¡Feliz y seguro año 2016!
Hoy, día 1 de Enero de 2016 y con la entrada del nuevo año tenía pendiente la publicación de una entrada relacionada con la seguridad en las compras on-line. Lo sé habría sido más útil haberla publicado antes de las fiestas navideñas y seguro que alguien más se hubiera beneficado de los consejos y medidas de seguridad que proporcionaré. Todavía tenemos por delante los Reyes, ¿tienes pendiente alguna compra por Internet? Si es así, creo que esta entrada te resultará muy útil.
Hoy, día 1 de Enero de 2016 y con la entrada del nuevo año tenía pendiente la publicación de una entrada relacionada con la seguridad en las compras on-line. Lo sé habría sido más útil haberla publicado antes de las fiestas navideñas y seguro que alguien más se hubiera beneficado de los consejos y medidas de seguridad que proporcionaré. Todavía tenemos por delante los Reyes, ¿tienes pendiente alguna compra por Internet? Si es así, creo que esta entrada te resultará muy útil.
A continuación describiré algunas de las medidas de seguridad y precauciones que tomo personalmente y recomiendo cuando compro algo por Internet. Seguro que a muchos de vosotros os parecerán paranoicas algunas de ellas, y entiendo que no todo el mundo, en todo momento pueda tener los recursos para desarrollarlas tanto de conocimientos (que intentaremos subsanar en parte con esta entrada) como materiales (tampoco necesitamos nada del otro mundo pero podemos no tenerlos disponibles en un momento dado).
¿Recursos materiales?¿Qué vamos a hacer manualidades o algo? No, pero para los consejos que propongo hacen falta algunas cosillas más allá del sentido común y de un pc.
Necesitaremos un cable Ethernet y un pendrive con una distribución Gnu/Linux. ¿Por qué? Ahora lo veremos.
Las primeras medidas básicas de seguridad a la hora de comprar en Internet deben ser las medidas generales de seguridad que debemos estar implementando diariamente. Dichas medidas son el sentido común (que obviamente es el menos común de los sentidos) y mantener nuestros sistemas actualizados. Esto incluye si haces uso de un programa antimalware tenerlo activo y actualizado. ¡Tópicos a mí!
Una vez dado por supuestos que vamos a estar mentalmente activos frente a posibles "trampas" que podamos encontranos por Internet y con nuestros sistemas perfectamente actualizados, siento decirte que todo ello puede no servir de nada llegado el momento, pero ayuda. Recuerda que la seguridad al 100% no existe.
Vale empezamos con los consejos y medidas de prevención que podemos tomar. Me gustaría que en los comentarios me dijérais paranoico si realmente lo pensáis, así como que medidas adicionales tomáis, o si alguna de las que a continuación expongo os parecen inútiles. Creo que puede ser una entrada algo larguita pero estoy seguro de que merece la pena invertir 5 minutos en leerla.
¿Recursos materiales?¿Qué vamos a hacer manualidades o algo? No, pero para los consejos que propongo hacen falta algunas cosillas más allá del sentido común y de un pc.
Necesitaremos un cable Ethernet y un pendrive con una distribución Gnu/Linux. ¿Por qué? Ahora lo veremos.
Las primeras medidas básicas de seguridad a la hora de comprar en Internet deben ser las medidas generales de seguridad que debemos estar implementando diariamente. Dichas medidas son el sentido común (que obviamente es el menos común de los sentidos) y mantener nuestros sistemas actualizados. Esto incluye si haces uso de un programa antimalware tenerlo activo y actualizado. ¡Tópicos a mí!
Una vez dado por supuestos que vamos a estar mentalmente activos frente a posibles "trampas" que podamos encontranos por Internet y con nuestros sistemas perfectamente actualizados, siento decirte que todo ello puede no servir de nada llegado el momento, pero ayuda. Recuerda que la seguridad al 100% no existe.
Vale empezamos con los consejos y medidas de prevención que podemos tomar. Me gustaría que en los comentarios me dijérais paranoico si realmente lo pensáis, así como que medidas adicionales tomáis, o si alguna de las que a continuación expongo os parecen inútiles. Creo que puede ser una entrada algo larguita pero estoy seguro de que merece la pena invertir 5 minutos en leerla.
