Teclados virtuales en la identificación del cliente

4 respuestas

Las críticas a la usabilidad de los teclados virtuales (como la que se incluye en el blog de Emergia) suele dejar de lado el hecho de que NO AÑADEN SEGURIDAD.

Al contrario, estos recursos son paliativos de acción a corto plazo, que enmascaran el verdadero problema.

En el argot técnico, este tipo de soluciones merecen el calificativo que expresa el término anglosajón  SnakeOil, en referencia al producto de buhoneros que pretendían curar cualquier mal. En España tenemos otros términos igualmente gráficos «El ungüento amarillo» o «El bálsamo de Fierabrás«. Ultimamente me decanto por el término «crecepelo» igualmente desprestigiado como solución a cualquier problema.

Los teclados virtuales, pretenden resolver el problema de los keylogger y otros troyanos semejantes. La mala noticia es que este tipo de software no solo captura los golpes de tecla, sino también los clicks de ratón junto con el área gráfica que está bajo el ratón.

Esto quiere decir que los teclados virtuales, aparte de ser un engorro para el usuario, no impiden la captura de claves por parte de los administradores del «malware«. De hecho, el reposicionamiento del teclado o los cambios de ubicación de las teclas, es un artificio que puede provocar la admiración del usuario creando la premisa de «raro igual a seguro» que implica una sensación de falsa seguridad cuando encuentra el mismo artificio en las páginas suplantadas (objetivo del phishing).

Recomendamos a las entidades financieras que todavía usan teclados en pantalla que los eliminen a la mayor brevedad posible y los sustituyan por otras medidas de seguridad realmente efectivas.

 

4 comentarios en “Teclados virtuales en la identificación del cliente

  1. Pingback: 1.000.000 de visitas « Todo es electrónico

  2. Pingback: Teclado virtual en banca electrónica: no sirve contra los troyanos. « Todo es electrónico

  3. Avatar de inzainza Autor

    Por ejemplo, un tipo de troyano.keylogger denominado PWSteal-Bancos-Q, tiene esta propiedad.

    Puedes ver más información en: http://www.spyware-war.com/troyanos-virus/troyano-que-registra-hasta-las-acciones-del-raton-2.html

    Hay diferentes soluciones, una de las cuales es utilizar sistemas de «doble factor» de autenticación. Ciertamente, las soluciones de «doble factor» pueden ser muchas, pero con un simple teléfono móvil se me ocurren varias posibilidades.

    Responder
  4. Avatar de Michel GuizadoMichel Guizado

    Si no son seguros los teclados virtuales, que otras alternativas proponene, me dicen no uses esto pero no me dan opciones…
    Además agradecería nos indiquen que tipo de malware son los que capturan el click como la imagen sobre el mismo.

    Gracias.

    Responder

Deja un comentario

Este sitio utiliza Akismet para reducir el spam. Conoce cómo se procesan los datos de tus comentarios.