Se acerca el Black Friday y el Ciber Monday, dos de los días sagrados para las compras por internet, una modalidad de consumo totalmente asentada en los hábitos de los españoles. El año pasado, el comercio electrónico facturó 30.406 millones de euros, según datos de la CNMV. El e-commerce ofrece, sin duda, un nicho de mercado muy atractivo para el cibercrimen, que estos días de compras online intenta hacer el agosto.
El responsable de ciberseguridad de la tecnológica Sothis, Alejandro Aliaga, ofrece un decálogo de consejos sobre precauciones básicas que conviene adoptar para evitar sorpresas desagradables en la cuenta bancaria y/o robo de datos personales. “En nuestra empresa tenemos el compromiso social de divulgar medidas para protegerse en un asunto sobre el que hay que hacer pedagogía”, explica Aliaga, quien celebra que los medios de comunicación están muy concienciados con este tema. Sothis forma parte del CSIRT.es, el grupo de élite de la ciberseguridad en España que agrupa a los mejores equipos de organismos públicos y privados para la prevención y respuestas a ataques informáticos y telemáticos frente al delito informático y que tiene entre sus miembros, entre otros, a los equipos de seguridad informática de la Policía o la Guardia Civil.
Antes que tomar precauciones de ciberseguridad, hay que empezar por “aplicar el sentido común y desconfiar de las gangas”. “Es la primera medida, que no es de carácter técnica. “Hay supergangas que vemos fácilmente que son falsas”, defiende. Los chollos pueden llegar a cegar con consecuencias nefastas: “La ilusión por la ganga hace que el consumidor baje sus defensas y se convierta en el objetivo perfecto para los cibercriminales”.
La mejor vacuna es haber “monitorizado” los precios de semanas anteriores. Si el televisor costaba 800 euros y ahora se vende por 100 “deberíamos desconfiar y estar alerta”. De paso, si se dispone de un histórico reciente del precio se evita “caer en la trampa” del sube-baja, elevar el PVP en los días previos, para recortarlo hasta el precio habitual en los días de superventas.
En tercer lugar, si se opta por la compra online, que sea en comercios de confianza, de marcas conocidas. ¿Y si parecen y no son? ¿Cómo verificar que efectivamente es la plataforma de ventas real y no una web fake? “Cuando accedemos a una dirección de internet, hay que fijarse bien, hay que comprobar que la URL se corresponde con la que queremos visitar”, apunta Alejandro Aliaga. Conviene verificar que en la barra de navegación aparezca la dirección correcta. “Hay que fijarse bien porque los cibercriminales usan técnicas homomórficas: cambian una o por un cero o una I por una L y nuestro cerebro autocompleta la lectura como si fueran las grafías reales. Es un truco de ciberdelincuencia muy usado”, explica Alejandro Aliaga.
Una cuarta verificación consiste en observar que la dirección sea https. Eso significa que es una conexión cifrada, correcta. Aunque esta verificación no siempre es suficiente, habrá que verificar que el cifrado esté emitido y certificado por una entidad reconocida. Porque los ciberdelincuentes pueden utilizar certificados gratuitos que sacan de internet.
El certificado deberá ser SSL. Es el quinto mandamiento del protocolo para evitar ciberestafas. ¿Cómo saber si la web está bien certificada? A la izquierda de la dirección, justo antes de https figura un circulo pequeño con la i de información o el icono de un candado. Una vez clickado deberá aparecer la mención “certificado válido”, que, cuando se pincha remite a la información del certificado. Debe haberse emitido por GlobalSign Root CA y tener una fecha de validez. Debe haber sido “emitido para” la página en cuestión. En ese punto, hay que comprobar que el nombre de la web es el correcto.
