Así podemos perder todo nuestro dinero en un instante

¿Cuáles son las formas que utilizan los ladrones informáticos para hacerse con el control de nuestras cuentas? A veces se hacen ataques a los propios bancos sustrayendo archivos que contienen datos y contraseñas de los clientes. Los datos son posteriormente vendidos al mejor postor en los zocos de internet, donde los hackers pueden adquirirlos y utilizarlos para cometer sus fechorías. Estas brechas de seguridad no suelen airearse por la mala publicidad que suponen para los bancos (ver: https://www.expansion.com/economia-digital/innovacion/2018/01/21/5a61f12c46163f9b2b8b45a0.html )
Otra manera de apoderarse de nuestras cuentas es por medio de nosotros mismos, a través del engaño (la llamada “ingeniería social” https://es.m.wikipedia.org/wiki/Ingeniería_social_(seguridad_informática) ). Pueden enviarnos correos fraudulentos que aparenten provenir de nuestra entidad bancaria y nos soliciten datos. También pueden colocarnos enlaces-trampa en los emails ("phishing") con descargas contaminadas con malware. O colarnos aplicaciones de teléfono falsas (más "phishing") o ir dejando en lugares públicos dispositivos usb aparentemente extraviados y llenos de programas maliciosos. Un tipo de malware o programa malicioso especialmente dañino es el “keylogger”. Una vez instalado en nuestro ordenador el keylogger recoge cada pulsación de teclado que hacemos y transmite esa información al hacker.
Pavoroso ¿no?

Para defendernos del riesgo de suplantación de identidad al conectarnos a los servicios de banca online (o de cuentas de correo, o de comercio electrónico) los bancos utilizan los llamados sistemas de autenticación de dos factores (2FA: two factor authentication). Quiere decir que para demostrar tu identidad, para demostrar que quien está operando con la cuenta eres auténticamente tú, debes aportar al menos dos de entre estos tres factores: algo que sabes (una contraseña), algo que tienes físicamente (tu teléfono móvil, una tarjeta de coordenadas, una llave o tarjeta con chip) o algo que eres (huella dactilar, iris, palma de la mano).
Por ejemplo, una autenticación de dos factores frecuente en banca online consiste en introducir una contraseña más una clave que se mira en una tarjeta de coordenadas. Sin embargo los expertos en seguridad hace tiempo que desaconsejaron su uso por diversas razones. Hoy se considera a la tarjeta de coordenadas como un método obsoleto y se recomienda su sustitución por otros.
Otro sistema que se emplea habitualmente es el de contraseña más clave SMS. Despues de meter la contraseña el banco envía un mensaje SMS a tu teléfono con una clave que caduca en un breve lapso de tiempo. Esa clave es el segundo factor y entraría también en la categoría “algo que tienes” puesto que para recibir el SMS necesitas estar en posesión de tu teléfono móvil.
Desgraciadamente se ha comprobado que la autenticación a través de SMS es igualmente insegura. Las tarjetas SIM que identifican nuestra línea telefónica móvil pueden ser duplicadas por los ciberdelincuentes para recibir ellos los mensajes SMS y tomar el control de nuestra cuenta. También hay técnicas para interceptar los SMS. Y no son casos hipotéticos, los robos con este sistema están sucediendo, y de manera creciente (ver: https://www.eleconomista.es/tecnologia/noticias/9738144/03/19/Cibercriminales-interceptaban-los-SMS-de-seguridad-de-bancos-para-vaciar-las-cuentas-de-los-clientes.html ).
Entonces ¿qué sistemas de dos factores son realmente seguros?
De dos tipos: los que se apoyan en un programa autenticador y los que autentican a través de un dispositivo de hardware externo.
¿Cómo funciona la autenticación con un programa autenticador? Habíamos visto que con el método de SMS se enviaba un mensaje al móvil con una clave desechable para demostrar que el usuario estaba en posesión del teléfono. Los programas autenticadores se basan en el mismo principio de demostrar que tienes tu teléfono, pero en este caso sin necesidad de enviar ningún SMS. Inicialmente se instala en el teléfono una aplicación de autenticación (Google Authenticator es la más usada) y se vincula a la cuenta de banca online (o de correo o comercio electrónico) con la que se vaya a utilizar. Una vez vinculada la aplicación generará en adelante claves únicas para esa vinculación (y por tanto para ese teléfono) y de un solo uso (OTP o “one time passwords”). Esas claves son las que servirán como segundo factor de autenticación.
El otro método seguro, los dispositivos autenticadores de hardware son unos aparatitos que tienen claves “en frío” (fuera de internet) y al conectarlos al ordenador autentican la operación.

