Hola,

Tal d­ía como hoy este vuestro blog cumple 5 años. Desde el primer post, publicado en pMachine y luego convertido a Wordpress, son muchas las conversaciones que entre todos hemos mantenido. Si MySQL no nos engaña, ya llevamos 1,270 posts y 4,175 comentarios (y mucho spam, todo sea dicho, gracias Akismet)

Cinco años dan para mucho. Este blog nació con la idea de ser un bloc de notas en línea, donde he ido anotando los contenidos que me han parecido interesantes o que he necesitado en mi vida profesional, para poder consultarlos cómodamente desde cualquier sitio y a cualquier hora. Poco a poco, por el natural desenvolvimiento que tiene Internet, se ha convertido también en un punto de reunión de personas que comparten intereses y aficiones. Son muchos los usuarios que se asoman a través de buscadores y referencias de otros sitios intentando resolver dudas, o simplemente para opinar sobre un tema que les interesa y/o preocupa. Unos se quedan, otros se vuelven a marchar, pero aquí todos cuentan por igual. A todos, gracias.

Además, este blog ha tenido, tiene y tendrá muchas otras utilidades. Me ha servido para aprender, conocer gente, hacer amistades y hasta para granjearme no-amistades (yo al menos, no considero a nadie enemigo). Incluso me ha servido para encontrar trabajo, aunque la funcionalidad que probablemente valore más es haber podido serviros de ayuda en algún momento.

Por todo esto y por mucho más, va por vosotros. Por cierto, la imagen la he tomado de una cuenta FlickR. Thanks, Will :)

Hace un par de horas me sorprendía (una vez más) con la consolidación del phishing en redes sociales. Ahora toca sorprenderse viendo como la gente programa troyanos que impiden el acceso a determinados portales de descarga P2P.

Comentan en Torrentfreak (via Menéame) el reciente descubrimiento de un troyano, bautizado como Troj/Qhost-AC, cuya misión es bloquear el acceso a portales de temática P2P, en este caso las basadas en el protocolo BitTorrent.

El troyano realiza una modificación en el fichero de hosts de los sistemas Windows contaminados, que provoca que las URL de The Pirate Bay, sus foros (Suprbay) y Mininova se resuelvan en la dirección 127.0.0.1, impidiendo la carga de los sitios cuando quieren ser accedidos. Los ejemplares analizados fuerzan también la aparición de un pop-up con el mensaje downloading is wrong (descargar está mal)

Según lo que se puede leer en la fuente original, el troyano se ha distribuído a través de una descarga introducida en uno de los portales afectados, The Pirate Bay, concretamente en un fichero que simulaba ser un keygen (generador de claves). Como podéis imaginar, habida cuenta de las turbulencias que rodean al mundo P2P, las presunciones sobre la autoría de este tipo de troyano son variopintas y dispares.

Ver para creer. Malware 2.0 en toda regla, oigan.

Los casos de phishing tradicional, en su mayoría en un claro declive, siguen ofreciendo opciones para los atacantes. El cambio ha sido radical en los últimos tiempos, donde se ha pasado de ataques dirigidos casi en exclusiva a la banca a distancia a otros modelos de intento de robo de credenciales vinculados a otros servicios no financieros.

Dentro de esa tendencia de abrir nuevos nichos, las redes sociales son, aparentemente, objetivos apetecibles. Es el caso de Twitter, un conocido y extendido servicio de microblogging que goza de las simpatías de millones de usuarios. En ausencia de un móvil económico directo, me inclino a pensar que estos ataques quizás persigan generar listas de usuarios y credenciales que podrían ser comunes a otros servicios, como por ejemplo, la banca electrónica, los servicios Web de las Administraciones Públicas y en general cualquier servicio en línea en el que sí exista posibilidad de consumar fraude financiero. Habida cuenta que los usuarios de Twitter comparten mucha información personal en el servicio, realizando un mínimo seguimiento es factible crear perfiles de los mismos, los cuales podrían ser explotados igualmente en eventos de extorsión. No es descartable tampoco la ejecución de otros delitos relacionados con la suplantación de identidad, como por ejemplo, delitos contra el honor de las personas.

