Seguridad para la banca electrónica en línea (eBanking) Banca electrónica Bank Leumi USA ofrece banca electrónica en línea a través de Internet. Proporcionamos a nuestros clientes un amplio rango de servicios de banca en línea. Implementamos los más altos estándares y medidas de seguridad de vanguardia a fin de mantener seguros y a salvo sus datos y transacciones de banca electrónica. No obstante, la seguridad de la banca electrónica es algo recíproco entre nosotros y nuestros clientes. Se proporciona la siguiente información como medio para mejorar su concienciación sobre la seguridad de su entorno de banca electrónica y proporcionar una visión acerca de lo que puede hacer para proteger su propia información. Cómo preparar su experiencia de banca en línea La computadora que utiliza para conectarse a los servicios de banca en línea de Bank Leumi podría ser el eslabón más débil de la cadena de seguridad. Para garantizar la seguridad de sus sesiones de banca en línea, asegúrese de tener instalado un software de confianza contra programas maliciosos, cuyo patrón de detección de virus esté actualizado (un evento diario), y todos los parches de seguridad disponibles por parte de los proveedores de software como Microsoft, Adobe Reader y Flash, Java de Oracle, Quicktime de Apple. Cuando elija una contraseña Como bien sabe, las contraseñas sirven de ayuda a nuestra aplicación de banca en línea durante la autenticación de su persona. Por eso, asegúrese de elegir una contraseña que sea difícil de adivinar, tomando en cuenta que un programa de computadora podría estar intentándolo. Le aconsejamos que utilice una contraseña “compleja” que tenga por lo menos una longitud de siete caracteres y que se componga de varios tipos de caracteres (letras en mayúscula, minúscula, números y caracteres especiales). Debe cambiar su contraseña dos veces al año por lo menos y no utilice la misma contraseña para varias cuentas en línea. Cuando elija las preguntas de seguridad Debería interesarle la serie de “preguntas de seguridad” que elige para nuestro sitio y para cualquier otro sitio que utilice esta técnica a fin de autenticar al usuario. Cada sitio web pretende ser sencillo para el uso del cliente, por lo tanto las preguntas de seguridad que suelen utilizar tenderán a ser sencillas de adivinar o buscar. Y en los tiempos de los sitios de redes sociales como Facebook, Twitter, Google+ y LinkedIn, las preguntas de seguridad se han vuelto mucho más sencillas de adivinar. Cuando elija y responda la pregunta de seguridad, asegúrese de que no está revelando la respuesta en algún otro lugar donde se pueda encontrar y usar en contra suya. Durante su relación con nosotros ¿Le dijimos que debería mantener actualizado su software antivirus y los patrones de detección? Queremos recordarle que no le contactaremos mediante un mensaje de correo electrónico para informarle acerca de un problema con su cuenta. Esté atento contra mensajes de correo electrónico que contengan hiperenlaces y que soliciten que inicie sesión para solucionar un problema... Usted está bajo ataque Usted debería saber que está bajo ataque cada vez que se conecta a Internet y “navega por la web” o disfruta de la conveniencia de los mensajes de correo electrónico. Por el simple hecho de conectarse a Internet usted se expone a ser un posible objetivo de los delincuentes. Todos los días, los delincuentes utilizan herramientas automatizadas a fin de buscar computadoras vulnerables o desprotegidas. Los delincuentes pueden tenerlo como objetivo específico o puede ser objeto de un ataque aleatorio. Independientemente del caso, existen dos formas principales en las que el delito informático puede afectar a su computadora: BLUSA Public Página 1 Su computadora se utiliza para robar su información personal: Dos ejemplos son los troyanos y el software espía (spyware). Los troyanos son una forma de software malicioso disfrazado como algo que el usuario querría descargar o instalar, y que luego puede realizar acciones inesperadas u ocultas, como permitir acceso externo a la computadora. Un troyano se puede usar para instalar software espía como un capturador de teclado; este software registra las pulsaciones del teclado incluyendo las contraseñas y luego envía al atacante la información capturada. Su computadora se utiliza para facilitar otros delitos y ataques a otras personas: Las computadoras pueden ser usurpadas a fin de proporcionar almacenamiento para imágenes ilegales o