La sexta medida de prevención, según Aliaga, remite a las llamadas “direcciones acortadas” que se utilizan en cadenas de divulgación de cupones o enlaces que se envían por whatsapp con promociones de chollos. Una vez pinchas no remite a la dirección real, sino a una página falsa. No siempre, por supuesto, resulta ser una estafa el enlace que llega a través de redes sociales, aunque conviene extremar las alertas cuando no se accede directamente al portal de ventas. El responsable del departamento de ciberseguridad de Sothis comenta el caso de los canales de gangas con los llamados “enlaces de referidos” tan en boga en redes, sobre todo en Telegram. Cada vez que un usuario llega a la página a comprar usando estos enlaces, una parte del dinero que se paga llega a ese intermediario comercial facilitador. “No es un delito”, subraya Aliaga, pero, de nuevo, hay que extremar la cautela. “Si ves algo raro, desconfía”, es su máxima.
En séptimo lugar, siempre y especialmente estos días conviene mantener alta la guardia ante cualquier mensaje comercial recibido en redes o en el mail. Suelen enviarse correos simulando ser establecimientos conocidos y con gráficas muy atractivas que incorporan un botón de “compre ahora”, que remiten a páginas falsas en las que piden datos bancarios. En esos casos, conviene adoptar las prevenciones apuntadas.
¿Y qué medio y canal de pago utilizar? La octava medida y una de las más importantes radica en procurar usar las tarjetas monedero, especialmente concebidas por las entidades bancarias para las compras por internet. Son tarjetas recargables de tal forma que su capacidad de hacer frente a las compras alcanza hasta donde llega el saldo. “Lo ideal es cargar el importe de la compra que se va a hacer. De este modo, si alguien llegara a reutilizarla no podrá sacar dinero”, afirma Aliaga. En los días posteriores hay que revisar los movimientos bancarios para detectar si hay algún cargo extraño.
Saltarse el noveno consejo es asumir un innecesario alto riesgo. “Nunca hay que hacer compras con redes inalámbricas de lugares públicos”. Los ciberdelincuentes pueden utilizar la llamada técnica Man In The Middle (MITM), hombre en medio. El cibercriminal se sitúa entre el portátil, smartphone o tableta y el router del wifi público para suplantar la identidad de la tienda y vampirizar todos los datos de la tarjeta del comprador.
El precepto número diez de este decálogo Sothis para la compra online segura es válido para la ciberseguridad doméstica en general: “Siempre hay que tener actualizadas nuestras aplicaciones y equipos porque ello previene vulnerabilidades que pudiesen explotar los ciberdelincuentes”. “Las actualizaciones ofrecen nuevas funciones, pero, sobre todo, resuelven fallos de seguridad, brechas y puntos débiles detectados en versiones anteriores”, concluye el responsable de ciberseguridad de Sothis.
Sobre Sothis
Sothis, que en octubre cumplió diez años, nació para cubrir un nicho de la consultoría tecnológica. Desde entonces, la compañía ha desarrollado un enfoque innovador en el que los sistemas de información de una empresa productiva están siempre enlazados, ofreciendo una propuesta de valor única en el sector, integrando sistemas de información, gestión empresarial e industrial, siendo la única en España capaz de afrontar todas las vertientes de la digitalización. Todo ello, de la mano de fabricantes como IBM Security, Microsoft, HPe, Siemens y SAP, siendo Sothis uno de los principales Partners de España de estos dos últimos.
La empresa cuenta con un equipo de más de 650 personas y trabaja con clientes de más de 20 países. Asimismo, está participada por la sociedad de inversión Angels, impulsada por el empresario Juan Roig. En estos diez años, se han intensificado los vínculos de la tecnológica con la universidad y los centros de formación, con la colaboración de Sothis en la puesta en marcha de nuevos masters y cursos junto con EDEM Escuela de Empresarios, el Máster en Gestión de Proyectos con SAP PS Universidad Politécnica de Valencia o el Diploma de especialización en instalación, configuración y programación de sistemas de automatización industrial de la Universitat Politécnica de València.
