segun algunas estadisticas y medios informativos BANCOLOMBIA es el banco menos seguro para transacciones electronicas en este momento prueba de ello es la pagina que han sacado dos personas que fueron robadas via internet sin tener habilitadas las cuentas para ese tipo de transacciones

http://www.bancosseguros.com/Default1.htm

elllos crearon esa pagina para hacer un frente comun contra bancolombia y que responda por los robos de que han sido victimas muchas personas

a mi personalmente me preocupa porque tengo una cuenta alli con ahorros para una vivienda

esta es la entrevista que hicieron al diario el tiempo

Junio 1 de 2007
Dos paisas aseguran que es 'fácil' robar cuentas por Internet
http://www.eltiempo.com/justicia/2007-06-02/IMAGEN/IMAGEN-3580626-1.jpg (javascript:incluirObjeto('MOSTRAR_IMAGEN',3580626 ,mostrarImagen)) Foto: Javier Agudelo / EL TIEMPO
Alex Narváez (izquierda) y Miguel Barrientos (derecha) comenzaron a investigar por el robo a una cuenta de una entidad bancaria.


El criador de mascotas Miguel Barrientos y el ingeniero y educador, Alex Narváez, investigaron el tema después que a al primero le sacaron de su cuenta 9 millones 700 mil pesos.
No tener ocultas las direcciones internas de la página (como la del teclado virtual), no identificar si el acceso se está haciendo desde la dirección original del banco, y hasta dejar abiertos a los ladrones informáticos los lenguajes de programación, hacen parte del listado de vulnerabilidades que tendrían las sucursales virtuales de los bancos.
Aunque la entidad ya le devolvió a Barrientos 4 millones 700 mil pesos, este dice que "lo hizo porque el tope máximo de transferencias diarias era de 5 millones y dejaron que el ladrón sacara más, pero que no reconocieron los errores de seguridad de su sitio virtual".
Narváez, de 32 años y ex karateca, se unió a la investigación gracias a su pasión por la seguridad en Internet y que a través de la misma red conoció el caso de su compañero.

Ambos decidieron crear una página web (www.bancosseguros.com (http://www.bancosseguros.com/)) con más de 100 visitas diarias y hasta un video de 45 minutos.

Allí, dicen, se prueba la vulnerabilidad de la banca virtual del país, que en una sola entidad pueda generar casi 16 millones de operaciones mensuales.
Las trampas

Este diario pudo comprobar cómo con un simple correo electrónico que anuncia las últimas fotos de Egipto o de un paseo familiar, se puede 'contaminar' un computador y robar las claves personales del usuario cuando este abre el archivo.

La técnica se denomina phising perfecto (pesca de información) y consiste en atacar las ventanas 'Ieframe' (desde donde se abren los teclados virtuales para escribir las claves personales en Internet) para copiarlas y enviar la información sin que el usuario se dé cuenta.

"Así, una persona accede al teclado virtual pero no desde la página del banco sino del delincuente que le envió el virus por e-mail y le da toda su información sin darse cuenta, pues en la pantalla le aparece su saldo", explica Narváez mientras señala en su computador las fallas que tienen las sucursales virtuales.

Según Narváez, la página de una de las bancas virtuales, por ejemplo, no tiene ocultas sus direcciones internas.

En castellano significa que la información es abierta a cualquier persona y por eso puede ser usada por los ***************ers para enviar los e-mails contaminados y así cometer los fraudes.

"Lo más grave es que tienen errores de validación de las páginas. Es decir, cuando en el computador de una persona se carga el teclado virtual, el sistema no comprueba si se cargó desde la página real o de una ficticia, lo que permite el fraude", agrega.

Barrientos, menos ducho en el tema, pero con la experiencia de la investigación a cuestas, también muestra un software que cualquiera puede bajar de la red, con el que se puede grabar el momento en el que una persona escribe su clave personal en un teclado virtual.

Este 'modelo' de robo es más difícil, pues obliga a instalar el programa en el computador de la víctima y a sacar la información con el riesgo de ser atrapado.

La investigación de Narváez y Barrientos fue expuesta a varias entidades para su revisión.
'Es un sitio seguro'

Bernardo Zapata, gerente de seguridad informática del sector bancario, niega que el trabajo de estos dos hackers compruebe alguna vulnerabilidad de la banca virtual en el país.

"Es seguro, completamente confiable", enfatiza y asegura que en su entidad se contrató desde diciembre una empresa que monitorea las 24 horas del día los posibles ataques de ladrones informáticos a sus clientes para prevenirlos.

Explica que la página tiene sus links abiertos al público "porque si no, sería imposible que se habilitara el teclado virtual".

"No hay errores de validación de la página. Cuando un ladrón informático logra capturar la imagen de nuestro sitio la carga desde otro servidor y por eso no tenemos nada que ver".

Augusto Restrepo, de la Unidad de Canales de Distribución de la banca, explica que en el caso del software que graba la pantalla cuando se escribe la clave, "es en el computador del usuario y no tiene nada que ver con alguna vulnerabilidad del sitio".

