Ciberseguridad y patrimonio

Con la evolución de la tecnología y las comunicaciones, cada vez es mayor el uso de medios electrónicos y telemáticos para controlar y operar con nuestra economía doméstica y patrimonio financiero. A falta de datos, creo que nadie discute que una amplia mayoría son las personas que hacemos uso de estos medios para atender estas necesidades.

Es por ello, por lo que cada vez aumentan de forma desorbitada el crimen telemático, como anécdota para ilustrar esto puedo decir que tuve que recurrir a presentar una denuncia en comisaría por un delito “menor” en este sentido y la cola para atender delitos telemáticos y poder presentar esta denuncia fue de más de 3 horas, en la comisaría provincial de mi ciudad.

Si le sumamos a esto la rápida liquidez que tiene la renta variable, con una pequeña brecha de seguridad, podrían vaciar gran parte del patrimonio de un inversor medio en un par de días. Teniendo en cuenta que los delincuentes telemáticos no son tontos, suelen atacar en épocas estivales, donde solemos estar menos atentos a nuestros dispositivos móviles donde llegan las notificaciones, o directamente redireccionan las notificaciones de correo electrónico o SMS a otros dispositivos.

Por ello, frecuentemente me asalta la incertidumbre de cuan bien está protegido estamos frente a estas amenazas, por el lado de las entidades: en muchos casos nos preocupamos de informarnos por las comisiones, los mercados ofertados, lo bonitas o estables que son las aplicaciones móviles de las entidades, pero y la ciberseguridad? No me he encontrado aún ninguna entidad que informe acerca de la seguridad de sus comunicaciones o del tratamiento de los datos sensibles de los clientes.

Por la parte de ciberseguridad local: En mi caso personal trato de no acceder a estos datos a través de una red wifi desconocida, desde un ordenador que no controle única y exclusivamente o a través de un navegador web dudoso, pero reconozco que alguna vez en caso de necesidad si que he hecho alguna excepción…

En cuanto a credenciales: es muy recomendable cambiarlas cada varios meses y compartimentar, es decir no hacer lo típico que hacemos en muchas ocasiones, que es usar la misma clave para más de una cuenta, ya que en caso de haber una brecha de seguridad o filtración en un área, podrían atacarnos y acceder a varias cuentas, no hablo ya solo de entidades financieras, sino incluso de correo electrónico, de acceso a nuestro terminal móvil… que normalmente son utilizados para la verificación de dos pasos por las entidades.

Me gustaría abrir un poco de debate y reflexión de la comunidad acerca de este asunto y qué recomendaciones, consejos, curiosidades, artículos relacionados, experiencias… podemos aportar.

NOTA IMPORTANTE: Creo que sobra decirlo, pero siempre que aportemos cualquier información en este hilo o en cualquier otro ámbito abierto y público sea de forma aséptica, por favor que a nadie se le ocurra el más mínimo dato que pudiera servir como pista a una persona malintencionada, del tipo: “llevo mucho tiempo usando la misma clave en el correo, que en XXX sitio y ya va siendo hora de cambiarla”, “tengo las claves apuntadas en el un archivo de notas del ordenador…”, cualquier información o pista personal de este tipo podría dar mimbres para que atacasen nuestra información sensible.

Yo que he tenido trato en casos de robos, las entidades tienen límites en las transacciones y aunque no las tuvieran, existe un seguro para esos casos, se presenta la denuncia y por lo general se recupera el dinero.
Luego dependiendo del tipo de robo y la cantidad sustraída el banco puede poner más o menos pegas.
No es lo mismo:

• Pago con tarjeta sin autenticación
• Pago con tarjeta con autenticación de doble factor
• Una transferencia bancaria equivocada ( aquí el banco no pinta nada ya es un tema entre particulares aunque como intermediario puede hacer gestiones para recuperar, si es realizada por un acceso no autorizado no es lo mismo )

Al final si uno va a juicio, cualquier pago no autorizado lo va a recuperar, ya depende de la entidad ponerlo más o menos fácil y como digo, suelen tener seguros que cubren una gran casuística así que no ponen trabas, al menos así ha sido en mi experiencia hace ya años.

A mi es un tema que me preocupa bastante porque cada vez oigo más casos cercanos que han sido víctimas de engaño o a los que han intentado engañar aunque no hayan podido.
Por precaución, yo sólo accedo a mis cuentas bancarias desde el ordenador de casa aunque alguna vez lo he tenido que hacer desde mi ordenador del trabajo.
En el móvil sólo tengo instalada una APP bancaria para Bizum, que utilizo muy poco, 2-3 veces al año.
Las tarjetas bancarias sólo físicas y de débito, con un límite de compra y de disposición de efectivo diario.
Utilizo un correo electrónico de pago, para las notificaciones bancarias, diferente al personal de Hotmail desde hace unos años. Accedo a él sólo desde el ordenador de casa, no lo tengo instalado en el móvil.
El tema de las contraseñas es algo que tengo pendiente de mejorar. Las tengo anotadas en un cuaderno pero tengo que cambiar muchas de ellas.