El sitio sigue vivo, lo que permite visitarlo para ver el montaje. La dirección es http://twitterblogs.access-logins.com/login/, y si la publico es porque las barras antiphishing principales ya tienen censada la URL como fraudulenta y es previsible su desactivación en breve. No obstante, se recomienda visitar el sitio única y exclusivamente en caso de tener muy claro lo que se está haciendo.

El falso formulario (muy logrado) efectúa una petición POST con los parámetros usuario y clave, y posteriormente, genera una redirección 302 que lleva al usuario al sitio oficial de Twitter. A lo largo de ese proceso, el formulario fraudulento se encargará de enviar las credenciales sustraídas a los atacantes. El usuario que efectúe un intento de acceso en la página falsa sólo observará como se le vuelve a mostrar la página de inicio del servicio, la legítima, un comportamiento que no todo el mundo asociará a un robo de credenciales, sino más bien como un fallo puntual del servicio, o un error en la autenticación.

Los responsables de Twitter han comentan el asunto en el blog corporativo. Recomiendo a todos los usuarios de este servicio su lectura, especialmente a los que no sabéis bien qué es el phishing.

Un saludo,

Os traigo a portada un caso de sitio falso de recargas móviles, actualmente operativo y que está dirigido a usuarios de Vodafone, con la idea de hacer un llamamiento: estas fechas son especialmente proclives a la aparición de estafas en línea, ya que se aprovecha el tirón comercial que siempre acarrean los períodos navideños, con lo que hay que extremar las medidas de protección y cautela que debemos tener con habitualidad.

IMPORTANTE: Sitio Web oficial para recargar móviles Vodafone

Tal y como se describe en la página corporativa, el sitio oficial de recarga es la tienda Vodafone (clientes de España, otros países pueden tener otras tiendas en línea distintas). Existen muchas pasarelas de recarga legales, en los que es igualmente seguro recargar, pero ante la más mínima duda, es prudente no efectuar transacciones en otros sitios que no sean el oficial.

La estafa está bastante bien elaborada, y tiene una presentación clásica. El usuario recibe un mensaje de correo en el que se ofrece un servicio de recargas de móvil, para lo cual debe visitarse un sitio Web dispuesto a tal efecto. Ese sitio de destino es un sitio ilegítimo, operado por los atacantes, que capturarán a través de formularios todos los datos de la tarjeta de crédito que utilicemos en el presunto proceso de recarga.

El mensaje de correo fraudulento tiene este aspecto:

La estafa nos dirige a una página en la que se presenta un formulario para introducir los datos de la tarjeta de crédito:

Al rellenar los datos, como es costumbre en este tipo de fraudes, se muestra un mensaje de error en el que se nos invita a seguir introduciendo datos de otras tarjetas. Estos datos jamás provocarán que aumente el saldo de nuestra tarjeta, sino que llegarán directamente a los atacantes.

¿Cómo reconocer sitios fraudulentos similares al mostrado?

Algunas pistas para identificar sitios falsos pueden ser las siguientes:

1. Suelen venir publicitados en mensajes de correo no esperados, en los que es frecuente observar faltas de ortografía. Los remitentes suelen ser extraños, no reconocidos.
2. El volumen de datos solicitados suele ser inusualmente elevado. En condiciones normales, un servicio legítimo no debería pedir más que el número de tarjeta (PAN), el tipo de tarjeta, el código de seguridad (CVV/CVV2) y la fecha de caducidad.
3. Los sitios Web fraudulentos, además de contener faltas de ortografía, suelen estar disponibles en direcciones URL y dominios sospechosos. Por ejemplo, en nuestro ejemplo, la dirección es un dominio .gd, perteneciente a Granada, una isla-país caribeña. Un sitio extraño para un operador de móviles, ¿no? Otras veces las páginas falsas se alojan en hospedajes gratuitos o emplean redirectores de dominio que inyectan publicidad en las páginas, con lo que la presencia de publicidad no acorde al servicio es siempre síntoma de alerta.
4. Ausencia de verificaciones. Los sitios legítimos realizan verificaciones básicas con carácter previo a la recarga, por ejemplo, verificar si el número es recargable, si se han introducido todos los datos requeridos, si el DNI es correcto, etc. Algunas veces las páginas fraudulentas carecen de estos medios, con lo que si ante un formulario pulsamos el botón de "enviar" o equivalente sin haber introducido dato alguno y se prosigue el proceso sin informar de errores, debemos recelar de inmediato. No obstante, debe considerarse que los ataques tienden a incluír estas verificaciones, lo que persigue dos objetivos básicos: generar credibilidad y dificultar al máximo la inyección de datos basura en los formularios (práctica habitual de los servicios antiphishing, en la que se introducen datos falsos para hacer indistinguibles los datos basura de los útiles)