En todo caso, Narváez y Barrientos insisten en que es necesario que se tomen medidas de seguridad, en los bancos cuyos clientes han sido víctimas de los ***************ers.

Según datos de la Unidad de Delitos Informáticos de la Dijín, hasta el 2006 se registraron en el país cerca de 2 mil procesos por robos en Internet, especialmente a través de tarjetas de crédito y débito.

En total, se cuantificaron cerca de 3 mil millones de pesos en robos virtuales. Lo grave es que este año ya van 30 casos y 7 internautas han sido judicializados por robo y extorsión.
Ojo con la seguridad de sus cuentas

Revise que la página web donde realiza sus transacciones tenga un candado en la parte inferior y en la barra de dirección aparezca https://.
Nunca abra links o documentos adjuntos de correos electrónicos sin comprobar su origen con su antivirus o si presentan una dirección que nunca ha visitado. Incluso si vienen de personas de confianza.

No conteste o diligencie formularios donde le soliciten información personal o financiera por correo electrónico.

Cuide sus datos, no entregue información financiera ni de identificación en cualquier página de internet ni por correo electrónico.

No comparta su clave secreta.

No utilice computadores públicos para efectuar operaciones financieras, especialmente en sitios como cafés Internet.

Cambie su contraseña por lo menos cada mes y no use nombres de familiares o de gustos personales que sean fácilmente descubiertos.

En algunas entidades bancarias, se inicia una investigación cuando se presenta la denuncia por robo en cuentas. Si se comprueba que el cliente fue el que entregó sus claves no se responde por el dinero.

JUAN DAVID CORREA L.
Corresponsal EL TIEMPO
Medellín

Hace dos semanas en una conferencia de seguridad tuve la oportunidad de conocer a Miguel Barrientos (el de la camisa roja en la foto). El expone una gran cantidad de argumentos para afirmar que hacer transacciones por Internet no es un proceso para nada seguro y que es responsabilidad del banco brindar los mecanismos necesarios para que las transacciones sean seguras.

Todos los argumentos llevan a fallas por parte del cliente, es decir, se dejó atrapar por un Phishing, un Keylogger, etc etc.

Esto es muy complicado porque ellos quieren que exista un sistema donde no tengan que estar pendientes del candadito, de la URL correcta, que si hay algun Spyware instalado, etc.... Esto representa una complejidad alta, especialmente porque para cada mecanismo de seguridad existe su correspondiente vulnerabilidad :S

Yo personalmente pienso que el problema va mas por el lado cultural y también debe haber educación para manejar algunos asuntos en Internet porque por mas seguridad que haya, un usuario con pocos conocimientos de la situación y el contexto seguirá cayendo en cualquier trampa que le pongan por sencilla que sea.

PD: Movido a Seguridad

Hace dos semanas en una conferencia de seguridad tuve la oportunidad de conocer a Miguel Barrientos (el de la camisa roja en la foto). El expone una gran cantidad de argumentos para afirmar que hacer transacciones por Internet no es un proceso para nada seguro y que es responsabilidad del banco brindar los mecanismos necesarios para que las transacciones sean seguras.

Todos los argumentos llevan a fallas por parte del cliente, es decir, se dejó atrapar por un Phishing, un Keylogger, etc etc.

Esto es muy complicado porque ellos quieren que exista un sistema donde no tengan que estar pendientes del candadito, de la URL correcta, que si hay algun Spyware instalado, etc.... Esto representa una complejidad alta, especialmente porque para cada mecanismo de seguridad existe su correspondiente vulnerabilidad :S

Yo personalmente pienso que el problema va mas por el lado cultural y también debe haber educación para manejar algunos asuntos en Internet porque por mas seguridad que haya, un usuario con pocos conocimientos de la situación y el contexto seguirá cayendo en cualquier trampa que le pongan por sencilla que sea.

PD: Movido a Seguridad

ES FALSO LO QUE DICES MIRA:
Si ellos dicen que caer en el Pishing es problema de la cultura del usuario. Entonces nos preguntamos acaso el banco no podía adoptar otras medidas de seguridad para evitar este tipo de fraudes o al menos a hacer inútil el pishing? La respuesta es sí, esas medidas ya exitian en nuestro país hace mucho la muestra la podemos ver en la tarjeta netguard de Davivienda, porque bancolombia no adopto una medida como esta si ya existía y era eficiente contra el pisihing? Y esta medida ha mostrado su gran valor en eficiencia en paises como Brasil y Méjico donde la llaman la tarjeta bingo. De haber adoptado al menos esta mediada no habrían podido robarle a nadie por medio del pishing.

