Doble autenticación en banca a distancia basada en EMV

Hola,

Hace algún tiempo que quería someter a prueba a mi lector EMV de autenticación/autorización financiera. Es la primera vez que dispongo de un aparato de estas características, con lo que era menester dedicarle un ratito para ver cómo funciona, y poder decidir por mí mismo qué nivel de seguridad me ofrece el dispositivo.

Autenticador/Autorizador financiero EMV

autenticador autorizador abn

Esto que veis en pantalla es un autenticador/autorizador financiero basado en EMV y su correspondiente cable de conexión USB. Abajo aparece mi tarjeta financiera para banca a distancia, y en rojo está marcado el chip EMV.

Se trata del autenticador/autorizador e.dentifier2 con el que ABN AMRO provee a sus clientes. De manera contraria a lo que se puede pensar, el uso de este aparato para operar con la banca en línea no implica costes adicionales sobre la tarifa bancaria que hay que satisfacer (en mi caso, si no mal recuerdo, unos 32 euros anuales). Por lo que he podido ver, la mayoría de entidades en Holanda opera de una manera similar, en la que el cliente satisface una cantidad anual a modo de tarifa plana que suele incluir los costes de mantenimiento de los productos financieros básicos (cuenta a la vista y cuentas de ahorro), las operaciones frecuentes (transferencias nacionales e internacionales, OTEs, disposición de efectivo en autoservicios financieros y compras en terminales de comercio), la expedición y mantenimiento de al menos dos tarjetas financieras (EMV débito y crédito EMV), así como el uso del autenticador financiero para banca en línea.

El dispositivo tiene dos modos de operación: conectado a un sistema operativo vía USB, o bien uso autónomo, sin conexión alguna. En ambos casos es requisito para la operación que la tarjeta asociada a la banca en línea esté insertada en la ranura, ya que el alma mater del asunto es poder autenticar y autorizar el acceso y las operaciones mediante EMV.

autenticador y tarjeta financiera

Disculpad la calidad de la fotografía, pero la holografía de la tarjeta y el reflejo de la pantalla del dispositivo no son los mejores aliados de la nitidez. El funcionamiento es ligeramente distinto en cada caso. En el uso autónomo, el aparato puede generar una credencial de un sólo uso para la autenticación, así como OTPs para transaccionalidad (transferencias, órdenes de pago, etc.) mediante la introducción del PIN en el teclado numérico. El autenticador financiero está casado a nuestra cuenta, y a su vez, con la tarjeta financiera, con lo que si la introducción del PIN es correcta, el autenticador considerará que la tarjeta legítima está en la ranura, y que la persona que ha introducido el PIN es el propietario de la misma. En este modo de operación el número de cuenta, el número de tarjeta y las OTPs son introducidas por el usurio en los formularios HTTPS.

Cuando el autenticador está conectado al sistema operativo vía USB, en vez de suministrar una clave OTP, el dispositivo lanza las peticiones directamente contra la aplicación de banca a distancia. El usuario no tiene que introducir dato alguno en los formularios HTTPS. Este modo de operación requiere la instalación de un software cliente que permite establecer la conversación entre el servidor de aplicaciones y la máquina del usuario. El software contiene, además de los componentes locales, una extensión específica para Firefox, y permite operar con el resto de los navegadores sin problema alguno. En esta modalidad, el usuario se autentica únicamente mediante la introducción del PIN en el teclado numérico, siendo el software cliente el que se comunica, en función de la operación procesada en el lector EMV, con el servidor de aplicaciones. Las transacciones se confirman igualmente con la introducción del PIN en el teclado del dispositivo.

Bloques de datos EMV

La gran ventaja que tiene EMV es que dota al medio de pago y a los lectores de capacidades criptográficas. Cuando introducimos el PIN en el dispositivo, éste consulta al chip EMV y realiza la verificación criptográfica del mismo. Es decir, el PIN no viaja en ningún caso y se valida en el propio dispositivo, siendo ésta su principal ventaja, ya que esto reduce drásticamente (prácticamente imposibilita) la captura ilegítima del dato más importante de una tarjeta: el PIN.

