el. A modo de anécdota, un día me paso que casi no puedo pagar en una tienda de tanta seguridad que tenía para poder pagar con una tarjeta.

¿Y eso le parece más seguro que usar su móvil?

La evolución de las finanzas personales ha hecho que las aplicaciones web y apps de las entidades financieras y gestoras sea una realidad. La autenticación por doble factor, clave y SMS al móvil, ya aporta cierto nivel de seguridad, y efectivamente, conectarse a dispositivos seguros como el ordenador personal y móvil/tableta en la red wifi o cableado Ethernet de su casa, pues en mi opinión es para estar bastante tranquilo. El dispositivo más seguro es el que está apagado, dejarlos encendidos puede suponer una brecha de seguridad.

Hasta aquí todo muy bien, y como dicen los colegas, no faltan correos fraudulentos, SMS y phising de webs bancarias que tratan de engañar y estafar a los usuarios. En mi caso, y por mis conocimientos de usuario un poco avanzado pero con los mismos riesgos que cualquier ciudadano, yo aplico ciertas medidas de seguridad como son:

• por 19,99€ amplié en Google One espacio en la nube a 100Gb y además incluye una VPN para todas mis conexiones, y esto es lo interesante, por un módico precio estamos protegidos por el anonimato en internet, ya sea web o apps en el móvil.
  -utilizar una cuenta de correo exclusiva para transacciones financieras, independiente de la que utilicemos para otras cuestiones, como registros en otras webs de servicios, ocio, etc. Mezclar esto puede dar algún disgusto, y lo pude comprobar hace unos días cuando el servicio de Google One me permitió indagar en la web “oscura” o darkweb la utilización y conocimiento de mis cuentas de correo por webs maliciosas que están ubicadas en esta zona de Internet, utilizada por delincuentes, trasiego de criptomonedas y ciberdelincuencia. Pues bien, pude comprobar que mi clave de correo era conocida por alguna web ubicada allí. Consejo: además de lo que comento de separar usos y cuentas de correo, cambiar la clave periódicamente.

• Mi entorno es Apple, por tanto también utilizo las capas de seguridad que nos ofrecen sus sistemas operativos, como es el relay privado de correo y ocultación de la IP (ya redundante con el primer punto comentado), pero lo más interesante que veo es la utilización del llavero de Apple, que tiene encriptadas todas mis contraseñas en la nube iCloud de Apple, y por tanto no necesito apuntar nada, las claves creadas por mí según un patrón para poder acordarme o generadas automáticamente por el sistema añaden una capa de seguridad adicional.

• Como normalmente, y más los colegas de este foro, utilizamos múltiples gestoras y bancos para operar, con custodias de FI, valores y ETFs repartidos por varias entidades con su seguridad correspondiente, tengo creado un documento maestro con toda la información relevante tanto a nivel financiero como de seguridad, ubicado igualmente en la nube de iCloud, que es conocido por mi familia, esto lo veo necesario para ser utilizado en un momento determinado, normalmente desagradable.

En mi caso, con estas premisas, me encuentro confortable utilizando los servicios financieros y demás por Internet, prácticamente lo hago todo así, y la tendencia es creciente. Con la clave permanente podemos hacer prácticamente todas las gestiones en las entidades públicas estatales, de Comunidades Autónomas y Ayuntamientos, la app de la DGT es muy buena y sustituye al carnet de conducir físico, y próximamente tendremos el DNI digital para llevar en el móvil. Todos mis pagos son digitales, ya sean por banco o proveedor de servicios, pero soy consciente que no todas las personas tienen los accesos preparados para utilizar dichos servicios, ya sea por conocimiento o acceso técnico.

Por favor utilicen estos comentarios como una opinión personal, y si les sirve de ayuda, estupendo. Un saludo.

Me gustaría dedicar un rato a leer y contestar el hilo de forma más pormenorizada, pero así a vuelapluma: por qué Google y no Microsoft o Apple? Más aún si utilizas Apple como sistema operativo habitual como has mencionado?

Pues Google One es el backup de mi archivo de fotos ubicado en iCloud de Apple, bastante extenso, además de que Google Fotos es más versátil que la Fototeca de Apple. La opción de VPN es muy sencilla de utilizar y por 19,99€ al año a mi me viene muy bien. La robustez y seguridad de los sistemas operativos de Apple las prefiero a las de Google, que su negocio no son los datos de las personas, sino el hardware y los servicios.

Un saludo.

Hola.

Estas son, basicamente, las medidas de seguridad que suelo usar en mi operativa. No hay sofisticación ninguna, pero si puedo ayudar a alguien, bien estará.

• Para fondos indexados uso Openbank. Lo tengo configurado de un modo tal que la propia aplicación solicita la clave de firma si se quiere hacer una transferencia hacia otra cuenta. Esto es interesante porque si los malos acceden a la cuenta tendrían que hacerse con un papel que tengo por casa donde está esa clave. O pedir otra. Pero tarda semanas en llegar al domicilio, asi que hay margen de maniobra.