Medios seguros para recargar tarjetas móviles de prepago

Algunas vías seguras para recargar nuestros móviles sin sobresaltos son:

1. Las tiendas en línea oficiales de cada operador. En el caso de Vodafone, es http://tienda.vodafone.es/recargas/.
2. Cajeros automáticos.
3. TPVs autorizados para recarga (estancos, gasolineras, etc.)
4. Recarga a través de banca a distancia.
5. Recargas solicitadas a través del propio móvil. En el caso de Vodafone, se puede hacer vía SMS o bien llamando al operador.

Un saludo,

Según la Wikipedia:

# El Año del buey, según el horóscopo chino.
# El Año Internacional de la Astronomía, según la ONU.
# El Año Internacional de la Reconciliación, según la ONU.
# El Año Internacional de las Fibras Naturales, según la ONU.
# El Año Internacional del Aprendizaje sobre los Derechos Humanos, según la ONU.
# El Año Internacional del Gorila, según la ONU.
# El Año de Nikolái Gógol, según la Unesco.
# El Año de José María Morelos y Pavón, Siervo de la Nación, según el Gobierno del Estado de México.
# El Año de la juventud, en Rusia.

También es el año de un nuevo eclipse total de Sol, pero nos pilla mal situados. Siendo el 22 de julio, habrá que plantearse intentar estar en algún punto de oscuridad total ;

Un saludo, y mis mejores deseos para todos.

A través del histórico de diciembre 2008 de CriptoRed (gracias, Jorge) he llegado a un documento que versa sobre el análisis forense en dispositivos móviles. El documento se titula Guía metodológica para el análisis forense orientado a incidentes en dispositivos móviles GSM y es un trabajo de grado de Carlos Andrés Castillo Londoño y Rafael Andrés Romero Ramírez, bajo la dirección de un viejo conocido del panorama forense, Jeimy Cano, de la Pontificia Universidad Javeriana de Bogotá, Colombia.

Esta guía (163 páginas, PDF) es de lo mejor que he visto en lengua española, ya que no sólo contiene referencias a la tecnología GSM y a las aplicaciones empleadas en recuperación forense (libres y comerciales), sino que también incluye, para cada parte del proceso de investigación, comentarios sobre las mejores prácticas metodológicas que deben tenerse en cuenta.

No os negaré que el 99% de los papers sobre análisis forense son teóricos y que se echa mucho en falta la producción de contenidos prácticos de calidad, pero las metodologías que deben respetarse en un proceso de investigación son importantes y no siempre están claramente documentadas, con lo que os aconsejo la lectura del documento para fortalecer el conocimiento en esta materia. De todos modos, en este caso particular, existen referencias técnicas interesantes relacionadas con los procesos de investigación que complementan adecuadamente la información teórica.

Como sucede con prácticamente la totalidad de cosas en esta vida, todo es mejorable y esta estupenda guía no es una excepción. Tal y como comentan los propios autores, el documento habla de GSM, y no de tecnologías avanzadas (3.xG), y tampoco contiene referencias completas sobre conectividad inalámbrica vía Wi-Fi, que probablemente suponga, cuando los terminales operen mayoritariamente con estas tecnologías, la generación de nuevos modelos de ataque y amenaza, especialmente en lo que a recuperación maliciosa no autorizada de información concierne.