descargas ilegales de música. Las computadoras usurpadas también se podrían utilizar como plataforma para lanzar ataques o cometer delitos contra otras personas. La información, ya sea personal o comercial, se está volviendo algo cada vez más valiosa para los delincuentes. Donde se almacena la información personal, como el número de cuenta bancaria, de tarjeta de crédito o del seguro social, ya sea en su computadora personal o con un tercero de confianza como un banco, comercio minorista o agencia gubernamental, el delincuente informático puede tratar de robar esa información que podría usarse para el robo de identidad, fraude con tarjeta de crédito o retiros fraudulentos desde una cuenta bancaria. Los atacantes tratan de aprovecharse de cualquier persona que puedan localizar mediante cualquier método. Según su software malicioso se propaga, ellos obtienen el control de un número cada vez mayor de computadoras conectadas a Internet, alguna de las cuales usted podría llegar a visitar. Cuando lo hace, el sitio comprometido tratará de descargar software malicioso en su computadora. En el negocio esto se conoce como un ataque “driveby”; lo único que tiene que hacer es visitar el sitio comprometido utilizando una computadora desprotegida y también será una víctima. • Sea cauteloso al utilizar computadoras que no son suyas, como aquellas que se encuentran en los cafés de Internet • Sea selectivo a la hora de elegir los sitios web que visita • Los atacantes trabajan para que sus sitios web maliciosos estén entre los primeros puestos de las búsquedas de Google Phishing Phishing (fishing) es una forma de ingeniería social. El atacante lanza una red de mensajes de correo electrónico fraudulentos, con la expectativa de que algunas personas bajen la guardia y sigan las instrucciones que figuran en esos mensajes de correo electrónico. Generalmente, estos mensajes de correo electrónico anunciarán que el cielo se está cayendo y que usted debe tomar medidas ¡de inmediato! Cuando una persona cae víctima de un mensaje de correo electrónico de phishing, se ve involucrada en trucos informáticos (cyber tricks) que sirven para plantar troyanos y software espía en su computadora. Si tienen éxito, los atacantes trabajarán para que sus actividades permanezcan desapercibidas, mientras roban credenciales de inicio de sesión y otros datos privados, y los envían al atacante. Spear phishing El spear phishing es una forma especializada del phishing. En esta categoría, el atacante se toma el tiempo para identificar a su objetivo y realizar una investigación de antecedentes del mismo. Después, los atacantes utilizan esta información para elaborar mensajes de correo electrónico diseñados para ser más convincentes para la víctima prevista. Esta forma de ataque está creciendo a una tasa impresionante. SMiShing Los defraudadores están utilizando el popular Servicio de Mensajes Cortos (mensajería SMS, conocido también como “mensajes de texto”) para encontrar víctimas. A esto con frecuencia se lo llama smishing. Las víctimas reciben “textos” (mensajes SMS) que dicen provenir de sus bancos y declaran que el cielo se está cayendo (o algún otro pretexto), y que será mejor actuar ahora comunicándose a un número telefónico o sitio web donde se debe divulgar información personal. BLUSA Public Página 2 Vishing La comunicación de voz se lleva a cabo cada vez más a través de redes de datos de computadoras. Esto se denomina comúnmente como Voice over Internet Protocol (Protocolo de voz por Internet) o VoIP. Vishing es phishing que utiliza la tecnología VoIP. Con los años las personas llegaron a confiar en sus teléfonos. Generalmente confían que es un hecho aquello que el identificador de llamadas muestra. Sin embargo, este no es el caso. Un atacante puede utilizar herramientas especializadas para definir los datos que quiere que aparezcan en el identificador de llamadas y, de ese modo, trata de atacar al propietario del teléfono directamente o a través del correo de voz. Capturadores de teclado, troyanos y software espía: ¡Madre mía! Una vez que un atacante lo tiene “enganchado” dentro de su esquema mediante cualquier forma de phishing, o si lo atrapa mientras usted navega en un servidor web que ya está comprometido e infectado, el mismo trabaja para comprometer su PC e implantar capturadores de teclado, troyanos y otro tipo de software malicioso, y así poder robarle todo lo que puede. Las soluciones de antivirus ayudan a brindar protección contra