• Tengo un móvil que uso exclusivamente para recibir claves bancarias. No tiene ni internet. La sim es movistar porque tengo entendido que es una compañía bastante exigente a la hora de hacer duplicados de sim, por lo que da un plus de tranquilidad por todo el tema del sim swapping.

• En Degiro tengo la doble autenticación activada, y si se quiere hacer cualquier cambio, por lo general pide clave por sms.

• Parte de la liquidez está en Renault bank, en parte por la remuneración actual, y también porque sólo permite transferencias a la cuenta nodriza. Esto también pasa en bancos como facto. Bajo mi punto de vista, otorga un mayor margen de maniobra en caso de que las cosas se pongan difíciles.

La verdad es que es una batalla perdida porque cada vez los operadores dominantes lo ponen más complicado a todos aquellos que no siguen estrictamente sus reglas. De cualquier manera, aquí estamos para dar batalla en la medida de lo posible

Siempre uso Firefox como navegador desde mi ordenador personal (un portátil Dell con Debian GNU/Linux) para acceder a sitios web de gestoras y/o bancos. Tiene una aceptable configuración por defecto (siempre se puede afinar pero eso ya que se ajuste cada cual), a la que yo recomiendo añadir las siguientes extensiones:

• uBlock Origin No solamente bloquea anuncios sino también cualquier tipo de contenido potencialmente malicioso.

• Multi Account Containers Separa el almacenamiento del sitio web en contenedores específicos por pestaña. Las cookies que se descargan en un contenedor no están disponibles en otros contenedores.

Las pocas ocasiones en las que accedo desde el teléfono móvil uso el navegador Firefox Focus (Firefox Klar en la región DACH) que está pensado para dejar el menor rastro posible.

Las credenciales las guardo en un fichero de texto cifrado en mi ordenador personal: no me fío de ningún servicio de esos en la nube (el ordenador de otro). Hago copias de seguridad periódicas que guardo tanto en un disco duro externo como en un servidor que tengo contratado en Internet. Como un día me dé un golpe en la cabeza y se me olvide la contraseña maestra, estoy jodido.

En cuanto a navegación y privacidad, alguna vez he usado la VPN de Mullvad porque aunque uno nunca puede estar seguro de qué hacen otros con Mullvad parece que puedes usar el servicio sin que ellos sepas directamente quién eres.

Hace unos años hice
sudo apt install keepassxc
y nunca he mirado atrás

Muy interesantes esas extensiones para el Firefox.

Existe también la posibilidad de instalar un sistema operativo (gnu/linux, seria un buen candidato) en una memoria usb o en un disco externo y usarlo exclusivamente para la operativa bancaria.

De esta forma, tendríamos un sistema razonablemente aislado y limpio. El pendrive podría estar cifrado, de forma que nadie pudiera acceder a los datos si es robado. Y, en el hipotético caso de que tuviésemos la necesidad de usarlo desde una red no confiable, se podría configurar también una VPN.

Muy a tener en cuenta, buen aporte al hilo

Para Firefox se me olvidó comentar una funcionalidad muy útil que es forzar el modo https. De esta manera la conexión cifrada se fuerza desde el navegador y en el caso de que no haya una versión segura en la web que se quiera acceder, muestra un aviso.

JAVIER PASTOR@javipas

4 Octubre 2020Una versión anterior de este artículo se publicó en septiembre de 2019Actualizado 1 Octubre 2021, 09:44

Si tu móvil deja de tener cobertura, ten miedo: un nuevo fraude telefónico conocido como ‘SIM swapping’ está siendo utilizado para que un ciberatacante duplique nuestro número de teléfono y utilice ese sistema para usurpar nuestra identidad, se autentique en nuestro banco y nos robe todo el dinero.

Ya hay víctimas de un fraude que ha sido utilizado para otros propósitos: a Jack Dorsey, cofundador de Twitter, le robaron su cuenta en el servicio con ese mismo sistema, lo que una vez más deja en evidencia la debilidad de mecanismos como el de los mensajes SMS para los sistemas de autenticación en dos pasos. Eran buena opción originalmente, pero como ya dijimos en el pasado, es mucho más recomendable utilizar aplicaciones independientes de autenticación, y no los SMS que cada vez son más vulnerables en este ámbito.

Cuidado, esta historia de terror te podría ocurrir a ti

En El País contaban recientemente un caso en el que un usuario se quedó sin cobertura repentinamente. Apagó el móvil, volvió a encenderlo y nada. Al volver a casa llamó a su operadora desde otro móvil, y resultó que alguien se había hecho pasar por él para solicitar un duplicado de su tarjeta SIM en una tienda de la operadora en otra ciudad.