Podéis descargar la guía en http://www.criptored.upm.es/descarga/PUJ-ForensicsGSM-08.zip

Un saludo,

Aprovechando que desde 2006 accedo muy eventualmente a mi máquina Windows 2000 (vacaciones, y siempre que no ande por ahí danzando, cosa infrecuente últimamente) he estado extrayendo la poca información útil que tenía para reconvertirla en (probablemente) una estación Linux. Total, para navegar, usar el correo y emplearla de centro P2P, voy más que sobrado con una distribución ligera, y a buen seguro obtendré un mejor rendimiento dada la senectud de la máquina (un PIII 650 Mhz que en breve cumplirá 6 añitos)

Y es que digan lo que digan, los sistemas Windows se acaban volviendo con el tiempo lentos y poco productivos. La contaminación que provocan las aplicaciones, en su mayoría diseñadas sin tener en cuenta la brutal mezcolanza de espacio de usuario y de sistema, es tal que los procesos de instalación y desinstalación de software acaban inundando todo de porquería, dejando el sistema hecho unos zorros, incluso prestando atención a lo que se instala y desinstala. Lógicamente, si no instalas nada, la máquina tarda mucho más en llenarse de elementos inservibles, pero claro, ¿para qué sirve un workstation sin aplicaciones?

Me da cierta pena, porque esa licencia de Windows 2000 la compré y pagué religiosamente (bueno, cierto es que cuando la compré me salió muy barata), pero bueno, en su día me dio un buen servicio y la he usado provechosamente, pero ya no es una cuestión de tener que mimar el sistema para que no se vuelva lento como una tortuga a los 6 meses, es también lo aburrido que es andar haciendo malabarismos cuando formateo para echar a andar una triste Sound Blaster (no hay manera de usarla sin los kX drivers) y una GeForce AGP 8x (cuyos drivers son bastante problemáticos y para recurrir al controlador estándar ... para eso vuelvo a pinchar la S3 Trio 64k de antaño). Y ante todo, es un sistema fuera de soporte. Mire por donde se mire, es hora de cambiar.

A lo que voy: mientras guardaba la información útil, he observado que tengo una aplicación de medición de ancho de banda instalada desde hace bastante por cierto. Se trata del archifamoso DU Meter, que lleva registrando tráfico en esta máquina desde hace más de 4 años. Esta es la última captura:

Creo que esa imagen resume muy bien mi postura ante lo que implica el uso de las redes de pares. 1200 GB de tráfico no salen sólo de tráfico HTTP o FTP, obviamente, la mayoría de ese tráfico es P2P. España es un país donde desde hace tiempo se están observando movimientos curiosos en el ámbito de las TI, especialmente en lo que concierne al tráfico P2P. Mi postura es clara, y esa captura es clarificadora. Y no porque esté empecinado, es que Ley en mano y en virtud a la jurisprudencia, el intercambio de ficheros sin ánimo de lucro no es ilegal. Además, la inmensa mayoría del material que intercambio es de por sí legal, bien por ser obras cedidas al dominio público, bien por existir consentimiento de los autores y propietarios de los derechos, bien por existir amparo legal para las mismas. Sí, también bajo música, pero que no tiemblen las entidades de gestión españolas porque la música que descargo, siempre respetando los límites que marca el derecho a ejercer la copia privada, ni siquiera es música perteneciente a artistas representados por entes de gestión nacionales. Lamento deciros que ni Bustamante, ni el Canto del Loco ni la Oreja de Van Gogh figuran entre mis ficheros intercambiados. Tampoco tengo copias del XP (tengo una licencia OEM legítima que me venía con el portátil), del Vista (cuanto más lejos mejor), ni del Photoshop (existiendo GIMP, no lo necesito). Tampoco tengo screeners mal grabados en un cine (prefiero ir a ver las películas como Dios manda, o comprarme un DVD baratito en el Media Markt o el Carrefour).

