[eset-la]

Seguridad en transacciones electrónicas

El comercio electrónico, o e-commerce, no es más que el uso de las tecnologías de comunicación, como lo es Internet (aunque pueden ser otras), para realizar la gestión de negocios y transacciones comerciales, ya sea en parte o completamente.

Por su parte, la banca electrónica o e-banking se define como aquel sistema que pone a disposición del cliente todos los medios para la realización de transacciones bancarias vía Internet.

Es normal que este tipo de acciones genere desconfianza y suspicacias en el público, ya que suelen desconocerse los medios de seguridad brindados por los bancos/empresas, así como el nivel de privacidad con el cual es manejada la información, además de las regulaciones legales vigentes en los países en que se realiza la transacción.

Como en el mundo físico, conocer las distintas formas de realizar transacciones comerciales virtuales así como las posibilidades de ser engañado (defraudado, estafado, etc) es fundamental para manejarse comercialmente en forma correcta.

Un usuario puede realizar las siguientes transacciones en los siguientes sitios:

-Compra/venta/alquiler de productos/servicios en sitios de venta online
-Compra/venta/ alquiler/remate productos/servicios en sitios de subastas online
-Pago de productos/servicios en sitios de pago online
-Intercambio de información contable/financiera en bancos online
-Cualquier otra acción que involucre transacciones entre dos partes comunicadas por un canal virtual como Internet

Y, se considera que ocurre un ataque cuando ocurre un evento que tenga como objetivo malograr, intervenir o engañar a las partes involucradas en la transacción.

Los ataques más comunes que pueden llevarse a cabo contra una empresa o usuario son:

Robo de identidad: según la Comisión Federal de Comercio de EE.UU. (Federal Trade Comission)ocurre cuando “alguien usa la información de identificación personal como el nombre, número de razón social (DNI) o número de tarjeta de crédito sin permiso para cometer un fraude u otros crímenes”.

Compromiso de cuentas e impersonalización de usuarios: basado en comprometer las cuentas de correo/financieras/bancarias del usuario para impersonar al mismo en el uso de los servicios a los cuales el usuario tiene acceso. Por ejemplo, si el usuario utiliza su DNI y una clave para ingresar a su home-banking, el objetivo del atacante será lograr obtener estos dos datos para robar al usuario.

Phishing (Password Harvesting): es la recolección de datos privados a través de diferentes métodos que generalmente involucra la Ingeniería Social para engañar al usuario.

Realizando Transacciones

A la hora de realizar transacciones de home-banking, es fundamental analizar algunos puntos para no caer en los engaños mencionados. Deben considerarse los siguientes aspectos al momento de ingresar a un sitio web o recibir un correo:
1.Generalmente contiene el logo de la entidad para crear la sensación de que el correo es verdadero.
2. No se menciona el nombre del destinatario del correo. Generalmente se recurre a “estimado cliente…” o similares. Este tipo de mensajes no están personalizados a que se envían masivamente, incluso a personas que no son clientes de la entidad que se trate.
3. Muchas veces se incluyen detalles técnicos que el usuario no comprende o que pueden generar incertidumbre o duda ante el desconocimiento.
4. Generalmente este tipo de correo contiene errores gramaticales y de ortografía debido a que quien los escribe (el delincuente o phisher) no presta atención, no le importa o comete el error por desconocimiento de la lengua en la que escribe/traduce.
5.Casi siempre se incluye algún tipo de advertencia o amenaza hacia al cliente para que el mismo caiga en la trampa por miedo.
6.Siempre se observa un enlace sobre el cual el usuario debe hacer clic para ingresar al sitio. Las direcciones web mostradas como enlaces en realidad conducen a otra dirección del sitio falso duplicado y construido para que el usuario ingrese sus datos sensibles.
7. Las direcciones web suelen ser largas, comenzar con números (direcciones IP) y nunca incluyen https como comienzo de la misma, lo que indicaría un sitio seguro. Muchas veces el sitio al que se ingresa puede tener un nombre parecido al real, por ejemplo en este caso “vanamex” o “bananex” para que al usuario se le complique la identificación del mismo.
8.La URL no comienza con https donde la “s” indicaría un sitio seguro. Esta URL puede contener una serie de 4 números separados por un punto (dirección IP), contener un nombre de dominio muy parecido al real o ser larga para confundir al usuario al no ser identificable fácilmente.
9. Suelen contener imágenes simulando botones u otras acciones.
10.El correo que llega es no solicitado (generalmente spam).
11.El sitio web falso se observa de “mala calidad”. Esto suele suceder porque se realizan imágenes tomadas del sitio verdadero sin respetar la calidad del mismo.
12.Las URL comienzan con números o con caracteres poco comunes (ofuscación para engañar al usuario).

Por ejemplo, la dirección http://10.58.228.101 es equivalente a http://00001010001110101110010001100101 (en binario, cada número de la dirección IP corresponde a un octeto) y también equivalente a http://0x51D7232 (el mismo número binario pasado a hexadecimal).