Eso alertó al usuario, que fue rápidamente a comprobar su cuenta bancaria y detectó que estaba bloqueada. Su entidad había detectado movimientos extraños, miles de euros habían desaparecido y tenía un préstamo solicitado a su nombre por valor de 50.000 euros. Un verdadero desastre que según responsables de la Guardia Civil responde perfectamente a esa tendencia al alza de los casos de SIM swapping.

EN XATAKA

Esto es lo que tardaría un hacker en romper tu contraseña por fuerza bruta, pero ahí no acaba la cosa

Ayer volvía a surgir un nuevo y preocupante caso de este tipo de casos: un usuario de Twitter, Otto Más (@Otto_Mas) relataba sucesos muy parecidos. Dejó de tener línea en su móvil con contrato de Vodafone y al volver a casa conectó el móvil a la WiFi y se dio cuenta de que “me habían vaciado mi cuenta corriente” en el Banco Santander.

Alguien había duplicado su línea móvil y con los SMS de confirmación había hecho diversas transferencias “sacando el dinero poco a poco”. Pudo cancelar las transferencias y bloquear la cuenta tras varias horas al teléfono con ellos, aunque se quejaba de la mala respuesta de su operadora, de la que criticaba las pocas medidas de seguridad que exigían para quien pedía un duplicado de tarjeta SIM.

Hay aquí dos problemas claros: en primer lugar, que pedir un duplicado de la SIM es relativamente sencillo. En segundo, que hace tiempo que el uso de los SMS como sistema para plantear la autenticación en dos pasos o de dos factores (2FA) es vulnerable a diversos ataques, y este es solo el último -pero probablemente el más preocupante- de todos ellos.

El SIM swapping permite suplantar la identidad de cualquiera, incluido el CEO de Twitter

Esta técnica permite burlar las medidas de seguridad que sitúan al móvil como instrumento de verificación de nuestra identidad, y eso es peligroso como hemos visto en el ámbito económico, sino también en otros muchos escenarios.

Se demostró estos días cuando el cofundador y CEO de Twitter, Jack Dorsey, sufrió un ataque similar que provocó que de repente en su cuenta de Twitter (@jack) aparecieran mensajes ofensivos y racistas que fueron posteriormente eliminados.

EN XATAKA

Cómo activar la verificación en dos pasos en Google, Facebook, Twitter, Instagram, Microsoft y WhatsApp

El problema se debió a esa suplantación de identidad que hizo que un operador de telefonía en Estados Unidos -no se especifica cuál- permitiera al atacante obtener un duplicado de la SIM de Dorsey, lo que a su vez permitió que este atacante usara la función de publicar en Twitter mediante mensajes SMS que fue una de las características originales del servicio.

Los mensajes ofensivos provocaron una reacción inmediata en Dorsey, que anunció que Twitter deshabilitaba el envío de mensajes a la plataforma a través de SMS.

La solución está en nuestras manos (pero también en la de las operadoras y los bancos)

Como decíamos anteriormente, el problema de este ciberataque —que no es el único que afecta a las tarjetas SIM— es que tiene dos caras muy separadas, ambas con su propia solución interdependiente: si no se solucionan los dos, el problema seguirá presente.

El primero está en quienes manejan esa información, las operadoras, que deberían ser mucho más exigentes a la hora de proporcionar duplicados de una tarjeta SIM. Las verificaciones de identidad aquí deben ser exhaustivas para evitar los problemas que se han producido con estos casos.

EN XATAKA MÓVIL

FIDO2, así es el estándar que quiere que te olvides de las contraseñas en el móvil

También tienen deberes pendientes bancos, entidades financieras y cualquier otra plataforma que sigue usando los SMS como sistema de autenticación en dos pasos. Es un método popular y cómodo, pero como se ha visto es muy vulnerable desde hace ya tiempo, como apuntaba el experto en seguridad Bruce Schneier. Es por esta razón por la que todas estas empresas deberían erradicar el SMS de sus sistemas de autenticación en dos pasos y utilizar otras alternativas.

Entre las más recomendables ahora mismo están las aplicaciones de autenticación que sustituyen a los SMS y que se pueden instalar en nuestros móviles. Microsoft Authenticator, Google Authenticator o Authy están entre las más conocidas, y si podemos usarlas -la plataforma con la que trabajamos debe soportar esa opción- son mucho más seguras que la autenticación vía SMS.

Aún más interesantes son las llaves U2F (Universal 2nd Factor keys), un estándar abierto de autenticación que hace uso de llaves físicas y que tiene como última implementación el estándar FIDO2. Fabricantes como Yubico son muy conocidos por estas soluciones, pero incluso Google se quiso introducir recientemente en este segmento con sus Titan Security Keys, aunque recientemente anunció que un teléfono Android podía convertirse también en una llave de seguridad.

Imagen | Andrey Metelev