He leido el artículo de Enrique Dans sobre las nuevas herramientas forenses de Microsoft, y en esta ocasión no puedo estar de acuerdo con él.

En todos los sistemas operativos se dejan rastros de actividad, en particular logs de diferentes tipos, y existen diferentes herramientas, en Windows, en Mac y en Linux para recuperar esa información que ayuda en la investigación de delitos (y, a veces en la recuperación de datos por el dueño legítimo de la máquina tras borrados accidentales).

El que haya una herramienta más no puede parecer mal a nadie. Y desde luego, no se trata de una puerta trasera.

El próximo dia 10 de junio de 2008 tendrá lugar la quinta edición del Foro de las Evidencias Electrónicas en el tradicional enclave del Hotel Ritz de Madrid.

Una nutrida asistencia de especialistas en la lucha contra el delito de base informática y de expertos en el valor probatorio de los documentos electrónicos debatirá en torno a las importantes novedades legislativas de los últimos meses, abordando temas no exentos de controversia.

Una gran oportunidad para los patrocinadores que ven en este consolidado evento el puente más firme entre el mundo del derecho y el de la tecnología.

He creado una página fija para la Campaña “Ordenadores con chipetera”. Por favor difundidla entre vuestras amistades y comunicadme las páginas que hagan referencia a la campaña, para que pueda incluir la reseña.

Igualmente, si conoceis modelos de ordenador que tengan lector de tarjeta chip (especialmente portátiles, porque los de sobremesa lo resuelven fácilmente con un teclado que lo incluya) hacédmelo saber para que los incluya en la lista.

Desde hace unos cuantos años vengo defendiendo que el mensaje que dan las entidades financieras en los casos de phishing no son correctos. No se trata de que “le hayan engañado al cliente por no ser cuidadoso con las claves” sino que “han engañado al cliente porque el sistema de autenticación que ofrece el banco favorece el engaño“.

Efectivamente, la “ingeniería social” diseña engaños que en ocasiones tienen bien poco de tecnologicos, pero que son muy creibles por la escasa interiorización de los usuarios sobre las materias de seguridad en entornos internet. Pero es que los usuarios no tienen por qué ser especialistas, y las entidades financieras deberían definir “experiencias de usuario” comunes con herramientas básicas de seguridad que permitieran a los usuarios detectar cuando están siendo engañados.

El actual enfoque de la banca frente a las redes de phishing se parece al de las gacelas que se plantean escapar del león. No se trata de correr más que el león, se trata de correr más que la gacela más lenta, que es la que sucumbirá en la carrera. Es decir, cada entidad no se plantea resolver el problema, sino dificultar el fraude solo un poco más que la entidad vecina, contando con que los delincuentes se cebarán primero sobre las entidades más expuestas.

Al final perdemos todos. Los clientes por las molestias causadas, y las entidades financieras por la pérdida de credibilidad, que es lo mismo que la pérdida de confianza. El principal activo de las entidades financieras.

Yo llevo muchos años clamando en el desierto por lo que me parece un enfoque reprobable del tratamiento de la seguridad por las entidades financieras (salvo honrosas excepciones como la de Caixa Galicia), y mi principal crítica es que las entidades no hayan sido capaces de consensuar el modelo común de gestión de la seguridad de sus usarios de banca electrónica, pese a las advertencias de los especialistas y los informes emitidos en el marco del CCI (Centro de Cooperación Interbancaria).

Por otro lado, en cierto modo no me extraña. Si cada vez que las entidades se reunen para cualquer tema la Comisión Nacional de la Competencia ve fantasmas de concertación anticompetitiva, se te quitan las ganas de buscar el bien común.

(Otro dia hablaré de mi percepción sobre la “incompetencia” de la Comisión Nacional de la Competencia).