Sobre las descargas y el intercambio, al hilo del último movimiento anti-P2P que hemos vivido, la Asociación de Internautas ha pedido a la Presidencia del Gobierno la retirada de la lamentable campaña en la que, para satisfacer los intereses de un pequeño grupo, se está ofreciendo una información distorsionada sobre la legalidad de las actividades P2P con el agravante de recurrir a diversos argumentos contradictorios e infundados. Como ciudadano y contribuyente, me da pena ver en qué se gasta el Ministerio de Cultura el dinero que mes a mes me retienen en nómina, y que me asemejen por ejecutar descargas legales a una impresentable que fuma en un ascensor, a un sujeto que raya coches, a un desalmado que casi atropella a bebés al volante, a un mantero que vende DVDs piratas o a un energúmeno que patalea junto a su parienta cubos de basura bien entrada la noche. Pasen y vean:

Volviendo al título del post, si eres legal, comparte. Desde esta máquina he servido 754 Gb GB y he recibido unos 444 Gb GB, totalizando unos 1200 Gb GB de tráfico en ambas direcciones. Y así seguirá siendo, al menos hasta que la legislación y la jurisprudencia me lo impidan. Aunque en un país donde el propio Ministerio de Cultura amenaza con medidas antipopulares contra la piratería ... todo es posible. Como también es posible que el dominio que tenían contratado para su campaña antipiratería del 2007 esté a día de hoy en manos de a saber quién porque no lo renovaron (y eso que la campaña completa costó 2,8 millones de euros)

Entre tanto, si alguna entidad, organismo, persona o institución quiere echar un vistazo a mis máquinas, para verificar la legalidad de sus contenidos, que me mande un correo. Por mí, encantado.

Un saludo,

Después del cambio de temática, plataforma y dominio regreso al formato de siempre (y eso teniendo en cuenta que alguno decía que tenía dudas entre el formato nuevo y el de siempre)

Michal Zalewski y los chicos del Google Online Security Blog anunciaron recientemente la disponibilidad de un manual sobre seguridad Web, escrito desde el punto de vista de los productos de navegación. El manual se titula Browser Security Handbook, y como su propio nombre indica, es un manual que habla de seguridad en navegadores.

Browser Security Handbook está principalmente dirigido a desarrolladores de aplicaciones Web, que pueden obtener en el documento una comparativa profunda y comentarios sobre los diversos mecanismos de seguridad existentes en los navegadores más populares del mercado.

Esta información puede ser valiosa también para desarrolladores de productos de navegación, así como para usuarios que quieran disponer de una comparativa relacionada con las características de seguridad que poseen los navegadores más extendidos en la actualidad.

Un saludo,

Después de casi 5 años, he decidido cambiar de plataforma, de dominio y hasta de temática. Todas las historias tienen un comienzo, un desarrollo y un final, y creo que ya era hora de dar un cambio buscando nuevas metas y objetivos.

Estáis todos invitados. http://tinyurl.com/nuevoblogdesergio

Espero lo disfrutéis ;)

Siempre que me preguntan por las mejores prácticas para operar con banca en línea tiendo a hacer el mismo comentario: además de aplicar el sentido común, la mejor manera de prevenir problemas desde el punto de vista técnico es hacer uso de la banca a distancia a través de máquinas que no corran sistemas Microsoft, y si no hay posibilidad o conocimientos, al menos operar en la banca en línea a través de sistemas virtualizados no Microsoft.

No es una recomendación que haga por tener nada en contra de Redmond. Los troyanos orientados a capturar credenciales están diseñados el 99,99% de las veces para funcionar en plataformas Windows, con lo que los agentes maliciosos, simple y llanamente, no funcionan en sistemas que no son Microsoft. Conviene comentar en este punto la excepción de Mac OS, un sistema no Microsoft para el cual sí existen amenazas cada vez más representativas, que aún siendo menos relevantes y abundantes que las diseñadas para plataformas Windows, no deben ser menospreciadas.

Los troyanos más usuales son aquellos orientados a modificar el sistema operativo y sus aplicaciones para, con la máxima transparencia para el usuario, provocar la captura de sus datos financieros, no sólo usuario y contraseña, sino las claves de operaciones y las coordenadas de sus tarjetas (cuando el servicio dispone de doble factor de autenticación/confirmación de operaciones). Así, es frecuente encontrar ejemplares que inyectan código HTML en navegadores, especialmente en Internet Explorer, no sólo para capturar login y pass, sino para inyectar después elaborados formularios HTML donde se insta a los usuarios a introducir la totalidad o parte de su tarjeta de coordenadas. Son frecuentes también los especímenes que capturan todo el tráfico GET/POST en determinados dominios pertenecientes a las bancas en línea, con la esperanza de poder comprometer así datos como la clave de operaciones.

