A pesar de no haber aportado mucho a la comunidad +D, y es que por ahora tampoco es que tenga mucho que aportar, me permito el lujo de empezar un tema, dado que he hecho una búsqueda, y no he encontrado nada. Si este tema ya se hubiera tratado, o no está en el lugar correcto, ruego a los moderadores, lo eliminen, o lo muevan al lugar apropiado.
Verán, por mi trabajo, viajo mucho por África. Por mi parte, he tenido bastante suerte, dado que sólo me han pirateado la tarjeta de crédito una sola vez. A mis compañeros, se la han pirateado varias veces a algunos. Y esto hace que sea más precavido con algunas cosas. Por ejemplo, intento no consultar mis cuentas bancarias cuando estoy en el extranjero, y si lo hago, nunca conectado a algún wifi, siempre con 3G.
Pues bien, pensando en eso, y en la cuenta que quiero abrir en R4, quería preguntarles cómo hacen ustedes para protegerse en la red, y qué medios utilizan para operar.
Me permito iniciar una encuesta:
Opero desde el móvil, con la app de mi broker.
Opero desde el ordenador, con un antivirus básico.
Opero desde el ordenador, con un antivirus de pago.
Bienvenido @FGabriel
¿Ha probado a utilizar la tarjeta virtual de Revolut y activarla sólo en el momento de realizar sus pagos? Por defecto siempre desactivada, claro.
La tarjeta no es mía, es de la empresa. Y la verdad, sería un incordio tener que andar llamando a alguien para activar/desactivar con los ritmos de vuelos y horarios que llevo.
Además, no tengo ni idea de lo que es la Revolut, pero le aseguro que dependiendo del país, hay sitios en los que si se sale uno de Visa, no hay forma de pagar. Hay otros, en los que sólo aceptan efectivo, directamente.
En relación a su pregunta original, parece que le podría servir tener un servidor VPN en un lugar que considere seguro, su casa por ejemplo, y vaya donde vaya, conectarse por VPN y sólo después navegar con normalidad.
Quizá la 4G/3G puede ser más segura que una WiFi honeypot cualquiera, muy problemente el canal de transmisión sí sea más seguro, pero no sé si me fiaría yo mucho de que mi móvil no tuviera ya_bicho_.
Me he equivocado a votar, pensaba que hablaba del móvil, en realidad opero desde el ordenador y SIN antivirus alguno solo con el firewall instalado por defecto. ¿Por que?, porque utilizo openSUSE, una distribución de GNU/Linux, como sistema operativo principal con una cuenta de usuario sin privilegios administrativos, los que usan Linux como sistema operativo saben de que hablo.
También tengo instalado Windows 10 pero solo lo uso para usar algunas aplicaciones exclusivas de Windows y para jugar, también con una cuenta de usuario sin privilegios administrativos.
También tengo Maquinas Virtuales de VirtualBox del sistema operativo contrario al instalado, por ejemplo, en Windows 10 uso dos maquinas virtuales indistintamente, una de Linux Mint y otra de Whonix, y en openSUSE una de Windows 8,1.
Saludos.
Una de las razones por las que tras dos décadas con Windows me pasé a Mac fue el aspecto de la seguridad del sistema operativo. Y no fue por un problema de seguridad, pero hombre prevenido vale por dos.
Si bien NO es infalible, pienso que es menos falible que Windows. He de decir que siempre he sido un usuario precavido con Windows y a pesar de todo se me colaba Malware de webs presuntamente no sospechosas.
Lo mismo con el móvil.
Aparte está luego la seguridad por redes wifi donde es necesario tomar precauciones fundamentales. Nunca utilizar redes wifi públicas por ejemplo.
Que conste, que no quiero abrir un debate mac vs windows. Solo quería comentar que desde mi humilde punto de vista y conocimientos, los Mac y iphone son menos vulnerables.
En el móvil (Android) uso un navegador ligero como es Firefox Focus y procuro no instalar aplicaciones que me pidan demasiados permisos (en realidad, cuantas menos aplicaciones, mejor). En este caso mi perfil es poco habitual porque uso un software diferente (LineageOS) al proporcionado por el fabricante.
Las cosas básicas ya han sido comentadas más arriba (evitar wifis públicas, cuentas con privilegios de administración, uso de “firewall”, etc.) y hay multitud de opciones en función de la paranoia personal.
En cuanto al uso de tarjetas, hay que tener en cuenta que también puede ser víctima sin que el atacante haya tenido acceso físico a la misma, así que tener alguna forma de que el banco le informe de los pagos hechos con la tarjeta en cuestión siempre es buena idea.
Por motivos de trabajo opero con numerosos bancos, entre ellos el mío, siempre desde el portátil. Nunca he usado el móvil. Sistema operativo Windows.
Me conecto desde la empresa que, por sus especialidades, tiene un sistema de seguridad que se montó en base a no se qué ISO diseñada específicamente para estos menesteres. Posee varios cortafuegos físicos y por soft, el nivel es profesional y su responsable señala que es de lo mejor del mercado. Debe de serlo, pues cuando veo las facturas reniego en castellano viejo.
Desde este punto trabajo con total y absoluta normalidad, estando tranquilo cuando opero. Desde mi domicilio no hago absolutamente nada que tenga que ver con banca, tarjetas o pagos. No me encuentro cómodo, pura cuestión de carácter.
Incide, quizás, el hecho de que en la empresa se manejan enormes bases de datos que pudieran ser de interés de terceros. De hecho, el responsable nos reporta con más habitualidad de la que me gustaría diversos tipos de ataques a nuestro sistema. De momento resistimos. Y yo me consuelo pensando en el viejo dicho que “quien hace lo que puede no está obligado a más”.