Así que el artículo aparecido hace unos días en El País, tiene, en mi opinión, un carácter agitador imprescindible. En el Banco de España “ya no cuela” el tema de la responsabilidad del usuario, y es preciso ponerse serios con el problema de la seguridad.

(También estoy tentado de escribir un artículo con mis “recetas”)

El artículo, de Piedad Oregui, apareció en la sección salmón de El País el domingo 13 de abril de 2008.

Tirón de orejas para la banca

El Banco de España critica a las entidades financieras por lavarse las manos ante los casos de fraudes electrónicos

El Banco de España lo tiene claro: las entidades financieras no pueden lavarse las manos en lo relativo al fraude electrónico. Su servicio de reclamaciones -las primeras quejas por este motivo comenzaron a recibirse a finales de 2005 y, desde entonces, se han ido acelerando- es contundente. “No parece equitativo ni proporcionado que las entidades eludan sin más su responsabilidad, dirigiendo a sus clientes a los tribunales de justicia y haciendo recaer en los mismos la totalidad de los importes defraudados. No se estima ajustado a las buenas prácticas bancarias que las entidades, al amparo de las cláusulas contractuales que les exoneran de toda responsabilidad, se desentiendan de los problemas de sus clientes sin realizar actividad probatoria alguna que permita determinar lo realmente sucedido; debiendo, en definitiva, demostrar un cierto grado de diligencia en la gestión de estas reclamaciones de sus clientes. Éstos -no debe olvidarse- han depositado en aquéllas no sólo sus fondos, sino también su confianza”.

Clientes indefensos

“Las entidades”, prosigue el banco emisor, “al hacer recaer en sus clientes toda la responsabilidad, así como la carga de la prueba de haber actuado correctamente, les colocan en una situación de inferioridad e indefensión, cuando son las propias entidades las que les han ofrecido el sistema y han elegido el mecanismo de seguridad que han estimado más conveniente, resultando, por tanto, que cualquier fraude operado pondría en evidencia la debilidad del sistema de autenticación utilizado”.

Son varias las razones que el Banco de España aduce para justificar este tirón de orejas a la banca, y ello pese a que, desde su punto de vista, “con carácter general, las entidades de crédito cuentan con medidas de seguridad internas muy eficaces y acertadas a efectos de prevenir y minimizar el fraude electrónico”. Para la máxima autoridad monetaria, en primer lugar, “estas medidas, muy importantes en su fin, no son suficientes para eludir los riesgos, pues las actuales sofisticaciones de los fraudes electrónicos superan las posibilidades del cliente medio que, en general, no es un experto en seguridad informática”.

En segundo lugar, por razones técnicas: “Es de sobra conocido que los sistemas de autenticación ofrecidos a los clientes de banca electrónica por la mayoría de las entidades de crédito son sistemas débiles o de un solo factor (una clave fija o aleatoria), a pesar de que la mayoría de los expertos en seguridad informática coinciden al señalar que las medidas de autenticación son más eficaces si incorporan dos factores: algo que el cliente conoce (una clave) y algo que el cliente tiene (un token, un teléfono móvil, etcétera). Estos sistemas de doble factor podrían evitar la captura indebida de la firma electrónica y, por consiguiente, el fraude”.

En tercer lugar, por una cuestión de información: “Si bien en los contratos se informa al cliente de las condiciones para operar y de las consecuencias que le depararía un uso indebido de sus claves, no se le suele advertir del riesgo de que éstas puedan ser capturadas por los ciberdelincuentes para su posterior uso con fines delictivos ni de que, en este caso, deberá soportar los quebrantos ocasionados”. Por último, la reprimenda tiene también un componente de “falta de responsabilidad”. “Tampoco podemos olvidar que el usuario de banca electrónica puede acceder a este servicio no sólo desde su equipo en su domicilio sino también desde lugares públicos como bibliotecas, hoteles o cibercafés y, en muchos casos, sin necesidad de un puesto fijo gracias a las redes inalámbricas”.