Entonces, los consejos a tener en cuenta son:

1.No está de más recordar: Nunca ingresar a sitios web desde enlaces provistos en correos electrónicos o sitios web.
2.Tipear la URL (dirección del sitio) directamente en el explorador. Si bien con esto no se asegura que el sitio al que se ingresa es el real (debido al pharming), con la aplicación conjunta de otros procedimientos es una buena medida a seguir.
3.Asegurarse que el sitio al que se accede o donde se ingresen los datos sensibles comience con https para asegurar que todas las transacciones web viajarán cifradas.
4.Acompañando a un sitio seguro (https), se debería verificar el candado en la parte inferior (barra de estado) o superior (barra de direcciones) del navegador con el cual accede.
5.Para completar la verificación, se debe realizar doble clic sobre este candado para comprobar el certificado digital del sitio web visitado así como su validez.
6. Instalar un firewall, un antispam y un antivirus con capacidades proactivas para facilitar la detección de cualquier amenaza que pudiera llegar por correo electrónico o se pudiera manifestar en un sitio web.

Como puede verse, los consejos para realizar transacciones seguras son los mismos que para realizar una navegación segura: mantener los ojos abiertos, educarse y utilizar herramientas inteligentes de última generación como ESET NOD32.

---

Información provista por ESET Latinoamérica

www.eset-la.comCopyright © ESET Latinoamérica. Este artículo se encuentra bajo licencia Creative Commons de Atribución, no comercial y Compartir Obras Derivadas Igual. (by-nc-sa).

[particular priv]

felicitaciones por el articulo escrito. Será posible bajar gratis el anti-virus NOD 32. Gracias.

[furiii]

Buen material, felicidades!

Yo pienso que la gente no lamentaria la perdida de sus datos y por ende de tus dinero, si en el mismisimo banco al momento de abrir una cuenta, les dijeran " sabes que hijo mio, nosotros nunca en esta misera vida te vamos a enviar un correo pidiendote tus datos de cuenta, o que verifiques tus datos, entiendes????...es que sabes hay personas en internet que constantemente estan haciendoce pasar por nosotros (osea el banco) para robarte tus datitos y tu platita , nosotros cada dia tenemos casos de personas que son estafadas, bueno??? ahora ya sabes , vaya en paz hijo mio...".

Otra cosa, cuando una cliente de un banco resive un correo eletronico de parte de: seguridad@hsbc.com
se podria decir que la credivilidad del mail recivido aumenta ya que lo que primero que pensariamos es: "vaya el banco me a enviado un correo, de seguro es importante, leamoslo..."

Mucho depende de la informacion que se le de a los clientes pienso yo.

Saludos.

[fortauben]

Cita:

Originalmente publicado por furiii

Yo pienso que la gente no lamentaria la perdida de sus datos y por ende de tus dinero, si en el mismisimo banco al momento de abrir una cuenta, les dijeran " sabes que hijo mio, nosotros nunca en esta misera vida te vamos a enviar un correo pidiendote tus datos de cuenta, o que verifiques tus datos, entiendes????...es que sabes hay personas en internet que constantemente estan haciendoce pasar por nosotros (osea el banco) para robarte tus datitos y tu platita , nosotros cada dia tenemos casos de personas que son estafadas, bueno??? ahora ya sabes , vaya en paz hijo mio...".
Saludos.

No es tan asi.. como ser en el caso de Home Banking, los usuarios son advertidos en todo momento... que no quieran leer es otra cosa....
https://homebanking.redlink.com.ar/i...=0386&campo5=3
En cuanto a abrir una cuenta... escuchame...
-en el caso de las cajas de ahorro tenes un contrato de no mas de 5 paginas las cuales uno debe firmar una por una y te puedo asegurar que te lo expresan con lujo de detalles...
-para el caso de las Cuentas Corrientes, lo mismo.... ademas de contar con la ley de cheques a tu favor...
Vamosss.. que hasta con las simples tarjetas de debito sucede, el titular busca la tarjeta en el banco, reguistra su firma sin leer absolutamente nada de nada solo le importa tener su tarjeta para sacar toda su plata del cajero y termina sin saber siquiera que le reintegra un 5% sobre el IVA por comprar con debito!!! sin mensionar cuando recibe el PIN de la tarjeta, en el sobre nada mas ya dice CONFIDENCIAL y lo primero que hacen es dejarlo en cualquier lado, mostrarselo a todo el mundo o hasta lo mas estupido llevarlo consigomismo envolviendo la tarjeta...
Vamos que no hay que hecharle toda la culpa al banco, no es mas que un negocio con sus correspondientes empleados....
Pero uno no puede evitar sacarse con un empleado por cualquier drama, xq sabe que jode su laburo y por mas que lo putees nunca te va a golpear....

Cambiando de tema, Voy a plantear el asunto al que venia por aqui....
Ahora se esta inplementando el (www.linkcelular.com.ar) que te permite hacer lo mismo que con Home Banking pero como se indica a traves del celu ahora mi pregunta...
¿Es posible que por alguna razon el usuario y clave que mandas a traves del celular sea interceptada por terceros? ya que los mismos datos no son grabados en el celu sino que hay que ingresarlos cada vez que uno ingrese en el sistema (http://www.modiv.com.ar/demolink5/co...nk_celular.pdf)

De antemano pido disculpas si me equivoque al publicarlo aca pero no sabia donde ponerlo y no queria hacer un tema nuevo, ademas me gustaria saber la opinion de (eset-la)

desde ya muchas gracias...