estas técnicas, pero no son perfectas. Si usted cree que su PC ya está infectado, debe consultar con su proveedor de antivirus para obtener soporte del tipo caso por caso. Hasta que se haya resuelto el problema, debe evitar usar el PC sospechoso para acceder a sitios web que requieren de credenciales de inicio de sesión, por ejemplo, su cuenta de banca en línea. También debe notificar a su representante de cuenta para que apliquemos un monitoreo extra a su cuenta. Teléfonos inteligentes y tabletas Los “teléfonos inteligentes” y “tabletas” actuales son computadoras poderosas, al igual que las portátiles y las de escritorio. Algunos teléfonos inteligentes actuales son tan poderosos como lo eran los servidores cuando el Internet empezó a tomar forma. Estos dispositivos cada vez son objeto de más ataques de los ladrones informáticos. Ya analizamos cómo se puede engañar al correo de voz para que piense que el defraudador es en realidad usted. Necesita tener esto en consideración y asegurarse de establecer contraseñas buenas para proteger su correo de voz. De manera regular se publica el descubrimiento de vulnerabilidades en Apple IOS, Google Android y Windows Mobile. Los atacantes tratarán de explotar estas vulnerabilidades de cualquier manera posible, a menudo a través del vishing y el smishing. Además, los atacantes confían en que los usuarios instalarán aplicaciones que parezcan ser ingeniosas. Publicarán aplicaciones maliciosas que parezcan legítimas, con la esperanza de que las personas las descarguen e instalen. También publicarán aplicaciones móviles maliciosas en los estandartes de anuncios que aparecen en los sitios web que ya están comprometidos. Por último, un método de piratería probado y verdadero es publicar aplicaciones que indican ser de “seguridad”, pero que en realidad son códigos maliciosos de los que todos deseamos defendernos. Aconsejamos a los propietarios de iPhone y Android que obtengan sus aplicaciones únicamente del App Store de Apple o de Android Market. Tan pronto como sea posible debe instalar un antivirus y un protector del navegador, y mantenerlos actualizados. Esto aumenta la probabilidad de que no exista ningún código malicioso en las aplicaciones que usted elige ejecutar. Nosotros no No le enviaremos un mensaje de correo electrónico solicitando que “haga clic en un enlace” para confirmar o corregir la información que tenemos de usted. Este es un truco que los defraudadores utilizan para robar sus credenciales de usuario. Los defraudadores tratarán de convencerlo de que su cuenta con nosotros corre peligro y que necesita actuar de inmediato. Tenga cuidado con sus intentos, trate de no actuar en estos casos. Nuestras recomendaciones La mejor manera de protegerse de los delitos informáticos es usar el sentido común, estar preparado y tomar precauciones. BLUSA Public Página 3 • Mantenga su sistema operativo actualizado/con parches; configúrelo para realizar “actualizaciones automáticas”. Si desea más información: (Windows) http://windows.microsoft.com/enUS/windows/help/windows-update o (MacOS) http://support.apple.com/kb/ht1338 • Utilice un antivirus y software anti-spyware (software espía) y mantenga actualizadas sus suscripciones. • No visite los sitios web poco confiables y tampoco siga los enlaces proporcionados por fuentes desconocidas o poco confiables. • Asegure sus operaciones. En la barra de estado del navegador busque el ícono del “candado” y antes de realizar una compra en línea asegúrese de que “https” aparece en la barra de dirección del sitio web. La letra “s” significa “seguro” e indica que la comunicación con el sitio web está encriptada. Para obtener más información: (Internet Explorer) http://windows.microsoft.com/en-US/windows7/How-to-know-if-an-onlinetransaction-is-secure o (Firefox) http://www.mozilla.org/security/#Tips_for_secure_browsing. • Sea prudente acerca de todas las comunicaciones que recibe incluyendo aquellas que supuestamente provienen de “entidades confiables” y tenga cuidado cuando haga clic en los enlaces que vienen dentro de esos mensajes. • No responda a ningún mensaje de correo electrónico entrante no solicitado (spam). • No abra ningún archivo adjunto a los mensajes de correo electrónico sospechosos. • No responda a un mensaje de correo electrónico que solicita información personal o pide “verificar su información” o “confirmar su identificación de usuario y contraseña”. • Tenga cuidado con los mensajes de correo electrónico que