“Algunas entidades dan publicidad a esta facilidad en su página web”, prosigue el razonamiento del Banco de España, “destacando que la banca electrónica permite realizar todo tipo de operaciones bancarias a través de Internet desde cualquier lugar en el que se encuentre y a cualquier hora. Dicho esto, puede resultar un tanto incongruente que si la entidad no ha limitado expresamente las vías de acceso a este canal, pretenda que su cliente sea el único responsable de la falta de seguridad del equipo a través del cual se efectuó la operación fraudulenta”.

Responsabilidad de la banca

Por último, desde el Banco de España se recuerda que la recientemente publicada Directiva 2007/64/CE del Parlamento Europeo y del Consejo de 13 de noviembre de 2007 sobre servicios de pago en el mercado interior establece: “Cuando un usuario de servicios de pago niegue haber realizado una operación ya ejecutada (o alegue que ésta se realizó de manera incorrecta), corresponderá a su proveedor demostrar que la operación fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico o cualquier otra deficiencia, teniendo en cuenta que la utilización del instrumento de pago registrada por el proveedor no bastará necesariamente para demostrar que la operación fue autorizada por el ordenante, ni que éste actuó de manera fraudulenta o incumplió deliberadamente o por negligencia grave una o varias de sus obligaciones”.

Cuadro: Los fraudes más habituales

• Fraudes derivados de la utilización con fines fraudulentos de las claves operacionales de clientes de banca electrónica, que tienen como resultado la realización de transferencias de fondos de las cuentas de los clientes a las de terceras personas (que se utilizan como intermediarios, comúnmente conocidos como “muleros”), desde las que a su vez se dispone de los fondos, normalmente en efectivo o mediante envío a través de un establecimiento de cambio o de envío de dinero como Western Union, perdiéndose la pista de la operación, lo que dificulta enormemente la localización de los autores de la estafa.
• Fraudes o timos tradicionales a través de páginas web (ofertas falsas de venta de productos o servicios difundidos a través de una determinada página web).
• Casos de suplantación de identidad en los que mediante la utilización de documentación robada -DNI, NIE o pasaporte- se abren cuentas o se contratan operaciones a nombre de la persona que ha sido objeto del robo o sustracción.

Los fraudes derivados del uso de claves de acceso y operación en la mayoría de los casos se originan por la captura de dichas claves a través de alguno de los siguientes sistemas:

• Phishing: a través de un correo electrónico, generalmente enviado de forma masiva, el usuario recibe un aviso de una entidad de crédito que le indica la necesidad de visitar el sitio web de dicha entidad e introducir sus datos de acceso. La dirección desde la que se envía este correo es generalmente manipulada para confundir al usuario aparentando proceder de una cuenta de correo legítima de la entidad. Este correo incluye un link a la URL que el usuario ha de visitar y que le dirige a un sitio web que no se corresponde con el de la entidad afectada, aunque suele presentar un aspecto y funcionalidades similares. Todos los datos introducidos en la página fraudulenta son convenientemente registrados por los responsables del fraude siendo en algunos casos almacenados en algún fichero de la propia web o enviados a una cuenta de correo electrónico.
• Pharming: de forma similar al phishing, el fraude se produce por la redirección del usuario hacia una página que suplanta la imagen de la entidad de crédito correspondiente y que recoge los datos de acceso a los servicios online introducidos por el usuario. En este caso, la redirección del usuario hacia páginas distintas de la legítima de la entidad no se realiza con técnicas de ingeniería social sino que se debe a una modificación previa del DNS. Los primeros incidentes de este tipo se debían a una modificación en el fichero host del equipo del usuario, pero nuevas variantes apuntan a la utilización de servidores DNS externos comprometidos o a modificaciones en la configuración del router que proporciona al usuario un acceso a Internet por banda ancha. Este tipo de fraude electrónico se aloja por tanto bajo el dominio legítimo de la entidad cuya resolución DNS proporciona una dirección IP distinta de la legítima.
• Malware bancario (troyanos, keyloggers, etcétera): bajo este epígrafe se enmarcan todos aquellos casos de fraude a través de cualquier tipo de malware. Un ejemplo de mecanismos de este tipo son los keyloggers, que registran las pulsaciones del teclado y las envían para su posterior utilización sin el conocimiento del usuario. Los capturadores de pantalla presentan un funcionamiento y prestaciones similares. Otros códigos maliciosos detectan cuando el usuario accede al sitio web de una entidad de crédito y, de manera local, inyectan el código correspondiente para capturar las claves de acceso que el usuario introduce.
• Estafa piramidal / hoax / cartas nigerianas y otros timos tradicionales distribuidos por correo electrónico: en todos los casos se trata de intentos de fraude en los que, bajo diferentes estrategias de ingeniería social, el timador pretende convencer al usuario de que le adelante una determinada cantidad de dinero (que, por supuesto, no volverá a recuperar) o sus datos bancarios o personales (que serán posteriormente utilizados por el timador). Suelen distribuirse a través de correos electrónicos enviados de forma masiva.

