Operar con nuestro banco en Internet de forma segura (¡y no morir en el intento!)

Como todos sabéis, los usuarios que usamos un ordenador estamos expuestos a una gran cantidad de amenazas: virus, troyanos, keylogger, rootkits... Estas amenazas suponen un serio peligro para cualquier usuario, pero sus efectos son especialmente dolorosos para aquellos que realizan operaciones bancarias a través de Internet.

Todos hemos escuchado relatos o hemos leído noticias sobre robo de contraseñas, casos de phishing; es posible que alguno de vosotros las haya sufrido. A pesar de esta gran cantidad de peligros, la mayoría de los usuarios no tema ninguna precaución a la hora de realizar estas operaciones. Un ejemplo común es utilizar el mismo ordenador para descargar ficheros a través de redes P2P (emule, torrent, etc.), recibir correos electrónicos (y abrir sus ficheros adjuntos), navegar por todo tipo de páginas y, por supuesto, realizar operaciones bancarias. La creencia de estos usuarios es que el uso de un antivirus (a veces descargado de sitios dudosos o desactualizado desde hace meses) les protege frente a todas las amenazas.

En este post pretendo exponer una serie de medidas que podemos tomar para minimizar los riesgos; como veis, hablo de minimizar y no de eliminar, porque creo que eso es prácticamente imposible (al menos para un usuario convencional). Existen multitud de medidas para protegernos, pero os voy a hablar de una que está ampliamente aceptada: usar un sistema operativo Linux (!!espera, no te vayas!!  ¡sigue leyendo un poco más! ) exclusivamente para realizar operaciones sensibles como puede ser operar con nuestra entidad bancaria. Al final del post tendremos una máquina virtual preparada para operar en Internet  .

• Linux como sistema operativo ... !eso es my difícil y no sé usarlo!

Este es uno de los principales temores a la hora de usar una distribución Linux. Típicamente, un usuario doméstico (entiéndase como usuario con conocimientos básicos de informática o lo contrario a "friky" ) no quiere ni oir hablar de usar un sistema operativo distinto a Windows. Es cierto que una distribución Linux puede ser más compleja que un sistema Windows (los linuxeros pensarán que soy un hereje y merezco morir en la hoguera... ), pero en los últimos años las distribuciones han evolucionado mucho para ofrecer al usuario una experiencia parecida a la de los sistemas Windows.

¡NO DEBEMOS TENER MIEDO A USAR LINUX! Sólo vamos a usar este sistema operativo para operar con nuestro banco, así que no vamos a realizar ninguna operación compleja en el sistema operativo. Para que perdáis el miedo, os pongo una captura de pantalla del escritorio que vamos a usar:

• ¿Por qué usar Linux?

La mayoría de las aplicacions maliciosas están diseñadas para funcionar en Windows, ya que es el sistema operativo más extendido. Esto no quiere decir que no exista malware para Linux, sino que es más probable encontrar contenido malicioso para sistemas Windows. Además, las últimas distribuciones Linux nos obligan a utilizar usuarios sin privilegios, por lo que cualquier operación que modifique algún parámetro importante necesita autorización expresa del usuario. Windows está aproximándose a este enfoque cada vez más, aunque aún nos permite usar un usuario Administrador de la máquina.

• ¿Por qué es importante no tener privilegios de administración?

La mayoría del software malicioso necesita modificar parámetros del sistema. Un usuario con privilegios de administración (a partir de ahora, Administrador) puede realizar estas modificaciones. Un usuario sin privilegios necesita permiso de un Administrador. Linux instala por defecto un usuario sin privilegios, mientras que Windows instala un usuario Administrador (aunque en las últimas versiones necesita permisos explícitos para ciertas acciones).

Voy a intentar explicarlo con un ejemplo: Supongamos que tenemos un virus que se copia en la ruta C:\Windows\system32\virus.exe y que dicha ruta necesita permisos de administración para realizar esta copia. Si el usuario que utilizamos es Administrador, el virus podrá copiarse en esa ruta sin problemas. Como la mayoría de los usuarios Windows se crean de esa forma, ya sea por comodidad o desconocimiento, los virus se expanden sin problemas...

• Tipos de distribuciones

Una vez que tenemos claro que Linux es nuestro amigo , vamos a ver qué opciones tenemos para usar este sistema operativo:

1. LiveCD

   • ¿Qué es un LiveCD?

   Según la Wikipedia, un livecd es "un sistema operativo (normalmente acompañado de un conjunto de aplicaciones) almacenado en un medio extraíble, tradicionalmente un CD o un DVD (de ahí sus nombres), que puede ejecutarse desde éste sin necesidad de instalarlo en el disco duro de una computadora, para lo cual usa la memoria RAM como disco duro virtual y el propio medio como sistema de archivos". O sea, es un cd/dvd que contiene un sistema operativo y que no se instala en el ordenador, sino que se ejecuta en la memoria. Cuando apagamos el ordenador, el sistema operativo que estaba en la memoria se destruye, y cuando volvemos a arrancar el ordenador con el cd/dvd se vuelve a cargar otra vez. Es importante recalcar que el sistema no se instala en el ordenador; seguiréis podiendo usar vuestro Windows.
   

