Voy a recopilar una serie de entradas que tenía publicadas en otro blog. En esta primera voy a tratar un tema delicado, las operaciones bancarias a través de Internet.

Dejando a un lado el phising (que abarcaría otro artículo completo), muy a menudo escuchamos, ya sea a través de conocidos o por los medios, que suceden graves delitos relacionados con robos de tarjetas y demás información sensible a través de Internet.

Hoy en día gran parte de los internautas realizan compras online, y podríamos asegurar que un porcentaje realmente elevado no toma ninguna medida de seguridad a la hora de hacerlo. Independientemente de la seguridad que nos pueda ofrecer la tienda online, banco o sitio web contra el que realizamos la operación, no servirán de nada sino hacemos lo mismo en nuestro ordenador.

Mis consejos para realizar operaciones bancarias por Internet de forma segura son los siguientes:

Evitar el pago con tarjeta de crédito, utilizar métodos alternativos.

Cuando hablo de métodos alternativos, no solamente me refiero a pagar por transferencia bancaria u otro medio de pago tradicional. El pago por PayPal está muy extendido por las tiendas online (permite la transferencia de dinero entre usuarios que tengan correo electrónico, sin facilitar ningún dato de tus tarjetas de crédito).

Los keylogger son tu mayor enemigo.

Un Keylogger es un tipo de software que se encarga de registrar las pulsaciones que se realizan en el teclado, para memorizarlas en un fichero y/o enviarlas a través de internet. Se propagan como un virus y están muy extendidos en sistemas con Microsoft Windows. Si tu ordenador está infectado con uno, al teclear tu tarjeta de crédito o cualquier otro dato sensible puedes estar enviandolo por Internet a los delincuentes (quienes almacenan miles de datos bancarios para su utilización de forma ilegal).

La principal solución para combatir un Keylogger es la utilización de un buen antivirus, antispyware y demás herramientas, además de mantener actualizado el sistema siempre con los últimos parches de seguridad.

Uso de un Live-CD.

Soy de la opinión de que el punto número 2 no te dará el 100% de garantías de estar limpio de este tipo de malware, así que os recomiendo utilizar un Live-CD cuando vayáis a efectuar compras online, operaciones bancarias, etc.

Definición de Live-CD (Wikipedia):

Es un sistema operativo (normalmente acompañado de un conjunto de aplicaciones) almacenado en un medio extraíble, tradicionalmente un CD o un DVD (de ahí sus nombres), que puede ejecutarse desde éste sin necesidad de instalarlo en el disco duro de una computadora, para lo cual usa la memoria RAM como disco duro virtual y el propio medio como sistema de archivos.

Esta medida nos garantiza que el sistema está limpio de virus y software malicioso siempre que lo utilicemos. Existen gran variedades de Live-CD GNU/Linux que podemos utilizar para esta tarea, muchos de los cuales únicamente arrancan un navegador (Firefox):

• Ubuntu Live CD
• Knopixx
• Webconverger (Sólo contiene firefox).

Hay centenares de LiveCD, GoblinX, Frenzy, Mutagenix, Anonym.OS, CDlinux… tenéis una lista completa aquí.

Despídete de Windows

La última regla y también la más radical. Personalmente os recomiendo el uso de un Live-CD o directamente no utilizar Windows a la hora de realizar operaciones bancarias, manejar y guardar información sensible en el PC, etc.

Los virus en GNU/Linux, BSD o Mac OS X están mucho menos difundidos y tus posibilidades de sufrir este problema serán mínimas o nulas. Sé que esto último es muy complicado, pero por lo menos espero que hagáis caso de alguna de las recomendaciones expuestas en este artículo para evitar males mayores.

También te puede interesar:

• Generador de passwords aleatorios
• Navegar por Internet de forma segura con KioskCD

strings /dev/urandom | grep -o '[[:alnum:]]' | head -n 10 | tr -d '\n'; echo 

Si queréis más de 10 caracteres en la clave, simplemente cambiad el número que le pasamos a “head”:

# strings /dev/urandom | grep -o '[[:alnum:]]' | head -n 15 | tr -d '\n'; echo
admk1iEtH7umbo8

Por supuesto, hay muchas formas de hacerlo, esta es simplemente una de ellas.

Ah! Viene bien recordar esta cita:

Treat your password like your toothbrush. Don’t let anybody else use it, and get a new one every six months

Clifford Stoll

También te puede interesar:

• Securizar la gestión de claves en Linux mediante PAM
• Comando chage: tiempo de vida de claves y usuarios en GNU/Linux
• visudo, vipw y vigr: editando ficheros críticos en Linux de forma segura
• Operaciones bancarias en Internet de forma segura

Phising, suplantación de identidad, virus, troyanos… a esto y mucho más estamos expuestos al navegar por Internet. Es más fácil de lo que la gente piensa que alguien capture la información que enviamos desde nuestro navegador, ya sea por fallos de seguridad del sistema, virus o muchos otros motivos.

Hay casos, por ejemplo al realizar transacciones bancarias por Internet, en los que necesitamos estar 100% seguros de que la página a través de la que estamos trabajando es realmente la verdadera (phising, DNS spoofing,etc). Debido a múltiples formas de atacar un equipo o sistema, que aquí no voy a tratar, existe la posibilidad  de que estemos sufriendo un caso de phising, que un cracker esté capturando la información que enviamos a través de Internet, etc.

Es recomendable en estos casos, utilizar un sistema limpio de virus, troyanos o cualquier otra fuerza que comprometa nuestra seguridad. La forma más segura… por ejemplo KioskCD.

KioskCD es un LiveCD que consta simplemente de un kernel Linux “pelado” y un navegador Firefox, nada más. Arrancas un equipo desde el CD y simplemente aparece un navegador sobre el que trabajar. Es excelente pues puedes utilizarlo en equipos ajenos sin necesidad de usar el sistema operativo nativo del equipo, del cual no conocemos la seguridad (imaginad en hoteles, escuelas, ciber cafes, etc…).

El sistema no puede ser infectado porque es un CD (solo lectura), cada arranque consta de una instalación limpia, no puede modificarse ninguna configuración, el sistema ignora los discos duros instalados, USB, etc.

Podéis acceder a la web oficial aquí, donde hay mucha más información y la descarga del LiveCD, tenedlo en cuenta a la hora de realizar operaciones importantes con información sensible a través de Internet.

También te puede interesar:

• Navegar por Internet de forma anónima
• Encriptar un filesystem con LUKS y cryptsetup
• 10 trucos para securizar PHP
• Comando chage: tiempo de vida de claves y usuarios en GNU/Linux