Una vez que el aparato dispone de la verificación positiva del PIN por parte del chip EMV, ya sólo es cuestión de enviar peticiones que están validadas de antemano. Para dotar de más seguridad a las transacciones, es frecuente que además del uso de un protocolo cifrado en la comunicación (TLSv1, en este caso), el bloque de datos esté igualmente cifrado por la aplicación de la criptografía EMV. Es decir, además de emplear un canal cifrado para la comunicación cliente-servidor, el propio paquete de datos está cifrado con la criptografía EMV. Para que nos entendamos, y perdonad por la simpleza del ejemplo, es como si eviásemos por un canal cifrado (SSH) un archivo también cifrado con algún algoritmo reversible, como por ejemplo, un fichero ZIP con clave, con lo que en caso de que el canal quedase comprometido, siempre queda la protección del cifrado intrínseco del fichero (que no es que sea brillante en el caso de un ZIP con clave, todo sea dicho)

Analizando el tráfico

Sobre el tapete el montaje es interesante, ya que permite construir una vía de comunicación cifrada entre cliente y servidor por el cual circularán los datos necesarios para poder operar en línea. Veamos cómo funciona el túnel en la realidad.

Basta con hacer una captura de tráfico para ver que las comunicaciones, como no podía ser de otro modo, son bidireccionales, siendo el puerto a la escucha en el lado del cliente el 10086, y el puerto de destino en el servidor de aplicaciones 443 (HTTPS)

Las comunicaciones desde el lado del cliente con dirección al servidor de aplicaciones son TLSv1 (con datos de aplicación cifrados siendo el puerto origen 10086 y el destino el 443) y las recibidas desde el servidor de aplicaciones son también TLSv1, con origen en 443 y destino 10086. Adjunto dos capturas con parte de la conversación TLSv1 en ambos sentidos, donde se puede apreciar el bloque de datos cifrado:

cliente servidor

servidor cliente

A poco que sigamos el flujo TCP de la conversación, veremos rápidamente que el cifrado hace que los datos intercambiados sean un completo galimatías:

flujo tcp

Vectores de ataque

Comprometer este sistema para el robo de credenciales y la operación ilegítima en banca a distancia se torna en exceso complicado. Nada en el mundo de la seguridad y la tecnología es 100% seguro, y por tanto, no debemos caer en el error de considerar que la doble autenticación criptográfica EMV es la panacea. Lo que no parece inadecuado es catalogar al método como muy interesante en cuanto a su seguridad, siendo, con mucha probabilidad, de los montajes más seguros que existen para operar en banca a distancia en la actualidad.

Los atacantes, aunque también dirigen sus esfuerzos a la doble autenticación (hemos hablado del tema en este blog, y recientemente el maestro Schneier hizo una reflexión al respecto), normalmente atacan primero los sistemas más débiles, como aquellos en los que la autenticación y la autorización de transacciones se realiza mediante usuario, clave y clave de operaciones (van quedando menos, pero quedan), o aquellos en las que se emplea una tarjeta de coordenadas como factor adicional. Habida cuenta de la complejidad del sistema EMV, en condiciones normales, los atacantes dirigirán sus esfuerzos a otros sistemas en los que puedan tener más éxito, y por tanto, rentabilizar sus resultados.

El método más simple para poder romper el montaje es tener en posesión PIN, la tarjeta y el lector. Es complejo por tanto que se de este escenario, pero no es descabellado. La utilización de EMV reduce aún más esta posibilidad, ya que la tarjeta debe ser original (la clonación de la banda no es suficiente). En caso de que un troyano financiero desviase el tráfico a su conveniencia en una sesión man-in-the-middle, los datos principales de la transacción (importe, cuenta origen y destino) están cifrados por el canal y por la frima del bloque de datos propia de EMV, con lo que en el hipotético caso de fuera capaz de detener el paquete, descifrarlo, modificarlo y luego reempaquetar respetando las firmas criptográficas (lo cual ya es harto complejo), todavía queda un último mecanismo de seguridad, ya que antes de procesarla, los datos de la transacción se envían al lector, y requieren la intervención del usuario para confirmar los datos pulsando la tecla OK del lector EMV, con lo que la modificación de la cuenta o el importe se haría notorio con sólo leer los contenidos de la pantalla.

Otro vector que no discutiré, ya que no está bajo el control de usuario, es el compromiso de la aplicación de banca a distancia. Si un atacante, una vez descifrado el bloque de datos en el servidor, es capaz de reformatear el bloque de datos introduciendo sus cuentas e importes desde la propia aplicación, poco o nada podemos hacer. Este escenario es complicado, ya que los servidores de banca suelen estar sujetos a una monitorización exhaustiva que debería poder detectar a tiempo estos ataques. No obstante, es una posibilidad, y en este caso los atacantes internos son los que están en posición ventajosa.