   • Pros y contras

   Pros	Sistema operativo 'nuevo' cada vez. No dependencia/interacción con otro sistema operativo.
   Contras	No hay actualizaciones para el sistema/navegador

   Para usar un LiveCD de Ubuntu, que es la distribución que vamos a usar, nos descargamos una imagen .iso desde su página oficial: http://www.ubuntu.com/desktop/get-ubuntu/download. Desde esta misma página nos explican cómo copiar esa imagen en un cd/dvd. Una vez lo tengamos copiado, lo introducimos en nuestro lector y reiniciamos el ordenador. Al encontrase un disco en el lector, el sistema arrancará desde él en lugar de arrancar desde nuestro disco duro. Obtendremos un diálogo como este:

   

   Seleccionamos la opción "Probar Ubuntu 10.04 TLS" que, como nos indica la ventana, no hará ningún cambio en nuestro sistema. Después de un corto espacio de tiempo, tendremos nuestro escritorio de Ubuntu y podremos navegar con Firefox, que se encuentra enla parte superior:

   

   Como véis, esta es una forma sencilla de operar con nuestro banco sin haber hecho ninguna modificación en el sistema y sabiendo que, al apagar el ordenador, no quedará ni rastro de las operaciones que hayamos realizado.

2. Máquina virtual

   • ¿Qué es una máquina virtual?

   Podemos definir una máquina virtual como un software que emula a una computadora y puede ejecutar programas como si fuese una computadora real. De forma sencilla, es como si tuvierámos un segundo ordenador dentro de nuestro ordenador, de tal forma que podemos interactuar con él como si fuese real.
   

   • Pros y contras

La

principal ventaja

de usar una máquina virtual es la de disponer de actualizaciones para el sistema operativo y el navegador, que son los elementos básicos que vamos a usar para operar con nuestro banco. Además, podemos modificar el navegador y/o el sistema operativo para añadirle herramientas de protección. En cuanto a sus

desventajas

, la principal es que, como todas las aplicaciones, la máquina virtual reside en memoria. Por la tanto, interactúa con el sistema operativo de nuestro ordenador 'físico'. Si este último está infectado, podemos sufrir los efectos del malware (por ejemplo, de un software que capture nuestras pulsaciones de teclado).

Una vez que tenemos claros los pros y contras, vamos a instalar un software para poder usar máquinas virtuales. Yo recomiendo VirtualBox, que es un sistema opensource (gratuito) bastante completo. Para facilitaros la labor, os dejo los enlaces a los manuales en formato .pdf para realizar la instalación de VirtualBox y para crear una máquina virtual con Ubuntu:

Manual de instalación de VirtualBox ------   Manual de creación de una máquina virtual con un sistema operativo Ubuntu en VirtualBox

Una vez instalado, ¡ya podemos empezar a usar nuestra máquina virtual! 

• Plus: instalación de complementos para Firefox

Si queremos un nivel extra de protección, podemos añadir a Firefox diversos complementos que nos ayudan a prevenir muchos ataques. De todos los complementos que existen, yo diría que estos tres son imprescindibles:

1. No Script
2. BetterPrivacy
3. Advanced Block Plus (ABP)

De estos 3 complementos, sólo 'NoScript' requiere una explicación. Esta extensión no permite, por defecto, la ejecución de código javascript en ninguna página. El código javascript se usa para multitud de acciones, aunque también es una de las principales fuentes de ataque . Esta extensión nos ayuda a controlar en qué páginas se puede ejecutar código de este tipo, es decir, nos permite elegir páginas de confianza, como por ejemplo la de nuestra entidad bancaria.

La primera vez que visitemos su página, nos aparecerá un icono en la parte inferior derecha que nos indicará que hay contenido bloqueado:

Al hacer click sobre él, podemos permitir la ejecución de código en esa página, porque sabemos que es la página original de nuestro banco. Así, si permitimos siempre el contenido de la página, las sucesivas veces que visitemos la página se ejecutará su contenido javascript:

Aquí nos surge una de las confusiones más comunes: sólo hemos autorizado la página de nuestro banco, y no cualquier derivada que se pudiera abrir a través de algún enlace. Por ejemplo, suponed que autorizamos la página www.renfe.es para comprar nuestros billetes a través de Internet. A la hora de realizar el pago, renfe nos redirige a la plataforma de pago de nuestra tarjeta de crédito, que no estará autorizada (al menos la primera vez que se visite). Por tanto, hemos de realizar el mismo proceso que con nuestra página bancaria.

Voy a explicarlo de forma gráfica:

Estas extensiones, no obstante, se pueden deshabilitar fácilmente si nos presentan algún problema:

Todos los pasos seguidos en este post desembocan en una máquina virtual que os ahorrará muchos problemas, os lo aseguro .

Un saludo a tod@s!!!

Comparte este artículo