Se deben considerar 3 ejemplos posibles:
La verdad todo esto lo puedo denominar cero seguridad.
De antemano, sabemos que es importante no acceder desde lugares públicos, (llámese ciber, aeropuerto, hoteles, etc) a cualquier sitio en el que se deba ingresar información sensible, dado que desde allí es más sencillo un ataque.
No siempre la seguridad de teclados virtuales es la mejor, algunos llegan al punto de guardar en "campos ocultos" los datos digitados sin cifrar, para luego ser enviados en métodos GET o POST, otros guardan una cookie en texto plano con esta información, sin contar con los que guardan toda la información digitada en la cache del navegador.
Existen métodos como la suplantación del teclado en la cache del navegador, que permiten a un atacante, sin modificar la p´sgina de la entidad bancaria o el sitio que contenga el teclado virtual, reemplazarlo con otro que además de enviar la información al sitio donde debería ir, también envía una copia de la misma a ellos y para esto solo es necesario que el usuario visite un sitio malicioso, para después acceder a la pagina legitima de la entidad.
Los atacantes casi siempre están un paso adelante, keyloggers indetectables, troyanos que graban videos, y aplicaciones que utilizamos para manejo de proxys, las cuales son de utilidad en el traslado de los paquetes hacia el destino, no se habla de sniffing, sino que se habla de la traslación de esos paquetes, que no están cifrados en el momento que los utilizamos en nuestro ordenador.
La clave ingresada, sea ingresada por el teclado físico o por teclado virtual, en su mayoría no es cifrada (al menos de cada 10 bancos que probee, sólo 2 estaban cifrados), y pude capturar lo ingresado por teclado virtual, en ¡texto plano!, en otros bancos, capture el hash que realizo el teclado virtual, pero no hay como un buen traductor (Hash Online).