Tengo cuentas en varios bancos y tengo todas las claves de cuatro y ocho dígitos en la cabeza (por ahora aguanta la neurona). También están anotadas en un papel que tengo por ahí (por si la neurona falla). No, no se me ocurriría conectarme a una app de un banco a través de una wifi pública. Ordenador de casa y del trabajo (más seguro que el de casa) y móvil con datos o wifi de casa. Las tarjetas siempre apagadas mientras no se usen, y si viajo, borro las apps de los bancos del móvil y dejo activo lo básico para pagar y subsistir. En caso de emergencia, no faltaría el dinero sino la manera de acceder a el. A modo de anécdota, un día me paso que casi no puedo pagar en una tienda de tanta seguridad que tenía para poder pagar con una tarjeta.

¿Y eso le parece más seguro que usar su móvil?

La evolución de las finanzas personales ha hecho que las aplicaciones web y apps de las entidades financieras y gestoras sea una realidad. La autenticación por doble factor, clave y SMS al móvil, ya aporta cierto nivel de seguridad, y efectivamente, conectarse a dispositivos seguros como el ordenador personal y móvil/tableta en la red wifi o cableado Ethernet de su casa, pues en mi opinión es para estar bastante tranquilo. El dispositivo más seguro es el que está apagado, dejarlos encendidos puede suponer una brecha de seguridad.

Hasta aquí todo muy bien, y como dicen los colegas, no faltan correos fraudulentos, SMS y phising de webs bancarias que tratan de engañar y estafar a los usuarios. En mi caso, y por mis conocimientos de usuario un poco avanzado pero con los mismos riesgos que cualquier ciudadano, yo aplico ciertas medidas de seguridad como son:

• por 19,99€ amplié en Google One espacio en la nube a 100Gb y además incluye una VPN para todas mis conexiones, y esto es lo interesante, por un módico precio estamos protegidos por el anonimato en internet, ya sea web o apps en el móvil.
  -utilizar una cuenta de correo exclusiva para transacciones financieras, independiente de la que utilicemos para otras cuestiones, como registros en otras webs de servicios, ocio, etc. Mezclar esto puede dar algún disgusto, y lo pude comprobar hace unos días cuando el servicio de Google One me permitió indagar en la web “oscura” o darkweb la utilización y conocimiento de mis cuentas de correo por webs maliciosas que están ubicadas en esta zona de Internet, utilizada por delincuentes, trasiego de criptomonedas y ciberdelincuencia. Pues bien, pude comprobar que mi clave de correo era conocida por alguna web ubicada allí. Consejo: además de lo que comento de separar usos y cuentas de correo, cambiar la clave periódicamente.

• Mi entorno es Apple, por tanto también utilizo las capas de seguridad que nos ofrecen sus sistemas operativos, como es el relay privado de correo y ocultación de la IP (ya redundante con el primer punto comentado), pero lo más interesante que veo es la utilización del llavero de Apple, que tiene encriptadas todas mis contraseñas en la nube iCloud de Apple, y por tanto no necesito apuntar nada, las claves creadas por mí según un patrón para poder acordarme o generadas automáticamente por el sistema añaden una capa de seguridad adicional.

• Como normalmente, y más los colegas de este foro, utilizamos múltiples gestoras y bancos para operar, con custodias de FI, valores y ETFs repartidos por varias entidades con su seguridad correspondiente, tengo creado un documento maestro con toda la información relevante tanto a nivel financiero como de seguridad, ubicado igualmente en la nube de iCloud, que es conocido por mi familia, esto lo veo necesario para ser utilizado en un momento determinado, normalmente desagradable.

En mi caso, con estas premisas, me encuentro confortable utilizando los servicios financieros y demás por Internet, prácticamente lo hago todo así, y la tendencia es creciente. Con la clave permanente podemos hacer prácticamente todas las gestiones en las entidades públicas estatales, de Comunidades Autónomas y Ayuntamientos, la app de la DGT es muy buena y sustituye al carnet de conducir físico, y próximamente tendremos el DNI digital para llevar en el móvil. Todos mis pagos son digitales, ya sean por banco o proveedor de servicios, pero soy consciente que no todas las personas tienen los accesos preparados para utilizar dichos servicios, ya sea por conocimiento o acceso técnico.