Ventajas

La ventaja más evidente es la seguridad del montaje, ya que reduce al mínimo las posibilidades de sufrir quebrantos a causa de ataques. En el modo no conectado estas condiciones de operación segura decrecen, ya que el usuario tiene que introducir su número de cuenta, de tarjeta y las respuestas OTP que le da el dispositivo en formularios HTTPS, lo cual abre la veda para troyanos que capturen las credenciales antes de ser sometidas al cifrado del canal, y se desvíe el tráfico a sesiones man-in-the-middle ilegítimas.

A nivel negocio, creo que estas soluciones colman las expectativas de los clientes con un perfil tecnológico avanzado, lo que abre las vías a futuras oportunidades de negocio en segmentos cualificados donde el conocimiento de la tecnología no sea un obstáculo.

Desventajas

La primera desventaja que es obvia y manifiesta, desde el punto de vista del cliente, es la necesidad de portar el dispositivo. Es ligero, pero no es precisamente algo que esté pensado para llevarlo en la cartera. Tampoco es posible usarlo conectado cuando se opera en banca a distancia desde un móvil o PDA, lo que fuerza al usuario a usarlo en la modalidad no conectado, con la consiguiente necesidad de introduccir en formularios HTTPS de datos.

Para las entidades la desventaja quizás derive de la mezcla del coste y el impacto que suele tener complicarle las cosas al cliente para usar un canal ya de por sí complejo para muchos. Aunque el uso del aparato es simple y está perfectamente documentado, todos sabemos que si ya le cuesta a muchos clientes usar una tarjeta de coordenadas, mejor no pensar en lo que les puede suponer usar un lector EMV portátil. Entiendo que para las entidades el uso de estos métodos dependerá del resultado de balancear el coste/beneficio con el perfil del cliente al que va dirigido. Otro eterno tema de discusión que complica bastante la cosas estriba en decidir si repercutir al cliente el coste (aumentando las comisiones, o generando una nueva comisión en concepto de uso de la tecnología) o asumirlo desde la cuenta de resultados sin incrementar el precio de los servicios que se estén cobrando (algo que no es frecuente, sobre todo existiendo métodos para operar en banca a distancia con menor coste operativo)

Por otro lado, la tasa de implantación de EMV en la eurozona es muy dispar, según se puede comprobar en un reciente informe de ENISA sobre el fraude en cajeros automáticos. En Holanda es del 100%, mientras que por ejemplo, en España es del 71%. Este dato no invita a pensar que veamos en el corto plazo este tipo de montajes en países con tasas inferiores al 80%, como Grecia, Bulgaria, Italia, Hungría, Polonia, Letonia, Lituania o Islandia, además de la ya mencionada nuestra querida patria del flamenco, la paella y la siesta :), quizás con la excepción de entidades que tradicionalmente se han mostrado como pioneras en la adopción y uso de la tecnología, aunque en estos tiempos que corren tampoco creo que encontremos el caldo de cultivo ideal para diseminar a gran escala estas soluciones. Además no perdamos de vista que el DNI electrónico sirve, más que de sobra, para realizar montajes criptográficos serios de autenticación y autorización en banca a distancia, con lo que no es nada improbable que los moviemientos vayan en esta dirección.

Si algún lector utiliza tecnologías similares en banca a distancia (tokens, otros mecanismos EMV, etc.), que no dude en contarnos su experiencia.

Un saludo,

Operar con más seguridad en banca a distancia empleando sistemas virtualizados

Hola,

Siempre que me preguntan por las mejores prácticas para operar con banca en línea tiendo a hacer el mismo comentario: además de aplicar el sentido común, la mejor manera de prevenir problemas desde el punto de vista técnico es hacer uso de la banca a distancia a través de máquinas que no corran sistemas Microsoft, y si no hay posibilidad o conocimientos, al menos operar en la banca en línea a través de sistemas virtualizados no Microsoft.

No es una recomendación que haga por tener nada en contra de Redmond. Los troyanos orientados a capturar credenciales están diseñados el 99,99% de las veces para funcionar en plataformas Windows, con lo que los agentes maliciosos, simple y llanamente, no funcionan en sistemas que no son Microsoft. Conviene comentar en este punto la excepción de Mac OS, un sistema no Microsoft para el cual sí existen amenazas cada vez más representativas, que aún siendo menos relevantes y abundantes que las diseñadas para plataformas Windows, no deben ser menospreciadas.