También se han visto ejemplares, menos numerosos, orientados a explotar problemas en Firefox, aunque su número es muy inferior a los que están orientados a Internet Explorer. También los hay que pasan del navegador, ya que actúan sobre el sistema, como por ejemplo, los que modifican los DNS para transportar al usuario a páginas maliciosas, independientemente del producto de navegación que utilicen.

Sea como fuere, a día de hoy, los troyanos se diseñan para funcionar principalmente en Windows. Las razones son varias, siendo la principal que es la plataforma mayoritaria, y por tanto, atacándola, se maximizan la dispersión y rentabilidad de los ataques. Me juego una cena con quien quiera a que la mayoría de factorías de malware, especialmente las últimas en la cadena (las que compran y modifican malware, no las que desarrollan en sí los especímenes) no están capacitadas para programar agentes maliciosos en entornos UNIX, pero este tema no lo vamos a discutir ahora :)

Otra buena razón para que el malware mayoritario esté pensado para plataformas Microsoft y en menor medida, pero creciente, para Mac OS, es el modelo de software privativo con cobro por licencias, que hace que muchos usuarios descarguen software ilegal de redes de pares y servicios de filesharing en vez de adquirirlos de una manera legítima, pagando las correspondientes licencias. Una buena parte del malware reside y se dispersa mediante los cracks y keygens que acompañan descargas ilegales de software. Es frecuente ver también ejecutables acompañando a los ficheros ZIP o RAR que contienen álbumes musicales, o en las colecciones de fotos pornográficas. También abundan en las redes de pares ficheros maliciosos diversos que explotan vulnerabilidades de reproductores multimedia.

El objetivo de este texto es describir cómo podemos acceder a nuestra banca mediante un sistema virtualizado, lo que neutralizará la mayoría de probabilidades de sufrir un robo de credenciales. Y con la gran ventaja de emplear productos seguros y sin coste alguno para el usuario. Adicionalmente hablaremos de:

• Los riesgos que no mitiga el uso de una máquina virtual no Microsoft.
• Las características que debe tener un servicio de banca en línea para minimizar las probabilidades de sufrir fraude consumado.
• Las actitudes que harán que la probabilidad de sufrir fraude sea la menor posible.

Cómo acceder a un servicio de banca en línea a través de una máquina virtual

1. Descargar e instalar Sun VirtualBox xVM

Este producto se puede descargar gratuitamente en http://www.virtualbox.org/wiki/Downloads. El artículo está orientado a usuarios Windows, con lo que hay que descargar e instalar la versión for Windows hosts . Lo normal es instalar la versión x86, a no ser que tengas un AMD 64 y un Windows 64 bits (lo que a día de hoy, no es lo habitual)

Una vez ejecutado, el aspecto que debe presentar el producto debe ser similar al siguiente:

2. Descargar una distribución Linux para ejecutar en la máquina virtualizada

Opciones en este punto hay muchas, pero por tradición os aconsejo Slax. Se puede descargar en http://www.slax.org/get_slax.php?download=iso. Una vez descargado este fichero ISO (190 MB ocupa la versión 6.0.9) lo colocaremos en una ruta fácil de recordar, por ejemplo, C:\Virtualizacion

3. Preparación de la máquina virtual

Los pasos a seguir son los siguientes:

1. Pulsar "Nueva máquina virtual", lo que disparará un asistente para crear la máquina. Pulsamos "Next" (el producto tiene una curiosa mezcla entre inglés y español y hay algunas secciones no traducidas)
2. En la pantalla, damos nombre a la máquina virtual y seleccionamos el tipo de sistema a virtualizar. No pasa nada si no lo especificamos, pero como sabemos que Slax es Linux, así lo hacemos constar. Una vez terminado, pulsamos "Next".

