Seguridad en la banca electrónica - CERT.br · Bancaelectrónica: Los mensajes%maliciosos% u

Este trabajo fue originalmente desarrollado por CERT.br, parte de NIC.br, con el obje<vo de promover la concien<zación sobre el uso seguro de Internet y se basa en la Car<lla de Seguridad para Internet (hDp://car<lla.cert.br/). Esta obra se encuentra bajo la licencia Crea<ve Commons Reconocimiento-‐No comercial-‐Compar<r bajo la misma licencia 3.0 Brasil (CC BY-‐NC-‐SA 3.0). CERT.br/NIC.br otorga a Usted una licencia de cobertura mundial, libre de regalías, no exclusiva, sujeta a los términos y condiciones de esta Licencia, para ejercer los derechos sobre la Obra como se indica a con<nuación. a.  Reproducir la Obra, incorporar la Obra en una o más Obras Colec<vas y reproducir la Obra incorporada en Obras Colec<vas; b.  Crear y reproducir Obras Derivadas, siempre que cualquier Obra Derivada, incluida cualquier traducción, en cualquier medio, adopte medidas razonables para indicar claramente, delimitar o iden<ficar de cualquier otro modo que se han realizado cambios a la Obra Original. Una traducción, por ejemplo, podría señalar que "La Obra Original fue traducida del inglés al portugués", o una modificación podría indicar que "La Obra Original ha sido modificada"; c.  Distribuir y ejecutar públicamente la Obra, incluidas las Obras incorporadas en Obras Colec<vas; y

d.  Distribuir y ejecutar públicamente Obras Derivadas. Bajo las siguientes condiciones:

•  Atribución — Usted debe atribuir la obra de la manera especificada por el <tular o por el licenciante original (pero no de una manera que sugiera que éste lo apoya o que suscribe el uso que Usted hace de su obra). En el caso de este trabajo, deberá incluir la URL del trabajo original (Fuente – hDp://car<lla.cert.br/) en todas las diaposi<vas. •  Uso no comercial — Esta obra no se puede u<lizar con fines comerciales.

•  Compar9r bajo la misma licencia — En caso de alterar, transformar o ampliar este trabajo, Usted solo deberá distribuir el trabajo resultante bajo la misma licencia o bajo una licencia similar a la presente. Advertencia — En toda reu<lización o distribución, Usted deberá dejar claro cuáles son los términos de la licencia de esta obra. La mejor manera de hacerlo consiste en colocar un enlace a la siguiente página: hDp://crea<vecommons.org/licenses/by-‐nc-‐sa/3.0/es/

La descripción completa de los términos y condiciones de esta licencia está disponible en: hDp://crea<vecommons.org/licenses/by-‐nc-‐sa/3.0/es/legalcode.es

1 http://cartilla.cert.br/fasciculos/

Seguridad en la banca electrónica

Contenido: •  Banca electrónica: Presenta algunas de las estafas relacionadas con las

transacciones bancarias que se pueden aplicar a través de Internet. •  Principales riesgos: Presenta algunos de los riesgos a los que se exponen los

usuarios cuando u<lizan un servicio de banca electrónica (Internet Banking) sin los debidos cuidados.

•  Cuidados a tener en cuenta: Presenta los cuidados que se deben tener en cuenta para protegernos contra los riesgos relacionados con el uso de los servicios de banca electrónica (Internet Banking).

•  Fuentes



Banca electrónica: La banca electrónica (Internet Banking) nos permite realizar las mismas transacciones que podemos realizar en las sucursales bancarias, sin tener que hacer cola ni estar limitados por los horarios de atención al público. Lamentablemente, realizar transacciones bancarias a través de Internet puede presentar riesgos si no tomamos algunas precauciones.



Banca electrónica: Dado que falsificar datos en un servidor de una ins<tución bancaria o comercial no es tarea fácil, los estafadores intentan engañar y persuadir a sus potenciales víc<mas para que les entreguen datos sensibles o realicen alguna acción, como por ejemplo ejecutar códigos maliciosos o acceder a páginas falsas (phishing).

El phishing es un <po de fraude por medio del cual un estafador intenta obtener datos personales y financieros de un usuario, u<lizando una combinación de medios técnicos e ingeniería social. Ocurre mediante el envío de mensajes electrónicos que: •  intentan hacerse pasar por una comunicación oficial de una ins<tución conocida,

como por ejemplo un banco, una empresa o un si<o popular; •  intentan atraer la atención del usuario, ya sea por curiosidad, por caridad o por la

posibilidad de obtener alguna ventaja financiera;

•  informan que no ejecutar los procedimientos descritos podría implicar consecuencias graves, como la inclusión en un servicio de historial credi<cio o la cancelación de un registro, de una cuenta bancaria o de una tarjeta de crédito;

•  intentan inducir al usuario a proveer datos personales y financieros, mediante el acceso a páginas falsas que intentan hacerse pasar por la página oficial de una ins<tución, la instalación de códigos maliciosos diseñados para recoger información sensible, y el llenado de formularios contenidos en el mensaje o en una página web.