Fuente: Servicio de Reclamaciones del Banco de España.

Gracias a las confidencias de Sisco Sapena, hemos sido los primeros en anunciar la disponibilidad de los servicios de SMS certificado que ha lanzado Lleida.Net

Ahora, coincidiendo con su presencia en una feria Wireless de Las Vegas, tenemos ocasión de anunciar justo antes de que se haga público la disponibilidad de un interesante dictamen jurídico que señala la plena validez probatoria de este tipo de notificaciones.

Según el documento redactado por D. Ángel García Fontanet, expresidente de la Sala Contencioso Administrativo del Tribunal Superior de Justicia de Cataluña las notificaciones realizadas a través del teléfono móvil (básicamente por SMS, pero incluso por comunicación oral) tienen valor probatorio si consta la vinculación del teléfono móvil con la persona a la que se ha de notificar y si consta el contenido de la comunicación y el momento en que se practicó, así como los detalles específicos de la notificación como el medio empleado y la identificación de origen y destino de la comunicación.

Hace extensa referencia a varias normas que en nuestro ordenamiento jurídico expresamente señalan la validez de las notificaciones telemáticas y a varias sentencias en las que el uso del móvil y específicamente de SMS es determinante en la relación de hechos probados, o incluso cuando no se dispone de capacidad probatoria por haber borrado un SMS y carecer de fehaciencia la comunicación.

Del informe pueden entresacarse interesantes conclusiones, como la que referencia al libro “Notificaciones Telemáticas” de Eduardo Gamero Casado:

“Afirma, con razón, que a pesar del rigor normativo en el diseño de la práctica de las notificaciones, lo que resulta esencial es que no genere indefensión al destinatario, como se desprende, entre otros,  del contenido de las SSTS  de 14.10.96 y 29.06.96 (AR 7271 y 5832).

Esta indefensión no puede alegarse cuando esta tiene su origen en causas imputables a quien dice haberla sufrido, por su inactividad, desinterés, impericia o negligencia (SSTS 04.05.98 y 25.06.97, AR 4719 y 5310).

Se prima la realidad material de lo acontecido a las incidencias de la tramitación formal.”

Ayer tuve la ocasión de colaborar con Caixa Galicia en el lanzanmiento una nueva forma de contratación electrónica, pienera entre las entidades financieras y que fue presentada en rueda de prensa en La Coruña.

En virtud de este desarrollo, las personas que deseen abrir una cuenta Caixa-Galicia-On podrán utilizar su DNI electrónico (DNIe) y otros certificados reconocidos para firmar el contrato por Internet. Todo desde la comodidad de su casa y sin tener que desplazarse a las oficinas de la caja de ahorros o al buzón de correos.  