ADEMÁS
Jamás se contó con la autorización de los usuarios, es decir con los dueños de las cuentas en el caso los que éramos de Conavi, nunca se nos pregunto si deseábamos ser parte de la fusión y permitir que nuestras cuentas pertenecieran a Bancolombia.
Ojo que esto es importante porque nuestro dineros y asimismo nuestros datos financieros (información) son bienes, es más la La información se considera como un bien jurídico (ver CONSIDERACIONES LEGALES DE LA SEGURIDAD INFORMATICA (http://www.acis.org.co/memorias/JornadasSeguridad/IVJNSI/aspectos+legales+de+la+seguridad.rtf)).
Es decir fuimos obligados a ser cuenta habientes de bancolombia y ni siquiera nos preguntaron a nosotros que somos los dueños de ese bien jurídico (información: datos personales, cuenta etc.).
Tampoco se nos pregunto nunca a nosotros como usuarios, si deseábamos utilizar la banca virtual o si autorizábamos que nuestra cuenta pudiese estar abierta a transacciones por Internet. Todos sabemos que cuando vamos a usar un servicio en Internet cómo es el caso de los e-mail uno debe aceptar las condiciones, términos de uso o incluso un contrato, en ninguna parte Bancolombia nos pregunta si aceptamos tales términos, cuando creamos la cuenta tampoco se nos pregunto si autorizábamos que nuestra cuenta pudiese hacer transacciones por Internet.
Es decir tomaron decisiones sobre nuestras cuentas sin consultarnos para nada.
Esto es una violación al Consentimiento ya que en ningún momento el susuario firmo algún contrato electrónico leamos lo que dice el Doctor Diego Martín Buitrago Botero(jurista con mas de 10 años dedicado a los aspectos legales de la informática) en su Libro EL DERECHO EN LA INDUSTRIA INFORMÁTICA: dice textualmente:
“Consentimiento: para que un contrato celebrado por Internet sea válido es necesario que cada parte manifieste su libre consentimiento.”(pág. 154).
Ahí lo tienen, nunca se nos pidió consentimiento y tampoco se nos presento ningún tipo de contrato electrónico donde diéramos nuestro consentimiento
Pero si quieren pueden profundizar más, La Ley 527 de 1999(Agosto 18 de 1999)trata del comercio electrónico, también El actual código penal (ley 599/2000) trata lo que consideramos delitos informáticos en sus articulos 92, 193 y 195 del Código Penal, pero estos no están plenamente diseñados para este tipo de conductas.

“PRECISAMENTE PORQUE LA GENTE NO TIENE CULTURA DE TECNOLOGÍA Y SEGURIDAD POR ELLO ES QUE CONFÍAN EN LOS QUE SE SUPONE LA TIENEN O SEA LOS BANCOS”

Así que te sugiero que estudies e investigues más, pues yo mismo me reuni con ellos y les mostré con mucha anticipación sus debilidades y no hicieron nada.



Por cierto la conferencia que diste la dio un tipo de epm que poco sabia de seguridad!


Att: WWW.BANCOSSEGUROS.COM (http://www.bancosseguros.com/)

“FIRMES Y DIGNOS”

PD. Krieg mira quien banea a quien
IP:97.118.110.163 Frankfurt hessen Alemania jajaja no juegues conmigo!
Ahora baneame!

No entiendo como funciona esa tarjeta que dice zafnat panea, pero lo que dice oesoto indirectamente (supongo, espero no haber malinterpretado) es que bancolombia no puede prohibir que creen páginas web, cualquiera en el mundo puede crear una página web y colocarle el contenido que quiera, así si una persona de la China realiza una página falsa de bancolombia el banco no tiene porqué darse cuenta, ni tampoco puede ponerse a mirar todas las páginas web del mundo para ver cual es una falsificación y cual no, lo máximo que puede hace es advertir al usuario que no llene datos personales en páginas web , bancolombia se da cuenta de la existencia de la falsificación cuando ya hay afectados (supongo, porque si no roban a alguien no se da cuenta de que fue engañado) y lo máximo que puede hacer es generar un proceso en contra del dueño de la página falsa, no se como será ese procedimiento pero yo creo por simple lógica que una persona que crea una página web falsa, hace varias trabas a su captura, por ejemplo la monta desde un proxy, llena datos falsos en el momento del registro de la página web, etc, etc, etc... y si se da cuenta que lo están buscando, borra toda la página y rastro que pudiera dejar =)

Pero me parece que el problema radica en que la gente no sabe diferenciar entre la pagina falsa de la pagina original ese es el problema y no podemos hecharle la culpa a los usuarios por caer en la trampa, al fin y al cabo ellos la mayoria no tienen los conocimientos que podemos tener nosotros que antes de verificamos que la direccion corresponda al sitio donde queremos ingresar.
entonces alli la responsabilidad cae en el banco que debe proteger los intereses de sus usuarios, uno no guarda dinero en un banco para ganar plata lo hace porque cree que es el sitio mas seguro para tenerla para eso le pagas al banco para que te la cuide y cree las herramientas necesarias para que tu dinero este seguro al fin y al cabo ellos saben como evitar que los roben e indirectamente a los usuarios, tienen las herramientas necesarias para eso pueden crearlas o como dijo alguien por ahi arriba ya existen entonces porque no las usan, por no gastar mas dinero?
definitivamente tocara volver a lo de antes la plata bajo el colchon y pagar en efectivo.