Banca electrónica: Los mensajes maliciosos u<lizan diferentes estrategias para atraer la atención del usuario. Por lo general, estas estrategias buscan explotar campañas de publicidad, servicios, imágenes y temas de actualidad. Un ejemplo de phishing que intenta explotar la banca electrónica: usted recibe un correo electrónico en nombre de una ins<tución financiera que intenta convencerlo de hacer clic en un enlace. Al hacerlo, usted será redirigido a una página web falsa, parecida al si<o al que realmente desea acceder, donde se le solicitarán sus datos personales y financieros. Un spyware es un <po de código malicioso diseñado para monitorear las ac<vidades de un sistema y enviar la información recogida a terceros. Algunos ejemplos: •  Keylogger: capaz de capturar y almacenar las teclas que el usuario digita en el

teclado de la computadora. En muchos casos, su ac<vación está condicionada a una acción previa del usuario, como el acceso a un si<o de banca electrónica específico;

•  Screenlogger: similar a keylogger, capaz de almacenar la posición del cursor y la pantalla que muestra el monitor, los momentos en que se hace clic con el ratón o la zona que rodea la posición donde se hace clic. Los atacantes lo u<lizan para capturar las teclas digitadas en los teclados virtuales que u<lizan los si<os de banca electrónica.

•  Trojan Banker (Bancos): se trata de un troyano que recoge datos bancarios mediante la instalación de spyware que se ac<va cuando se accede a los si<os de banca electrónica.



Banca electrónica: Otras formas de estafa incluyen:

•  ofrecer aplicaciones maliciosas que una vez instaladas pueden recoger sus datos; •  realizar llamadas telefónicas intentando hacerse pasar, por ejemplo, por el

gerente de su banco y solicitar sus datos personales; •  explorar posibles vulnerabilidades en su computadora o disposi<vo móvil para

instalar códigos maliciosos;

•  explorar posibles vulnerabilidades en los equipos de red, como contraseñas débiles o predeterminadas;

•  recoger información sensible que circula por la red en forma no cifrada



Principales riesgos: En las diaposi<vas siguientes presentamos algunos de los principales riesgos asociados con el uso de la banca electrónica.



Principales riesgos: Si al u<lizar la computadora o el disposi<vo móvil no toma precauciones especiales, cuando realice una transacción bancaria a través de Internet estará expuesto a los siguientes riesgos: •  Pérdidas financieras: su cuenta bancaria puede ser u<lizada para realizar acciones

maliciosas, como transferencias indebidas y el pago de cuentas de otras personas.

•  Invasión de la privacidad: alguien que acceda de forma indebida a su cuenta puede obtener información personal sobre sus transacciones bancarias y así vulnerar su privacidad.

•  Violación del secreto bancario: alguien que acceda a su cuenta de forma indebida podría violar su derecho al secreto bancario.

•  Par<cipación en esquemas fraudulentos: su cuenta bancaria puede ser u<lizada como un intermediario para realizar estafas y cometer fraudes.



Cuidados a tener en cuenta: En las próximas diaposi<vas presentamos algunos de los principales cuidados que se deben tener en cuenta en relación con el comercio electrónico.



Al acceder al si9o web de un banco: Los disposi<vos móviles como las tablets, los teléfonos inteligentes, los celulares y las PDA se están volviendo cada vez más populares. Estos disposi<vos ya permiten realizar gran parte de las acciones que realizamos en nuestras computadoras personales, como navegar en Internet, u<lizar servicios de banca electrónica y acceder a los servicios de correo electrónico y a las redes sociales. Lamentablemente, las semejanzas no se limitan a las funcionalidades que presentan, sino que también incluyen los riesgos que puede implicar su uso. Al igual que nuestras computadoras, nuestros disposi<vos móviles también pueden ser u<lizados para poner en prác<ca ac<vidades maliciosas, como robos de datos, envío de spam y propagación de códigos maliciosos. También pueden formar parte de botnets y ser usadas para lanzar ataques en Internet.



Al acceder al si9o de un banco: •  Evite usar disposi<vos móviles y computadoras de terceros (como por ejemplo los

cibercafés) dado que no hay ninguna garanca de que estos equipos sean seguros. •  Evite usar redes wifi públicas. •  Si su banco está en Brasil y ofrece esta opción, u<lice una dirección que termine

en “b.br”. Además de ser de uso exclusivo para las ins<tuciones bancarias, los dominios que terminan en “b.br” también ofrecen recursos de seguridad adicionales.