Si a eso se añade, siempre en mi opinión, que la industria de la seguridad informática va a remolque de la industria hacker y que, estos últimos, acostumbran a ser “Sheldons Coopers” de lo más raros, tranquilidad, lo que se dice tranquilidad, pues no la tengo toda.
Curioso los resultados de la encuesta. No me esperaba tanta gente operando desde la app.
Yo le pregunté al de R4 por el tema de la seguridad, y me dijo que tenían como dos niveles. Uno más “cómodo” para operar, y otro más complejo y seguro que era para vender y retirar dinero. Eso me dejó algo más tranquilo, pero no os puedo decir más porque todavía no he empezado a operar.
¿Qué es más seguro, operar internet con su banco con las precauciones propias de “un buen padre de familia” o sacar dinero de un cajero en una calle poco transitada?
En mi opinión, lo primero. Los bancos tienen medidas de seguridad que suplen los posibles defectos de las redes de los usuarios aunque por supuesto, no son infalibles.
Se refieren a activar el nivel de seguridad “Multi Factor” (algo que sé, algo que soy y algo que tengo), que para operar le pide un código que le genera un servicio de Google llamado Google Authenticator, app que tendrá que instalar en un dispositivo al que tenga acceso.
Yo uso el “Last Pass” que es un programa que te guarda todas las contraseñas, te ayuda a crear contraseñas difíciles y a cambiar las existentes (del estilo xdfs14$&.) y autocompleta por ti tanto en el ordenador como en el móvil, tú solo tienes que recordar la contraseña maestra o usar la huella dactilar.
Además tiene “Last pass authentication” que sirve para la identificación de dos factores igual que la de Google pero más seguro por lo de la contraseña maestra o huella.
Por ahora va genial yo la uso para todo y todas las operaciones posibles las hago con doble autentificación de esa.
Aprovecho para preguntarle una duda que me surge cada vez que leo algo sobre esos programas que guardan las contraseñas ¿no los pueden hackear? Si eso sucediera quedaría expuesto en todos los servicios que tuviera con las contraseñas. Pregunto desde la total ignorancia de su funcionamiento y medidas de seguridad implementadas.
Buenas,
Efectivamente como comenta @Juan_Perez todo es Hackeable, pero por ejemplo para este Last Pass yo tengo una contraseña maestra potente, del tipo mayúsculas, caracteres largas etc, esas por fuerza bruta no es Hackeable con la tecnología actual y supongo que estará cifrada por parte de la aplicación Last Pass, entonces el punto débil sería tener un Sypware o algo así en mi ordenador/móvil o conectarse a un Wifi no seguro y me robe la contraseña maestra.
Pero claro, es que antes de usar esta app tenía 3 contraseñas facilitas y mi email principal para todo!, por ejemplo cuando hackearon yahoo ya tenían entonces mi email y una contraseña, ahora con Last Pass todas las contraseñas importantes son del tipo mayúsculas y caracteres y cada una es diferente de la otra, vamos lo que se dice contraseñas únicas aleatorias.
Para transacciones en todos los sitios que lo permitan recomiendo doble verificación, eso es lo más seguro, yo lo tengo en todos los bancos incluido renta 4, y ahora que lo pienso en Degiro me falta, tengo que comprobarlo.
Las contraseñas donde mejor están es en la cabeza, por otro lado si el sistema es serio, que debería serlo no almacena contraseñas sino un HASH de la misma, lo que significa que la contraseña puede generar el HASH y autenticarla pero no al contrario. Hay otros sistemas, para implementar aún más seguridad.
Le iba a preguntar la posibilidad de que los piratas entraran en el servidor de Last Pass (como ha pasado en Yahoo y otros) y todas sus contraseñas quedaran al descubierto pero ¿se aplica el sistema que enlaza @autoinmune y por lo tanto es inaccesible sin la contraseña maestra?
Yo daba por hecho que sí por ser una empresa de seguridad, y he encontrado este articulo de ellos donde explican que trabajan con un modelo de conocimiento cero (no sé muy bien que es eso), pero entiendo que significa que ellos no almacenan tu contraseña maestra, sino que usan un método para abrir tu “caja fuerte” de contraseñas sin necesidad de conocer la llave maestra, será algo como las criptomonedas o los métodos estos criptográficos de las webs de bancos.
Aquí el articulo en inglés, supongo que Google lo traduce para el que no controle: Last Pass security
Voy a suponer que es lo siguiente: Un administrador de un sistema (serio) no puede conocer las contraseñas de los usuarios, las puede asignar de nuevo con la obligación del usuario de cambiarla al primer login, de tal forma que ni aún queriendo se puede conseguir la contraseña del usuario. Es requisito imprescindible para evitar el repudio. Bien implementado, así funciona.
Pues ya por curiosidad he mirado un poco más y parece que el Zero Knowledge protocol es algo parecido a lo que estudié de las criptomonedas de clave pública y clave privada, que los mineros sabían que la transacción la había firmado alguien con la clave privada pero los mineros no necesitaban conocer cuál era la clave y otros protocolos de seguridad, donde con matemáticas y criptografía puedes identificarte sin que el identificador necesite conocer la contraseña, “parafraseando” de wikipedia:
Es un método en que un sistema puede probar que conoce la contraseña al verificador sin que el verificador necesite conocer la contraseña.
Aparte de eso, viendo esta imagen del articulo de Last Pass, parece que lo primero que hacen es encriptar y que la “Caja Fuerte” con todas las contraseñas está encriptada, entiendo que solo aquel con la contraseña maestra puede acceder a la Vault de contraseñas, y que ellos no tienen acceso tampoco.