   

3. Especificamos el tamaño de la memoria base que será asignada a la máquina virtual. Se recomiendan 256 MB, pero podemos ampliar tranquilamente a, por ejemplo, 1024 MB.
4. Para asignar disco duro, nos encontramos con que de entrada, no hay disco duro asignado. Pulsamos "Nuevo" y se dispara un nuevo asistente para crear el disco duro a utilizar por la máquina virtual.
5. Seleccionamos, dentro del asistente, "Imagen de expansión dinámica", lo que creará un espacio adaptativo para las necesidades de disco duro de la distribución a ejecutar.
6. Damos tamaño al disco duro asignado, por defecto aparecen 8 GB, pero se puede reducir tranquilamente a una cantidad más razonable, por ejemplo, 1 GB. Pulsamos "Next" cuando hayamos terminado este paso.

   

7. Pulsamos "Finish" para finalizar el proceso de creación del disco duro, lo que nos devolverá a la pantalla "Disco Duro Virtual" que habíamos encontrado antes, pero con la diferencia de que ahora ya tenemos un disco duro asignado. Pulsamos "Next" y luego "Finish" para terminar el asistente.
8. Una vez hayamos completado los pasos anteriores, el aspecto que debe tener la aplicación debe ser similar al siguiente:

   

9. Toca por último asignar la imagen ISO de Slax que hemos descargado como el sistema a ejecutar. Para ello pulsamos en "Configuración" y dentro de ese menú, en el submenú "CD/DVD ROM". Marcamos la casilla "Monta la Unidad de CD/DVD" y seleccionamos el tipo "Archivo de Imagen ISO". Pulsamos el icono a la derecha de la opción "Archivo de Imagen ISO" y agregamos la imagen ISO. Se dispara un nuevo asistente:

   

   Pulsamos "Agregar" y seleccionamos la imagen ISO que hemos descargado (la que hemos guardado en C:\Virtualizacion). Cuando hayamos localizado la imagen pulsamos "Seleccionar". Retornamos al menú anterior, el cual debería presentar un aspecto similar al siguiente:

   

10. Pulsamos "Aceptar", y ya estamos en condiciones de ejecutar la máquina virtual.

4. Ejecución de la máquina virtual

Basta con pulsar el botón "Iniciar" en la pantalla principal de Sun VirtualBox xVM. Debería presentarse la siguiente ventana:

La mejor opción es la ejecución con entorno gráfico KDE, que se disparará automáticamente. Suele ser normal que aparezca un mensaje de memoria baja, dependiendo de la reserva de memoria que hayamos hecho antes. Aunque este error no bloquea la máquina, hace recomendable aumentar la cantidad de RAM asignada a la máquina para que funcione adecuadamente. Esto se puede hacer en el menú "Configuración" de Sun VirtualBox xVM.

Finalmente, tras la carga, el sistema se inicia. Ya tenemos un Linux Slax corriendo virtualizado, con el que podemos navegar a nuestra banca en línea tranquilamente. Con un doble click en la ventana, el teclado y el ratón funcionarán en la máquina virtual. Si queremos hacerlo en el sistema Windows, pulsamos el botón control derecho, y saldremos de la máquina.

5. Navegar con la máquina virtual

Slax cuenta con un cuidado aspecto gráfico y contiene numerosas aplicaciones, entre las que está Konqueror. Como la máquina virtual toma la configuración de red de la máquina Windows subyacente, no hay que configurar nada. Estamos listos para navegar.

El objetivo de todo lo que hemos hecho es poder acceder a nuestra banca en línea a través de un producto ajeno a los problemas de seguridad y condiciones de contorno que explotan habitualmente los troyanos. Al emplear una máquina virtual basada en UNIX, los troyanos mayoritarios no funcionarán, sencillamente, porque no pueden funcionar en un entorno Linux. Tampoco funcionarán las amenazas específicas orientadas a Internet Explorer, Firefox sobre Windows y en general, a cualquier amenaza que intente explotar problemas de seguridad en Windows y los productos que lo suelen acompañar (Java, Flash, etc). Pero no es oro todo lo que reluce ...

¿De qué NO protege una máquina virtual?