Los troyanos más usuales son aquellos orientados a modificar el sistema operativo y sus aplicaciones para, con la máxima transparencia para el usuario, provocar la captura de sus datos financieros, no sólo usuario y contraseña, sino las claves de operaciones y las coordenadas de sus tarjetas (cuando el servicio dispone de doble factor de autenticación/confirmación de operaciones). Así, es frecuente encontrar ejemplares que inyectan código HTML en navegadores, especialmente en Internet Explorer, no sólo para capturar login y pass, sino para inyectar después elaborados formularios HTML donde se insta a los usuarios a introducir la totalidad o parte de su tarjeta de coordenadas. Son frecuentes también los especímenes que capturan todo el tráfico GET/POST en determinados dominios pertenecientes a las bancas en línea, con la esperanza de poder comprometer así datos como la clave de operaciones.

También se han visto ejemplares, menos numerosos, orientados a explotar problemas en Firefox, aunque su número es muy inferior a los que están orientados a Internet Explorer. También los hay que pasan del navegador, ya que actúan sobre el sistema, como por ejemplo, los que modifican los DNS para transportar al usuario a páginas maliciosas, independientemente del producto de navegación que utilicen.

Sea como fuere, a día de hoy, los troyanos se diseñan para funcionar principalmente en Windows. Las razones son varias, siendo la principal que es la plataforma mayoritaria, y por tanto, atacándola, se maximizan la dispersión y rentabilidad de los ataques. Me juego una cena con quien quiera a que la mayoría de factorías de malware, especialmente las últimas en la cadena (las que compran y modifican malware, no las que desarrollan en sí los especímenes) no están capacitadas para programar agentes maliciosos en entornos UNIX, pero este tema no lo vamos a discutir ahora :)

Otra buena razón para que el malware mayoritario esté pensado para plataformas Microsoft y en menor medida, pero creciente, para Mac OS, es el modelo de software privativo con cobro por licencias, que hace que muchos usuarios descarguen software ilegal de redes de pares y servicios de filesharing en vez de adquirirlos de una manera legítima, pagando las correspondientes licencias. Una buena parte del malware reside y se dispersa mediante los cracks y keygens que acompañan descargas ilegales de software. Es frecuente ver también ejecutables acompañando a los ficheros ZIP o RAR que contienen álbumes musicales, o en las colecciones de fotos pornográficas. También abundan en las redes de pares ficheros maliciosos diversos que explotan vulnerabilidades de reproductores multimedia.

El objetivo de este texto es describir cómo podemos acceder a nuestra banca mediante un sistema virtualizado, lo que neutralizará la mayoría de probabilidades de sufrir un robo de credenciales. Y con la gran ventaja de emplear productos seguros y sin coste alguno para el usuario. Adicionalmente hablaremos de:

  • Los riesgos que no mitiga el uso de una máquina virtual no Microsoft.
  • Las características que debe tener un servicio de banca en línea para minimizar las probabilidades de sufrir fraude consumado.
  • Las actitudes que harán que la probabilidad de sufrir fraude sea la menor posible.

Cómo acceder a un servicio de banca en línea a través de una máquina virtual

1. Descargar e instalar Sun VirtualBox xVM

Este producto se puede descargar gratuitamente en http://www.virtualbox.org/wiki/Downloads. El artículo está orientado a usuarios Windows, con lo que hay que descargar e instalar la versión for Windows hosts . Lo normal es instalar la versión x86, a no ser que tengas un AMD 64 y un Windows 64 bits (lo que a día de hoy, no es lo habitual)

Una vez ejecutado, el aspecto que debe presentar el producto debe ser similar al siguiente:

virtualizacion

2. Descargar una distribución Linux para ejecutar en la máquina virtualizada

Opciones en este punto hay muchas, pero por tradición os aconsejo Slax. Se puede descargar en http://www.slax.org/get_slax.php?download=iso. Una vez descargado este fichero ISO (190 MB ocupa la versión 6.0.9) lo colocaremos en una ruta fácil de recordar, por ejemplo, C:\Virtualizacion

virtualizacion

3. Preparación de la máquina virtual

Los pasos a seguir son los siguientes:

  1. Pulsar «Nueva máquina virtual», lo que disparará un asistente para crear la máquina. Pulsamos «Next» (el producto tiene una curiosa mezcla entre inglés y español y hay algunas secciones no traducidas)
  2. En la pantalla, damos nombre a la máquina virtual y seleccionamos el tipo de sistema a virtualizar. No pasa nada si no lo especificamos, pero como sabemos que Slax es Linux, así lo hacemos constar. Una vez terminado, pulsamos «Next».

    virtualizacion

  3. Especificamos el tamaño de la memoria base que será asignada a la máquina virtual. Se recomiendan 256 MB, pero podemos ampliar tranquilamente a, por ejemplo, 1024 MB.
  4. Para asignar disco duro, nos encontramos con que de entrada, no hay disco duro asignado. Pulsamos «Nuevo» y se dispara un nuevo asistente para crear el disco duro a utilizar por la máquina virtual.
  5. Seleccionamos, dentro del asistente, «Imagen de expansión dinámica», lo que creará un espacio adaptativo para las necesidades de disco duro de la distribución a ejecutar.
  6. Damos tamaño al disco duro asignado, por defecto aparecen 8 GB, pero se puede reducir tranquilamente a una cantidad más razonable, por ejemplo, 1 GB. Pulsamos «Next» cuando hayamos terminado este paso.

    virtualizacion

  7. Pulsamos «Finish» para finalizar el proceso de creación del disco duro, lo que nos devolverá a la pantalla «Disco Duro Virtual» que habíamos encontrado antes, pero con la diferencia de que ahora ya tenemos un disco duro asignado. Pulsamos «Next» y luego «Finish» para terminar el asistente.
  8. Una vez hayamos completado los pasos anteriores, el aspecto que debe tener la aplicación debe ser similar al siguiente:

    virtualizacion

  9. Toca por último asignar la imagen ISO de Slax que hemos descargado como el sistema a ejecutar. Para ello pulsamos en «Configuración» y dentro de ese menú, en el submenú «CD/DVD ROM». Marcamos la casilla «Monta la Unidad de CD/DVD» y seleccionamos el tipo «Archivo de Imagen ISO». Pulsamos el icono a la derecha de la opción «Archivo de Imagen ISO» y agregamos la imagen ISO. Se dispara un nuevo asistente:

    virtualizacion

    Pulsamos «Agregar» y seleccionamos la imagen ISO que hemos descargado (la que hemos guardado en C:\Virtualizacion). Cuando hayamos localizado la imagen pulsamos «Seleccionar». Retornamos al menú anterior, el cual debería presentar un aspecto similar al siguiente:

    virtualizacion

  10. Pulsamos «Aceptar», y ya estamos en condiciones de ejecutar la máquina virtual.

4. Ejecución de la máquina virtual

Basta con pulsar el botón «Iniciar» en la pantalla principal de Sun VirtualBox xVM. Debería presentarse la siguiente ventana:

virtualizacion

La mejor opción es la ejecución con entorno gráfico KDE, que se disparará automáticamente. Suele ser normal que aparezca un mensaje de memoria baja, dependiendo de la reserva de memoria que hayamos hecho antes. Aunque este error no bloquea la máquina, hace recomendable aumentar la cantidad de RAM asignada a la máquina para que funcione adecuadamente. Esto se puede hacer en el menú «Configuración» de Sun VirtualBox xVM.

virtualizacion

Finalmente, tras la carga, el sistema se inicia. Ya tenemos un Linux Slax corriendo virtualizado, con el que podemos navegar a nuestra banca en línea tranquilamente. Con un doble click en la ventana, el teclado y el ratón funcionarán en la máquina virtual. Si queremos hacerlo en el sistema Windows, pulsamos el botón control derecho, y saldremos de la máquina.

virtualizacion

5. Navegar con la máquina virtual

Slax cuenta con un cuidado aspecto gráfico y contiene numerosas aplicaciones, entre las que está Konqueror. Como la máquina virtual toma la configuración de red de la máquina Windows subyacente, no hay que configurar nada. Estamos listos para navegar.

virtualizacion

El objetivo de todo lo que hemos hecho es poder acceder a nuestra banca en línea a través de un producto ajeno a los problemas de seguridad y condiciones de contorno que explotan habitualmente los troyanos. Al emplear una máquina virtual basada en UNIX, los troyanos mayoritarios no funcionarán, sencillamente, porque no pueden funcionar en un entorno Linux. Tampoco funcionarán las amenazas específicas orientadas a Internet Explorer, Firefox sobre Windows y en general, a cualquier amenaza que intente explotar problemas de seguridad en Windows y los productos que lo suelen acompañar (Java, Flash, etc). Pero no es oro todo lo que reluce …

¿De qué NO protege una máquina virtual?