En resumen y termino. Este es el orden de preferencia de sistemas de autenticación para identificarnos y operar con nuestras cuentas:
Un solo factor: contraseña --> EXTREMADAMENTE INSEGURO
Dos factores: contraseña + clave SMS --> INSEGURO
Dos factores: contraseña + tarjeta coordenadas --> INSEGURO
Dos factores: contraseña + Google Authenticator --> SEGURO
Es pues MUY importante utilizar en todo lo que se pueda (tanto banca online como cuentas de correo electrónico asociadas) el sistema de autenticación de dos factores más seguro posible.
Y asímismo cerciorarse de que el equipo no está infectado con programas maliciosos. Evitar picar enlaces dentro de correos si no estamos seguros de su procedencia. Evitar también descargar programas y aplicaciones si no estamos seguros de que sean auténticas.

Existe, por cierto, una directiva europea sobre este tema que va a entrar en aplicación en breve. Se llama PSD2 “Payment Services Directive” e incluye la práctica SCA “strong customer authentication” o autenticación reforzada del cliente ( https://cincodias.elpais.com/cincodias/2019/08/08/companias/1565271616_602045.html )
Espero que os haya sido útil esta información, y si tenéis alguna duda que pueda resolver (no soy tampoco experto sino usuario) adelante.

Gracias Rontxi por la información, vaya curro te has pegado. Mañana lo leeré con más detenimiento.
Subo el hilo para que no se pierda, merece ser leído.

Quieres decir que la forma mas segura es contraseña + google authent ? , nunca lo he usado, leerá un poco de él, puedes comentar algo de este programa para PC, jamás uso móvil para operaciones bancarias y sólo tengo descargada 1 aplicación 

Siempre he empleado Usuario + contraseña+ tarjeta coordenadas.

Excelente trabajo

Hola, evangelista.

Si tienes cuenta con Google y quieres probar el Google Authenticator puedes activar la autenticación de dos factores (recomendadísimo) a través de esa aplicación.

Los pasos serían los siguientes:

1- Vas a tu cuenta de Google y te metes en la sección de "Seguridad". Allí entras en "Verificación de 2 pasos". Google te ofrecera varias opciones para el segundo paso de la verificación. Elige "App del Autenticador" que tiene un icono de puerta de caja fuerte. Pulsa "configurar".

2- Te saldrá una ventana con un código QR para escanear. No nos interesa escanear porque queremos conocer cuál es el código que nos está dando. Por tanto damos a la opción "no se puede escanear" o "copiar código" para que nos salga una secuencia de letras y/o números.

3- Transcribe cuidadosamente ese código en un papel que guardaremos en un lugar seguro.

4- A continuación coge tu teléfono móvil y descárgate desde el Playstore la aplicación "Google Authenticator". Verás que tiene el mismo logo con la caja fuerte.

6- Una vez descargada, abre la aplicación Google Authenticator en el teléfono y dale a "+" para añadir una nueva cuenta (la primera en este caso) de autenticación. Cada cuenta tiene un nombre (yo te aconsejo que, por discreción, pongas un nombre general tipo "gmail" o "cuenta google", mejor que "alberto.sanchez @ gmail.com").

7- Para abrir la nueva cuenta, Google Authenticator te pedirá que introduzcas un código. Ahí debes pegar o teclear el código que te ha proporcionado tu cuenta de Google y has escrito en el papel.

8- Una vez introducido el código se pondrá a funcionar la cuenta y verás que va produciendo claves desechables que duran 30 segundos. La cuenta de google te pedirá que introduzcas la clave que te está dando el Google Authenticator para comprobar que la aplicación está correctamente vinculada. Da lo mismo la clave que metas, lo importante es que no haya caducado y por supuesto que tu ordenador y tu teléfono tengan ambos la hora correcta para que estén sincronizados.

9- A partir de ahí cada vez que tu cuenta de Google te pida el segundo factor de verificación no tienes más que sacar tu teléfono, abrir el Google Authenticator, y utilizar la clave que te esté dando la aplicación en ese momento.

10- El papel con el código que has transcrito te sirve por si quieres instalar esa misma vinculación en otro teléfono (por cambio de teléfono o pérdida o lo que sea). Con el mismo código obtendrás las mismas claves.

Por último, es MUY ACONSEJABLE dedicar un equipo o teléfono móvil exclusivamente para temas importantes de dinero y para nada más. Es una manera de mantenerlos limpios y reducir riesgos al mínimo.

Nota: me sorprendió gratamente que DEGIRO también permite la autenticación de dos factores con Google Authenticator. A ver si los demás bancos se ponen las pilas con este tema.

yo sigo haciendo mis pocas operaciones en la propia oficina, pero cada vez hay mas presiones para que las haga por internet.