Aunque la ganancia en seguridad en nuestras operaciones en línea es más que notoria, la virtualización no es la panacea, y existen algunas problemáticas que no se resuelven empleando estas soluciones:

1. Phishing convencional y en general, cualquier ataque de ingeniería social. Si sigues un enlace falso que te lleva a una página modificada, e introduces tus datos, da igual que lo hagas en Linux o en Windows: tus datos estarán en manos de los atacantes.
2. Sniffing o captura de tráfico. El tráfico provocado por nuestras acciones en la máquina virtual sale a Internet por el mismo adaptador que el sistema Windows, con lo que el tráfico generado puede ser capturado por agentes maliciosos. Desde el punto de vista del adaptador, si la banca opera en HTTPS (la amplia mayoría lo hace hace tiempo), el tráfico que podemos capturar estará cifrado y será inservible. Sin embargo, un proxy instalado entre el navegador y la salida a red podría capturar en claro nuestros datos, aunque esta posibilidad es descartable empleando una distribución como Slax, ya que requiere contaminación en origen, la cual, aún siendo factible, es de escasa probabilidad.
3. Contaminación de nuestro enrutado. Si nuestro router está comprometido, es posible redirigir el tráfico a páginas maliciosas desde el hardware (routers, principalmente), aunque hayamos tecleado en el navegador de la máquina virtual una página legítima. Esta probabilidad, aunque existe, es de reducida probabilidad, pero debe ser tenida en cuenta.
4. Contaminación de la distribución en origen. No es algo frecuente, pero ha sucedido. Este problema se puede solventar comprobando que las sumas de control del fichero ISO que descargamos coinciden con los anunciados por los autores de la distribución.
5. Facilitar las claves y las tarjetas de coordenadas a otras personas. Da igual si usas Windows o Linux. Si le das las claves a alguien, esa persona puede ejecutar en tu nombre operaciones, con lo que conviene extremar las precauciones en este sentido.
6. En general, gestionar mal la conservación confidencial de las claves, facilitando que en un evento de pérdida, despiste o sustracción alguien se haga con la totalidad de elementos necesarios para operar.

¿Qué características en un servicio de banca en línea dificultan la consumación del fraude?

1. Tráfico HTTPS, por las razones que hemos comentado anteriormente.
2. Empleo de doble factor. Los dobles factores pueden estar en la autenticación, en la confirmación de operaciones o en ambos sitios. La ventaja de disponer de doble factor de autenticación es impedir el acceso a nuestros datos financieros a los usuarios ilegítimos, que aunque no puedan operar en ausencia de claves de operación, pueden obtener un perfil para ejecutar acciones de extorsión.
3. Alertas al móvil. Un sistema que nos envíe un mensaje cada vez que realizamos una operación o cambiamos una clave puede ayudarnos a identificar preventivamente un acceso ilegítimo.
4. Servicio real 24x7 de atención telefónica y bloqueo, para poder requerir, ante la sospecha de compromiso, el bloqueo de nuestra cuenta en línea, así como de los productos financieros asociados (tarjetas, especialmente). Estos servicios deben además ser preventivos, ejecutando autónomamente bloqueos ante la sospecha de contaminación.
5. Existencia de límites para operaciones. La existencia de límites permite mitigar para los distintos canales el importe de las cantidades que nos pueden sustraer, en caso de que finalmente seamos víctimas de un fraude.

¿Qué actitudes minimizan los riesgos de ser vícitmas del fraude?

1. Navegación prudente y responsable. No visitar enlaces dudosos es una garantía de éxito. Extremar las precauciones en las redes P2P de intercambio, donde es frecuente encontrar malware.
2. Mantenimiento adecuado del sistema operativo y sus aplicaciones. Tener al día los productos, instalando los parches recomendados, es siempre un factor mitigante.
3. Aunque maniobremos en Internet con una máquina no Microsoft, conviene tener instalado y actualizado un producto antivirus, para minimizar los impactos restantes que procedan del correo, de la mensajería instantánea, de las redes P2P, etc.
4. Sentido común. Recelar de lo sospechoso siempre conduce a la toma de decisiones adecuadas.

Un saludo para todos,