Por favor utilicen estos comentarios como una opinión personal, y si les sirve de ayuda, estupendo. Un saludo.

Me gustaría dedicar un rato a leer y contestar el hilo de forma más pormenorizada, pero así a vuelapluma: por qué Google y no Microsoft o Apple? Más aún si utilizas Apple como sistema operativo habitual como has mencionado?

Pues Google One es el backup de mi archivo de fotos ubicado en iCloud de Apple, bastante extenso, además de que Google Fotos es más versátil que la Fototeca de Apple. La opción de VPN es muy sencilla de utilizar y por 19,99€ al año a mi me viene muy bien. La robustez y seguridad de los sistemas operativos de Apple las prefiero a las de Google, que su negocio no son los datos de las personas, sino el hardware y los servicios.

Un saludo.

Hola.

Estas son, basicamente, las medidas de seguridad que suelo usar en mi operativa. No hay sofisticación ninguna, pero si puedo ayudar a alguien, bien estará.

• Para fondos indexados uso Openbank. Lo tengo configurado de un modo tal que la propia aplicación solicita la clave de firma si se quiere hacer una transferencia hacia otra cuenta. Esto es interesante porque si los malos acceden a la cuenta tendrían que hacerse con un papel que tengo por casa donde está esa clave. O pedir otra. Pero tarda semanas en llegar al domicilio, asi que hay margen de maniobra.

• Tengo un móvil que uso exclusivamente para recibir claves bancarias. No tiene ni internet. La sim es movistar porque tengo entendido que es una compañía bastante exigente a la hora de hacer duplicados de sim, por lo que da un plus de tranquilidad por todo el tema del sim swapping.

• En Degiro tengo la doble autenticación activada, y si se quiere hacer cualquier cambio, por lo general pide clave por sms.

• Parte de la liquidez está en Renault bank, en parte por la remuneración actual, y también porque sólo permite transferencias a la cuenta nodriza. Esto también pasa en bancos como facto. Bajo mi punto de vista, otorga un mayor margen de maniobra en caso de que las cosas se pongan difíciles.

La verdad es que es una batalla perdida porque cada vez los operadores dominantes lo ponen más complicado a todos aquellos que no siguen estrictamente sus reglas. De cualquier manera, aquí estamos para dar batalla en la medida de lo posible

Siempre uso Firefox como navegador desde mi ordenador personal (un portátil Dell con Debian GNU/Linux) para acceder a sitios web de gestoras y/o bancos. Tiene una aceptable configuración por defecto (siempre se puede afinar pero eso ya que se ajuste cada cual), a la que yo recomiendo añadir las siguientes extensiones:

• uBlock Origin No solamente bloquea anuncios sino también cualquier tipo de contenido potencialmente malicioso.

• Multi Account Containers Separa el almacenamiento del sitio web en contenedores específicos por pestaña. Las cookies que se descargan en un contenedor no están disponibles en otros contenedores.

Las pocas ocasiones en las que accedo desde el teléfono móvil uso el navegador Firefox Focus (Firefox Klar en la región DACH) que está pensado para dejar el menor rastro posible.

Las credenciales las guardo en un fichero de texto cifrado en mi ordenador personal: no me fío de ningún servicio de esos en la nube (el ordenador de otro). Hago copias de seguridad periódicas que guardo tanto en un disco duro externo como en un servidor que tengo contratado en Internet. Como un día me dé un golpe en la cabeza y se me olvide la contraseña maestra, estoy jodido.

En cuanto a navegación y privacidad, alguna vez he usado la VPN de Mullvad porque aunque uno nunca puede estar seguro de qué hacen otros con Mullvad parece que puedes usar el servicio sin que ellos sepas directamente quién eres.

Hace unos años hice
sudo apt install keepassxc
y nunca he mirado atrás

Muy interesantes esas extensiones para el Firefox.

Existe también la posibilidad de instalar un sistema operativo (gnu/linux, seria un buen candidato) en una memoria usb o en un disco externo y usarlo exclusivamente para la operativa bancaria.

De esta forma, tendríamos un sistema razonablemente aislado y limpio. El pendrive podría estar cifrado, de forma que nadie pudiera acceder a los datos si es robado. Y, en el hipotético caso de que tuviésemos la necesidad de usarlo desde una red no confiable, se podría configurar también una VPN.

Muy a tener en cuenta, buen aporte al hilo

Para Firefox se me olvidó comentar una funcionalidad muy útil que es forzar el modo https. De esta manera la conexión cifrada se fuerza desde el navegador y en el caso de que no haya una versión segura en la web que se quiera acceder, muestra un aviso.