El nuevo DNIe incluye un chip que contiene dos certificados, uno de autenticación y otro de firma. Algunos bancos y cajas, entre los que se encuentra Caixa Galicia ya han utilizado el certificado de autenticación para identificar a sus clientes cuando acceden a su página web. Caixa Galicia es la primera entidad que habilita el uso del certificado de firma electrónica y posibilita así la contratación de servicios financieros 100% online.  

Este anuncio se produce en el marco de los procesos de innovación que Caixa Galicia ha impulsado desde hace unos años. 

En Mayo de 2002, Caixa Galicia lanza su Oficina por Internet, On Caixa Galicia, con el fin de satisfacer la creciente demanda por parte de los clientes del uso de nuevos canales para la contratación de productos y servicios financieros.
 
Con esta iniciativa, Caixa Galicia marcaba distancias respecto al sector de cajas de ahorro por su mayor y más avanzado uso de las nuevas tecnologías y canales en su actividad comercial.

En ese momento, el proceso de contratación online era doble: por un lado, estaban los clientes de Banca Electrónica de la Caja gallega, que podía contratar productos financieros de manera online, utilizando sus claves como firma de los contratos; y por otro lado, los nuevos clientes, que por motivos de seguridad, debían identificarse a través de un sistema de correspondencia convencional.

Desde el año 2002, el avance tecnológico ha sido constante, y Caixa Galicia ha liderado diferentes iniciativas relacionadas con las mejoras de la autenticación de clientes en los servicios web, con el uso de la telefonía móvil o la funcionalidad disponible en los cajeros automáticos. De hecho, el DNI Electrónico ya se utiliza en Caixa Galicia como sistema de autenticación para acceder a su servicio de Banca Electrónica, Caixa Activa, a través de la página web de la entidad. 

El servicio que hoy se anuncia, reconoce el derecho de los ciudadanos a utilizar el DNI electrónico en sus transacciones telemáticas, y por ello se enmarca en un conjunto de iniciativas legislativas que se han producido durante el año 2007, que afectan a las entidades financieras y a otros sectores, y que se han tenido en cuenta de forma pionera al desarrollar el proyecto:

• Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos.
• Ley 22/2007, de 11 de julio, sobre comercialización a distancia de servicios financieros destinados a los consumidores.
• Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información.

El gobierno ha invertido más de 315 millones de euros en el despliegue del DNI electrónico. Próximamente se completará el despliegue de equipamiento en las comisarias de expedición del DNI y ya no será posible conseguir el antiguo DNI al ir a renovar.

En Marzo de 2008 se superará la barrera de los 3 millones de DNIe emitidos y a un ritmo de 20.000 unidades expedidas cada dia,  se estima que 2008 finalizará con más de 6 millones de documentos.

El DNIe va a ser un instrumento de capital importancia en la modernización de las relaciones entre ciudadanos, empresas y administraciones públicas. Muy pronto será habitual utilizarlo para la contratación de todo tipo de servicios por Internet, desde abrir una cuenta bancaria a contratar una hipoteca, pasando por la contratación del seguro del coche o el ADSL.

A la vista de esta tendencia,Caixa Galicia estima para que este año 2008, el 5% de los nuevos contratos de las modalidades de cuenta on-line se perfeccionarán mediante firma electrónica, y que en el año 2009 este sistema se extenderá al 20% de los contratos.

Según Antonio Vázquez de Parga, Director de Estrategia Digital de Caixa Galicia: “El DNI electrónico puede suponer una auténtica revolución para el sector bancario. Posibilita nuevos servicios y vías de comunicación. La adaptación de cajeros al nuevo DNIe y la firma electrónica de contratos forman parte de  una ambiciosa estrategia de modernización de Caixa Galicia enfocada a ofrecer servicios más cómodos, ágiles y seguros a nuestros clientes.”