Aunque la ganancia en seguridad en nuestras operaciones en línea es más que notoria, la virtualización no es la panacea, y existen algunas problemáticas que no se resuelven empleando estas soluciones:

  1. Phishing convencional y en general, cualquier ataque de ingeniería social. Si sigues un enlace falso que te lleva a una página modificada, e introduces tus datos, da igual que lo hagas en Linux o en Windows: tus datos estarán en manos de los atacantes.
  2. Sniffing o captura de tráfico. El tráfico provocado por nuestras acciones en la máquina virtual sale a Internet por el mismo adaptador que el sistema Windows, con lo que el tráfico generado puede ser capturado por agentes maliciosos. Desde el punto de vista del adaptador, si la banca opera en HTTPS (la amplia mayoría lo hace hace tiempo), el tráfico que podemos capturar estará cifrado y será inservible. Sin embargo, un proxy instalado entre el navegador y la salida a red podría capturar en claro nuestros datos, aunque esta posibilidad es descartable empleando una distribución como Slax, ya que requiere contaminación en origen, la cual, aún siendo factible, es de escasa probabilidad.
  3. Contaminación de nuestro enrutado. Si nuestro router está comprometido, es posible redirigir el tráfico a páginas maliciosas desde el hardware (routers, principalmente), aunque hayamos tecleado en el navegador de la máquina virtual una página legítima. Esta probabilidad, aunque existe, es de reducida probabilidad, pero debe ser tenida en cuenta.
  4. Contaminación de la distribución en origen. No es algo frecuente, pero ha sucedido. Este problema se puede solventar comprobando que las sumas de control del fichero ISO que descargamos coinciden con los anunciados por los autores de la distribución.
  5. Facilitar las claves y las tarjetas de coordenadas a otras personas. Da igual si usas Windows o Linux. Si le das las claves a alguien, esa persona puede ejecutar en tu nombre operaciones, con lo que conviene extremar las precauciones en este sentido.
  6. En general, gestionar mal la conservación confidencial de las claves, facilitando que en un evento de pérdida, despiste o sustracción alguien se haga con la totalidad de elementos necesarios para operar.

¿Qué características en un servicio de banca en línea dificultan la consumación del fraude?

  1. Tráfico HTTPS, por las razones que hemos comentado anteriormente.
  2. Empleo de doble factor. Los dobles factores pueden estar en la autenticación, en la confirmación de operaciones o en ambos sitios. La ventaja de disponer de doble factor de autenticación es impedir el acceso a nuestros datos financieros a los usuarios ilegítimos, que aunque no puedan operar en ausencia de claves de operación, pueden obtener un perfil para ejecutar acciones de extorsión.
  3. Alertas al móvil. Un sistema que nos envíe un mensaje cada vez que realizamos una operación o cambiamos una clave puede ayudarnos a identificar preventivamente un acceso ilegítimo.
  4. Servicio real 24×7 de atención telefónica y bloqueo, para poder requerir, ante la sospecha de compromiso, el bloqueo de nuestra cuenta en línea, así como de los productos financieros asociados (tarjetas, especialmente). Estos servicios deben además ser preventivos, ejecutando autónomamente bloqueos ante la sospecha de contaminación.
  5. Existencia de límites para operaciones. La existencia de límites permite mitigar para los distintos canales el importe de las cantidades que nos pueden sustraer, en caso de que finalmente seamos víctimas de un fraude.

¿Qué actitudes minimizan los riesgos de ser vícitmas del fraude?

  1. Navegación prudente y responsable. No visitar enlaces dudosos es una garantía de éxito. Extremar las precauciones en las redes P2P de intercambio, donde es frecuente encontrar malware.
  2. Mantenimiento adecuado del sistema operativo y sus aplicaciones. Tener al día los productos, instalando los parches recomendados, es siempre un factor mitigante.
  3. Aunque maniobremos en Internet con una máquina no Microsoft, conviene tener instalado y actualizado un producto antivirus, para minimizar los impactos restantes que procedan del correo, de la mensajería instantánea, de las redes P2P, etc.
  4. Sentido común. Recelar de lo sospechoso siempre conduce a la toma de decisiones adecuadas.

Un saludo para todos,