Medidas
- Primero, no llevar el proceso de compra a cabo desde ordenadores que no sean de confianza. Con nuestras máquinas si tomamos nuestras medidas de seguridad siempre serán más fiables que los ordenadores de terceros que sabrá Dios cómo lo tendrán...
- Segundo, a ser posible dentro de las posibilidades de cada uno, no llevar a cabo transacciones bancarias a través de una conexión Wifi. Ni mucho menos desde "wifis" públicas. Wifis publicas...
Caca! De ahí que necesitemos un cable Ethernet, cogemos nuestro cable y conectamos el ordenador a nuestro router o dispositivo de red local. En las"wifis" nunca se sabe. El tema de la seguridad en las redes inalámbricas es superinteresante pero se sale del alcance de esta entrada. No descarto tratar algunas cuestiones independientes en alguna entrada futura. Bien Jose Mari, pero resulta que por lo que sea no puedo tirar el cable hasta el router. Bueno, en este caso podriamos llevar a cabo una comprobación previa a usar la wifi, y es analizar quién está conectado a la red relacionada con la red wifi a través de la cual vamos a comprar. ¿Cómo lo hacemos? - Uno, nos conectamos al router y buscamos quien está conectado a la red.
- Dos y más fácil, con una aplicación móvil (con el móvil conectado a la red, yo uso para Android Fing aunque hay muchas) vemos quien está conectado a la red. Esto es una práctica que recomiendo hacer asiduamente nunca se sabe quien puede estar husmeando en nuestra red. Debemos tener controlado nuestros dispositivos conectados, si vemos algo raro mi consejo es cambiar inmediatamente la clave de la red wifi.
- Tercero, yo siempre uso una distribución Gnu/Linux para este tipo de tareas y en la medida de los posible una distribución actual live arrancada desde un pendrive. De este hecho deriva la necesidad de un pendrive con Gnu/Linux. Lo sé rozo la paranoia... ¿O quizás nade en ella? El por qué uso Gnu/Linux para este tipo de tareas tampoco está dentro del alcance de esta entrada, pero para los que no seáis técnicos deciros que en terminos generales (aunque algún técnico puede no estar de acuerdo) Gnu/Linux es más seguro que las plataformas basadas Windows, aunque Windows ha mejorado mucho. Resumiendo, que si podéis os hacéis con un penlive con una distro Gnu/Linux y la "correis". Cuando arranquemos nuestra distro Gnu/Linux si podemos/ sabemos/ queremos la actualizamos.
- Cuarto, el navegador, nuestro caballo de batalla. Independientemente del Sistema Operativo (SO) que utilicemos ojito con nuestro navegador. Es importante que esté actualizado, y además nada de Java, flash y Acrobat Reader. En ellos está el demonio... (¡Risas!) Pero José Mari, ¿quién hoy día no utiliza Java, flash o Acrobat reader? Parafraseando a un gran profesor del Master que tuve: "Mucha gente en su sano juicio". Entre otras cosas por eso uso una distro live, porque por defecto no suelen traer instalados dichos programas, que pueden suponer un riesgo de seguridad para nuestros sistemas. Cuanto más programitas de estos tengamos instalados, corriendo mientras intentamos comprar por Internet más papeletas tenemos de que algún tipo de malware explote alguna de sus vulnerabilidades comprometiendo nuestro sistema y nuestros datos bancarios. ¿No nos gustaría verdad?
Vale Jose Mari como sigamos así necesitamos una hora nada más que para empezar... Creeme, no supone tanto tiempo y es una inversión de tiempo que sale muy rentable.
Hasta el momento nos hemos conectado con cable al router, hemos arrancado una distro Gnu/Linux live, no tenemos corriendo ni java, flash ni Acrobat reader y tenemos actualizado el navegador. Mola. ¿Ahora qué? Pues habrá que intentar comprar considerando las peculiaridades y los servicios ofrecidos por cada una de las entidades bancarias.
Hasta el momento nos hemos conectado con cable al router, hemos arrancado una distro Gnu/Linux live, no tenemos corriendo ni java, flash ni Acrobat reader y tenemos actualizado el navegador. Mola. ¿Ahora qué? Pues habrá que intentar comprar considerando las peculiaridades y los servicios ofrecidos por cada una de las entidades bancarias.