Trapero, has hecho muy buen ejercicio. Sin embargo creo que el metodo descrito tiene al menos dos puntos débiles: el primero es el código "ese código en un papel que guardaremos en un lugar seguro" no parece mucho mas facil de guardar seguro que una tarjeta de coordenadas.

El segundo, y mucho peor, es el "Google Authenticator". Un software gratuito y ¿cuales son las garantias que ofrece? ¿quien es el responsable si falla y pierdes tu dinero por ello? ¿que tan seguro es que ningun empleado de Google vaya a ser una puerta de acceso?

Y lo de utilizar un telefono nada mas que para el acceso al banco, pues puede estar bien, pero claro, no uno barato que ya viene con el trollano puesto de fábrica. 

A estas alturas creo sinceramente que nuestra mejor defensa es la misma que usa el pez: Se mueve junto con todos los demas, en bandada, confiando en que asi cuando venga el depredador se coma al vecino.

y digo yo, utilizando las apps de banco y demás desde un dispositivo como un iphone o imac que de normal son mucho mas seguros no reduce considerablemente la posibilidad de que te estafen?

Los ladrones siempre van por delante de la policía, además van muy tranquilos porque no esperan castigo por sus delitos por el buenismo imperante.

Evidentemente la seguridad total y absoluta no existe. Lo que hay que hacer es tener un buen nivel de seguridad evitando las prácticas que tengan un mayor riesgo y no obsesionándose con las que tendrían un riesgo mucho más remoto.

¿Conoces muchos casos de empleados de Google que hayan robado el dinero del banco de usuarios de aplicaciones Google usando una puerta de acceso? ¿Conoces muchos casos de personas a los que los ciberdelincuentes hayan limpiado sus cuentas a través de un "troyano puesto de fábrica" en su teléfono?

En cambio sabemos que se roban millones con el método de interceptar SMS ( https://www.vozpopuli.com/economia-y-finanzas/Millones-escapan-SMS-hackers-cibercrimen-espionajes-masivos_0_1225078010.html ) . O que frecuentemente cuentas son hackeadas porque no tenían un sistema de verificación con dos factores.

Y si las autoridades europeas llevan tiempo exigiendo a las entidades bancarias que retiren sus tarjetas de coordenadas es por algo. Las claves que van por un canal paralelo y distinto (tu móvil) y que tienen una validez de unos segundos son más seguras (ver: https://www.prodatosalcarria.es/ninguna-red-wifi-domestica-es-segura/ ). Si se utiliza un móvil limpio dedicado solamente a ello, más aún.

Aún con todo, la tarjeta de coordenadas me parece menos insegura que el SMS si la utilizas en un ordenador o móvil limpio.

Google Authenticator es por cierto tan sólo una (la más usada) de las varias aplicaciones de autenticación que existen.

¿Conoces muchos casos.....

No, no conozco ningun caso puesto que son tecnologias que se estan empezando a implantar y no usa ni el tato. Los SMS llevan funcionando mas de 30 años y los usa toquisque. Si quieres te reto a que me repitas la pregunta dentro de 30 años y ya veremos cual es la respuesta.

No obstante, ten encuenta que la seguridad en el SS7 es VITAL para los operadores, y la asociacion GSMA, y el grupo de estandarizacion 3GPP, se encargan de cerrar toda via de acceso y que los protocolos de los sean seguros. Cosa que no existe como tal en el mundo IP.

Por otro lado, parece que estas apuntanto a noticias muy poco rigurosas. Si lees lo que dice es que "a specific UK bank that has fallen victim to so-called SS7 attacks", no en el SS7, sino en el asi-llamado SS7, no un operador movil, sino un banco, curiosamente "Major UK telco BT told Motherboard in a statement", pero BT es un operador fijo de IP.  Leyento con cuidado, tiene toda la pinta que el hacker ha entrado en el sistema informatico del banco, para desde ahi enviar los SMS a la operadora movil. Posiblemente, usando para ello la conexion IP de BT. Pero claro, vende mucho mas la noticia tal y como la han puesto.los periodistas.

¿Te preocupa que un empleado de Google te robe tus códigos de Google Authenticator, pero no te preocupa que un empleado de tu empresa de telefonía duplique tu SIM y reciba tranquilamente el SMS de verificación?
En fin.
'SIM swapping' ⟩https://elpais.com/economia/2019/05/21/actualidad/1558455806_935422.amp.html

En general comprando un móvil nuevo (con uno sencillo vale) o un ordenador nuevo y utilizándolo estrictamente solo para bancos bien actualizado reduces ya considerablemente el riesgo.
Al menos por tu parte, luego el banco tiene que proteger los datos.
Pero la doble autenticación SIEMPRE, incluído en el correo, y con la fórmula más segura que se pueda. Lo ideal: aplicación de autenticación o dispositivo de hardware externo.