Para la prestación de este servicio Caixa Galicia ha llegado a un acuerdo con “Tractis“, una plataforma de contratación electrónica integrada con autoridades de certificación a nivel internacional y que permite la generación, almacenamiento y preservación de evidencias electrónicas con plena validez legal. Para mi es una doble satisfacción como consultor, por un lado por los matices técnicos y legales tenidos en cuenta por Caixa Galicia en el proyecto, y por otro por los considerados en la plataforma Tractis.

En la actualidad, la Oficina Virtual de la entidad gallega cuenta con más de 36.000 clientes y ya supera los 800 millones de euros de volumen de negocio, por lo que se consolida como una entidad de referencia en el sector online.

La compañía californiana Atempo, especializada en soluciones de protección de datos y controlada por Intel Capital, ha cerrado la adquisición de la empresa española Lighthouse Global Technologies. La operación supone la primera adquisición en España del grupo de capital riesgo controlado por el gigante de los chips.

La noticia la daba Cinco Dias.

Hasta el momento, Intel Capital había desarrollado sus operaciones europeas en países como Reino Unido, Alemania, Francia, Irlanda, Suecia, Luxemburgo, Portugal, Dinamarca, Bélgica, Holanda, Italia, Finlandia, Suiza y Noruega. La filial de capital riesgo del gigante estadounidense fue creada en 1991 y, desde entonces, ha invertido 6.000 millones de dólares (unos 4.109 millones de euros) en cerca de un millar de compañías de más de 40 países.

Ahora, su participada Atempo le ha abierto las puertas del mercado español con la adquisición de Lighthouse Global Technologies, compañía especializada en el desarrollo de aplicaciones de archivo de correos electrónicos. La empresa está controlada por sus fundadores, Susana Cumplido, Arthur Riel, Javier Muguruza y José Luis Cumplido, estos dos últimos, creadores también de la firma Galeón Software. Lighthouse tiene su sede en Las Rozas (Madrid), y cuenta con una filial en Stanford (EE UU). Su plantilla actual ronda los 130 empleados, la mayoría profesionales de las tecnologías de la información.

Los directivos de Lighthouse se integrarán en Atempo, que mantendrá abiertas las instalaciones de investigación y desarrollo que el grupo español posee enMadrid. Desde estas dependencias reportarán al responsable de tecnología de Atempo, cuya sede central está en Palo Alto (California).

Los responsables de la empresa estadounidense no quisieron indicar el importe de la operación ni la cifra de ingresos obtenida por Lighthouse en el último ejercicio, aunque aseguraron que la firma ha incrementado sus ingresos más de un 30% anual en los últimos ejercicios.

 “El sector del almacenamiento de correos y otros documentos donde se mueve Lighthouse mueve al año en torno a 1.100 millones de dólares y crece a un ritmo anual cercano al 50%”, explica Fabrice de Salaberry, vicepresidente de Ventas de Atempo para Europa, Oriente Próximo y África (EMEA).

Estrategias

El ejecutivo indica que, con la compra, Atempo cumple con los requisitos de ampliar su cartera de productos tecnológicos y fortalecer su internacionalización. “Formaban parte de la estrategia trazada en 2007 cuando Intel Capital, Steelpoint Capital Partners y Ridgewood Capital decidieron inyectar 22 millones de dólares (unos 15 millones de euros) en la última ampliación de capital”, dice. Salaberry afirma que la compra de Lighthouse permite a Atempo atender a las necesidades de protección de datos y archivos digitales de compañías grandes y medianas. De hecho, señala que el sistema ETrail Digital Archive, desarrollado por la firma española, incorpora funcionalidades de gestión para la conservación, recuperación y adecuación de los datos a la legislación.

Está adaptado a las normativas contra el lavado de dinero, sobre comercio electrónico o de buen gobierno corporativo como la ley estadounidense Sarbanes-Oxley. “Nosotros ahora facilitaremos la expansión internacional de los productos de Lighthouse a través de nuestra estructura comercial”, afirma Salaberry. En estos momentos, Atempo cuenta con oficinas en países como EE UU, Reino Unido, Australia, China, Francia, Italia o Alemania.