- Quinto, Siempre que nuestro Banco nos ofrezca el servicio de utilizar para nuestras transacciones tarjetas virtuales las usaremos. Existe un auténtico tráfico en manos de cibercrimilaes, mafias, etc de tarjetas de bancos con los datos de gente desde las que se les roba el dinero. Por lo que, en la medida de lo posible NO poner los datos de nuestras tarjetas reales/ físicas en las transacciones que realicemos.
- Sexto, la url, es decir la dirección de la página web de nuestro banco. Siempre que nos sea posible es preferible escribirla y no acceder a ellas desde "enlaces dudosos". La siguiente circunstancia es crucial, si el navegador os arroja un error en el certificado... ¡Miedito, alerta, alarmas sonando! El tema de los certificados, las entidades certificadoras, etc es un tema muy extenso en sí mismo que se escapa del alcance de esta entrada pero sólo apuntar que se basa en la confianza, y en la comprobación de que una entidad es quien dice ser. Pero la realidad es que alrededor de este tema pueden surgir numerosos problemas. No entraremos ahí. Nos quedaremos en que como regla general si nos estamos conectando a la dirección correcta de nuestro banco el navegador no debe arrojar ningún error de certificados, y tendremos que tener muy en cuenta la dirección del mismo. Ojo con no conectarnos a una página de una "entidad" que se parezca en el nombre, el navegador no falle, nos creamos que estamos en la página correcta y allí comprometamos nuestra información bancaria. Un ejemplo de lo que he querido decir, supongamos que nuestro Banco es el Santander y que su web es https://bancosantander.es y nosotros cometemos un error al escribir la url o de alguna manera a través de un navegador llegamos al sitio https://bancosamtander.es. El certificado del sitio puede darse por bueno, allí podríamos meter nuestras credenciales, etc y comprometer nuestas información. Aquí entra en juego nuestro sentido común. Tenemos que conocer la url de nuestro banco en la medida de nuestras posibilidades. Si lo buscamos a través de un buscador, después nos cercioraremos de que la url es la correcta, que no da error de certificado el navegador, etc.
- Séptimo, seguridad en las comunicaciones entre nuestro navegador y el servidor web del banco. Las páginas de nuestros bancos deben empezar por https no por http si es así desconfiar y contrastar la drección de la página o url. Para los que no seáis técnicos a grandes rasgos la s de https está relacionada con una conexión segura en la que se cifrarán las comunicaciones entre el navegador y el servidor web con la seguridad que esto proporciona en caso de que las comunicaciones sean interceptadas.
- Octavo, método de confirmación de transacciones. Los bancos implementan al menos dos medidas relacionadas con la identificación de los individuos en la red. Suele ser algo que sabes (credenciales de acceso), y algo que se tiene (tarjeta de coordenadas, mensaje al móvil con un token, etc). Bueno pues los bancos no nos pedirán NUNCA que pongamos todos los datos de nuestras tarjetas de coordenadas si la tuviéramos, nuestro sentido común nos tendría que alertar. ¿Por qué? Porque para qué quieren saber todos los datos de la tarjeta de coordenadas, si el Banco las conoce porque nos la facilitó. Si nos pide unas coordenadas concretas es para asegurarse de que tenemos dicha tarjeta de coordenadas por ser nosotros quien decimos ser. Parece de perogrullo pero es importante, ponemos un ejemplo. Imaginemos que nos hemos conectado a una página de un Banco creyendo que era la "página buena" de nuestro Banco porque la página se parecerá muchísimo por no decir que puede ser clonada, hemos metido nuestras credenciales ("los malos" ya tendrían nuestras credenciales de acceso con las que podrán ir a la página real del Banco) y si encima nos solicitan todas las casillas de nuestra tarjeta de coordenadas y nosotros se las damos pues lo tienen todo para operar con nuestro dinero como si fueramos nosotros.
- Noveno, si la página de nuestro banco nos ofrece un teclado en pantalla a la hora de introducir códigos lo utilizaremos. Esto nos ayudará en caso de estar "infectado" por un keylogger y evitará que este capture nuestras pulsaciones del teclado.
Hasta aquí mis consejos para efectuar de una manera segura unas compritas por Internet. Recuerda la seguridad al 100 % no existe.
¿Te ha gustado? ¿Te ha resultado útil? Espero que sí.
¿Nos leemos en la próxima? Eso espero.
¿Te ha gustado? ¿Te ha resultado útil? Espero que sí.
¿Nos leemos en la próxima? Eso espero.