Al acceder al si9o de un banco: Una conexión segura es aquella que se u<liza para transmi<r datos sensibles. Por lo general, para acceder a los si<os de banca y comercio electrónico se u<liza este <po de conexiones, dadi que proporcionan auten<cación, integridad y confidencialidad como requisitos de seguridad.

Los si<os de banca electrónica confiables siempre u<lizan conexiones seguras cuando solicitan datos sensibles. Algunos indicios que muestra el navegador y que indican que una conexión es segura:

•  La dirección comienza con hDps:// •  En la barra de direcciones aparece dibujado un candado cerrado. Al hacer clic

sobre el candado, se muestran los detalles de la conexión y del cer<ficado digital en uso.

•  Al lado de la barra de direcciones (a la izquierda o a la derecha) hay un recuadro de color (blanco o azul) con el nombre de dominio del si<o. Al pasar el ratón o hacer clic sobre el recuadro, se muestran los detalles de la conexión y el cer<ficado digital en uso.

•  La barra de direcciones y/o el recuadro aparecen en verde y en el recuadro se coloca el nombre de la ins<tución a quien pertenece el si<o.



Al acceder al si9o de un banco: Esta diaposi<va muestra ejemplos de:

•  una conexión segura en diferentes navegadores; •  una conexión segura usando EV SSL en diferentes navegadores.



Al acceder al si9o de un banco: Ciertos si<os u<lizan, en la misma página, una mezcla de conexión segura y no segura. En este caso, puede ser que el candado desaparezca, que se vea un ícono modificado (por ejemplo, un candado con un triángulo amarillo), que ya no se vea el recuadro con información sobre el si<o, o incluso que cambie el color de la barra de direcciones. Si su banco u<liza una conexión mixta, pregunte a la ins<tución si el <po de conexión que u<liza es realmente mixta o si se podría tratar de un si<o falso.



Otros cuidados: •  Proporcione una sola combinación de su tarjeta de seguridad o llave electrónica.

Desconde si durante un mismo acceso el sistema le solicita más de una combinación.

•  Si lo ha registrado, mantenga su número de celular actualizado. Este número se u<liza para enviar mensajes de confirmación y códigos de autorización de las transacciones.

•  Use siempre la opción “salir” cuando deje de u<lizar su servicio de banca electrónica.



Otros cuidados: •  Tenga cuidado con los mensajes sobre promociones.

•  Evite acceder a la central de atención de su banco a través de teléfonos celulares de terceros. Los datos ingresados, como el número de su cuenta bancaria y su contraseña, podrían quedar almacenados.

•  La mayoría de los bancos no envía correos electrónicos sin autorización previa de los usuarios. Ignore los mensajes que reciba si previamente no ha autorizado su envío, especialmente aquellos de ins<tuciones con las cuales no tenga relación.

•  Revise periódicamente los estados de sus cuentas bancarias y los de sus tarjetas de crédito. Verifique si hay alguna transacción indebida o que usted no haya realizado o autorizado.



En caso de dudas o problemas: •  Si detecta alguna transacción bancaria sospechosa o se encuentra con algún <po

de problema, intente comunicarse inmediatamente con la central de atención de su banco, directamente con su gerente o con el operador de su tarjeta de crédito. Ellos podrán ayudarlo e indicarle los procedimientos a seguir.



Proteja sus contraseñas: Tenga cuidado al crear sus contraseñas:

•  Siempre intente u<lizar contraseñas con el mayor número de caracteres posible. •  Intente usar contraseñas con diferentes <pos de caracteres. •  No u<lice datos personales, como su nombre, apellido o fechas importantes.

•  No u<lice datos personales que se puedan obtener fácilmente.



Proteja sus contraseñas: Nunca reu<lice las contraseñas con las cuales acceda a datos sensibles, como las que u<liza para para su servicio de banca electrónica o correo electrónico. Usar la misma contraseña para acceder a diferentes cuentas puede ser bastante arriesgado, ya que basta con que un atacante consiga la contraseña de una cuenta para que pueda acceder a todas las demás. •  Intente no usar la misma contraseña para asuntos personales y profesionales. Para

acceder a su servicio de banca electrónica, no use la misma contraseña que u<liza para acceder a otros si<os.

•  Cambie sus contraseñas cada vez que lo considere necesario. •  No entregue sus contraseñas a otras personas bajo ninguna circunstancia. •  No entregue información bancaria, especialmente sus contraseñas, a través del

teléfono o de mensajes electrónicos.