amenazan con consecuencias graves en caso de que usted no quiera “verificar su información”. • No ingrese información personal en cualquier ventana que “emerge” cuando navega un sitio web. Proporcionar dicha información puede poner en peligro su identidad y aumentar las posibilidades de robo de la misma. • Tenga contraseñas separadas tanto para las cuentas relacionadas con el trabajo como para aquellas que no lo están. Para personas conscientes de la seguridad extra El Centro de análisis e intercambio de información de servicios financieros (Financial Services Information Sharing and Analysis Center, FS ISAC) recomienda que los clientes de banca en línea utilicen una computadora aislada y dedicada exclusivamente a las transacciones de sus necesidades de banca. Si le gustaría obtener más detalles acerca de este enfoque, notifique a su gerente de relaciones y haremos los arreglos para colaborar con usted, a fin de garantizar que comprende los detalles y las implicaciones. Importantes recursos en línea Oficina de protección del consumidor (Bureau of Consumer Protection): http://www.business.ftc.gov/privacyand-security La oficina de protección del consumidor de la FTC aplica las leyes que protegen al consumidor contra las prácticas engañosas e injustas. El Centro de negocios le brinda tanto a usted como a su negocio herramientas para comprender la ley y cumplirla. Sitio sobre robo de identidad de la FTC (FTC Identity Theft Site): http://ftc.gov/bcp/edu/microsites/idtheft/ Seguridad de Microsoft (Microsoft Security): http://www.microsoft.com/security Orientación para crear contraseñas: http://www.microsoft.com/security/online-privacy/passwords-create.aspx MITRE - Vulnerabilidades comunes (Common Vulnerabilities): http://cve.mitre.org/ El CVE es un diccionario que contiene vulnerabilidades, riesgos e información de seguridad que son de conocimiento público. Centro multi-estatal para el análisis e intercambio de información (Multi-State Information Sharing & Analysis Center, MS-ISAC): http://msisac.org/daily-tips/Surf-Safe-on-the-Internet.cfm BLUSA Public Página 4 Boletín de consejos de informática: navegue seguro en Internet Semana Nacional de la Protección al Consumidor (National Consumer Protection Week): http://www.ncpw.gov/ Alianza nacional de seguridad informática (National Cyber Security Alliance): http://staysafeonline.org/in-thehome/protect-yourself OnGuard en línea (OnGuard Online): http://www.onguardonline.gov/default.aspx OnGuardOnline.gov proporciona consejos prácticos del gobierno federal y de la industria de la tecnología a fin de ayudarlo para que se proteja contra el fraude en Internet, asegure su computadora y proteja su información personal. Boletín Ouch! del SANS: http://www.securingthehuman.org/resources/newsletters/ouch Cómo comprar en línea de forma segura según el US-CERT: http://us-cert.gov/cas/tips/ST07-001.html Boletín The Virus Bulletin: http://www.virusbtn.com Glosario Fraude de identidad: el uso, sin que usted lo sepa, de su información personal, incluyendo el número de cuenta bancaria o de tarjeta de crédito, u otra información de identificación a fin de cometer fraudes o engaños. Capturador de teclado o keylogger: software especializado que registra las pulsaciones del teclado de su PC. Los keyloggers maliciosos han sido programados para identificar cuando una víctima navega hasta un sitio web confidencial (sitios de banca y sitios que requieren autenticación), que es cuando los mismos se activan y registran lo que usted escribe cuando ingresa su nombre de usuario y contraseña. A continuación estos datos generalmente se encriptan y se envían al atacante, para su posterior uso. Software malicioso: software diseñado para interrumpir o denegar la operación, recopilar información que ocasiona una pérdida de privacidad o explotación, obtener acceso no autorizado a los recursos del sistema y otros comportamientos abusivos. Ingeniería social: técnicas utilizadas para manipular a las personas para que realicen acciones específicas o divulguen información confidencial. El término generalmente se aplica a los trucos o engaños utilizados para recopilar información u obtener acceso al sistema de computadora. En la mayoría de los casos, el atacante nunca se llega a enfrentar con la víctima. Software troyano: software que se presenta como bueno y útil pero que contiene un código malicioso que trata de robar su información privada de banca para reenviarla a los ladrones. BLUSA Public Página 5