También va a contribuir a incrementar su cartera de clientes. Según su página web corporativa, Lighthouse Global Technologies indica que entre sus clientes figuran entidades financieras españolas como Banco Santander, Banesto y Seguros Caser, y compañías como Telefónica, Induyco, Iberpistas (Abertis), Celeris, Renault y Telvent, filial de Abengoa.

Ayer comentaba el nombramiento de un amigo en SEPFRA.

Hoy voy a hacer un extracto de algunas recomendaciones de SEPFRA para protegerse, detectar y reaccionar contra el fraude on-line y “off-line”.

Este es el enlace para acceder a todas las recomendaciones. VISA también tiene recomendaciones.

Las destinadas a internautas:

• Sospeche cuando reciba e-mails de remitentes desconocidos. Ante la duda, bórrelos. No abra ningún enlace o documento adjunto, ya que puede ser la puerta de entrada de un programa maligno, como espías y caballos de Troya.
• No responda nunca a e-mails relativos a supuestos premios ganados en la lotería, ofertas de trabajo sospechosas, propuestas de realización de transferencias bancarias desde otros países a su cuenta, peticiones de auxilio de personas que no pueden disponer de su dinero ?. Son todos ellos trucos para acceder a sus datos personales o estafarle.
• No participe en “cadenas” (e-mails con noticias curiosas o advertencias, como virus inexistentes, que se le solicita que reenvíe a sus amigos o conocidos), el objetivo de muchas de ellas es recopilar direcciones de e-mail para su posterior utilización en campañas de spam (correo basura masivo) o phishing.
• Mantenga actualizados los sistemas de seguridad de su equipo (antivirus, firewall y antispyware) así como la última versión del navegador.
• No proporcione nunca datos o claves bancarias en páginas web a las que se acceda pinchando enlaces desde mensajes de correo electrónico. Incluso aunque no parezcan peticiones de datos. Incluso cuando no sean páginas de entidades financieras sino de servicios que pueda tener lógica que tengan sus datos bancarios como la AEAT y otros organismos públicos. Acceda a su entidad bancaria y a los servicios seguros tecleando usted mismo la dirección web en la linea de direcciones URL del navegador y comprobando el certificado electrónico SSL.
• Evite acceder a servicios de banca electrónica desde ordenadores públicos (universidad, cibercafés, CDTs, ferias, ayuntamientos, …) ya pueden no cumplir los requisitos mínimos de seguridad. Existe además el riesgo añadido de que alguien pueda verle introducir sus claves (y copiarlas o memorizarlas). Y casi siempre tienen troyanos que roban claves.
• Cuando se conecte a servicios de banca electrónica, fíjese en la pantalla de su ordenador: la dirección debe comenzar por https:// y en la parte inferior deberá aparecer el símbolo de un candado cerrado, ambos indicativos de que ha entrado en un entorno seguro. El símbolo del candado le permite acceder al certificado de seguridad de la página, que deberá estar emitido a nombre de la entidad con la que está conectado. Si estas señales no aparecen, o el certificado no es válido, cancele la conexión y no introduzca sus claves: probablemente esté en un site fraudulento.

Las generales (todos podemos ser víctimas de suplantaciones):

Nuestros datos personales (número de DNI, de NIE o de Pasaporte, número de la Seguridad Social, número de cuenta bancaria, claves de acceso, datos identificativos como teléfonos, fechas de nacimiento,…) son muy golosos para los delincuentes y debemos asumir nuestra responsabilidad de protegerlos de accesos indiscriminados.

Nuestros datos podrían ser robados de muchas formas

• A través del robo de documentación:
  • Denuncie cualquier robo o pérdida de documentación a la mayor brevedad posible.
• Mediante el robo de correo posta