Proteja sus equipos: Tenga cuidado al instalar aplicaciones desarrolladas por terceros (plug-‐ins, complementos y extensiones). La mayoría de las veces, estos programas están disponibles en repositorios desde los cuales se pueden comprar o descargar ibremente. Algunos repositorios aplican un fuerte control a los programas antes de ponerlos a disposición de los usuarios, otros u<lizan clasificaciones para indicar el <po de revisión, mientras que aún otros no efectúan ningún <po de control. Aunque la mayor parte de estos programas son confiables, algunos han sido específicamente creados para ejecutar ac<vidades maliciosas o bien, debido a errores en su implementación, pueden ejecutar acciones dañinas en su computadora.

Los cuidados a tener en cuenta incluyen:

•  Buscar aplicaciones de fuentes confiables. •  U<lizar programas que tengan una gran can<dad de usuarios y que hayan recibido

reseñas favorables. •  Antes de instalar un programa, leer los comentarios de otros usuarios (muchos

si<os ofrecen listas de los programas más u<lizados y más recomendados). •  Verificar si los permisos necesarios para la instalación y ejecución son coherentes.

•  Tener cuidado al instalar programas que todavía estén en proceso de revisión.

•  Si iden<fica programas maliciosos, denunciarlos a los responsables del repositorio.



Mantente informado: •  Puedes encontrar material de referencia en la “Car<lla de Seguridad para

Internet”. •  Puedes obtener novedades y consejos por medio de RSS y de la cuenta de TwiDer

de CERT.br.



ESTÁ PROHIBIDO ELIMINAR ESTA DIAPOSITIVA, LA CUAL DEBE EXHIBIRSE EN CUALQUIER REPRODUCCIÓN, INCLUSO EN LAS OBRAS DERIVADAS. Esta obra fue originalmente desarrollada por CERT.br, parte de NIC.br, y es promovida por el Comité Gestor de Internet de Brasil (CGI.br). Forma parte de un conjunto de materiales educa<vos cuyo obje<vo es promover la concien<zación sobre el uso seguro de Internet y se basa en la Car<lla de Seguridad para Internet (hDp://car<lla.cert.br/). Esta obra se encuentra bajo la licencia Crea<ve Commons Reconocimiento-‐No comercial-‐Compar<r bajo la misma licencia 3.0 Brasil (CC BY-‐NC-‐SA 3.0). CERT.br/NIC.br otorga a Usted una licencia de cobertura mundial, libre de regalías, no exclusiva, sujeta a los términos y condiciones de esta Licencia, para ejercer los derechos sobre la Obra como se indica a con<nuación. a. Reproducir la Obra, incorporar la Obra en una o más Obras Colec<vas y reproducir la Obra incorporada en Obras Colec<vas; b. Crear y reproducir Obras Derivadas, siempre que cualquier Obra Derivada, incluida cualquier traducción, en cualquier medio, adopte medidas razonables para indicar claramente, delimitar o iden<ficar de cualquier otro modo que se han realizado cambios a la Obra Original. Una traducción, por ejemplo, podría señalar que "La Obra Original fue traducida del inglés al portugués", o una modificación podría indicar que "La Obra Original ha sido modificada"; c. Distribuir y ejecutar públicamente la Obra, incluidas las Obras incorporadas en Obras Colec<vas; y d. Distribuir y ejecutar públicamente Obras Derivadas. Bajo las siguientes condiciones:

•  Atribución — Usted debe atribuir la obra de la manera especificada por el <tular o por el licenciante original (pero no de una manera que sugiera que éste lo apoya o que suscribe el uso que Usted hace de su obra). En el caso de este trabajo, deberá incluir la URL del trabajo original (Fuente – hDp://car<lla.cert.br/) en todas las diaposi<vas. •  Uso no comercial — Esta obra no se puede u<lizar con fines comerciales. •  Compar9r bajo la misma licencia — En caso de alterar, transformar o ampliar este trabajo, Usted solo deberá distribuir el trabajo resultante bajo la misma licencia o bajo una licencia similar a la presente. Advertencia — En toda reu<lización o distribución, Usted deberá dejar claro cuáles son los términos de la licencia de esta obra. La mejor manera de hacerlo consiste en colocar un enlace a la siguiente página: hDp://crea<vecommons.org/licenses/by-‐nc-‐sa/3.0/es/ La descripción completa de los términos y condiciones de esta licencia está disponible en: hDp://crea<vecommons.org/licenses/by-‐nc-‐sa/3.0/es/legalcode.es



Documents

Seguridad en la banca electrónica - CERT.br · Bancaelectrónica: Los mensajes%maliciosos% u