Técnicas para combatir el fraude electrónico en estas fiestas

Las fiestas de fin de año no son solamente anticipadas por los consumidores y comerciantes por ser una época llena de descuentos y gran volumen de ventas, sino también por los criminales que buscan explotar las debilidades de los sistemas digitales de comercio electrónico para cometer sus fraudes. Por ello, aquí les dejamos —tanto a consumidores como comerciantes— algunas recomendaciones para evitar los fraudes electrónicos.

Según las últimas estadísticas disponibles del Centro Nacional de Respuesta a Incidentes de Seguridad Informática de Uruguay (Certuy), los ataques de phishing lideran en cuanto a los incidentes de seguridad de la información en nuestro país. Esta se trata de una técnica de suplantación de identidad que utilizan los cibercriminales para robar datos personales, nombres de usuarios, contraseñas, datos financieros, de tarjetas de crédito y demás información sensible para luego cometer ilícitos.

La clave del phishing es el engaño de un usuario. Generalmente, consiste en enviarle una dirección web que simula ser la página de algún servicio que utiliza frecuentemente, tal como un servicio de e-mail, una red social, un banco o una tienda online. A veces le ofrecen un descuento o una oferta tentadora, o simplemente una solicitud aparentemente institucional a la cual el usuario cree que debe responder. Creyendo que utiliza la página web correcta, el usuario ingresa sus datos sin saber que, en realidad, dicho sitio fue creado para engañarlo y robarle sus datos.

Son varias las maneras en las que un cibercriminal podría utilizar la información obtenida a través de phishing. Si fuera una contraseña de e-mail, podría proceder a activar mecanismos de restablecimiento de contraseña de otros sitios vinculados con ese e-mail. Por ejemplo, si el cliente se registró en una tienda online con esa dirección de e-mail, el cibercriminal podría restablecer la contraseña de ese sitio de compras utilizando la casilla de e-mail a la cual ya tiene acceso y, a partir de allí, crear una nueva contraseña para la tienda online y realizar compras con el sistema de pago asociado a la cuenta, sea propio de la tienda online en cuestión o una tarjeta de crédito guardada en el sistema.

Ya que el usuario siempre es el eslabón más débil de la cadena de la seguridad de la información, la educación y las buenas prácticas digitales son fundamentales. Además de informarse más acerca de cómo evitar ser víctima del phishing, se recomienda que los usuarios utilicen una contraseña única para cada sitio, extensa y recordable, combinando letras, números y símbolos, sin palabras ni nombres comunes. Sin embargo, a medida que aumenta la cantidad de contraseñas que utilizamos, a veces resulta difícil recordarlas todas. En ese sentido, expertos recomiendan el uso de un gestor de contraseñas (como 1Password, LastPass, Bitwarden o Dashlane, entre otros), que con una única contraseña se acceda a un baúl de passwords para todos los sitios.

Retornando al e-commerce, existen otras formas de fraude electrónico asociadas a esta modalidad comercial. Algunas tiendas online ofrecen la posibilidad de comprar los productos en su web, para luego retirarlos físicamente en algún local. Es importante que los comerciantes que ofrezcan dicho servicio prevean corroborar la identidad del comprador (en lo posible, aquella utilizada para realizar la transacción) con la identidad de la persona que va a recoger el producto en persona. Si solo se requiere llevar impreso un recibo o constancia de compra generada digitalmente, cualquier persona con acceso a la sesión web del cliente o a la casilla de e-mail podría levantar la compra.

Los riesgos de seguridad no solamente están presentes al conectarse a internet, sino también en el propio funcionamiento de un sistema operativo o la seguridad física del dispositivo. Una sesión de computadora sin contraseña de acceso es tan riesgosa como no tener un acceso seguro en el celular (sea mediante una contraseña, pin o dato biométrico). Aun más, debido a que muchos servicios online utilizan números de teléfono para verificar una cuenta mediante el envío de un código numérico a través de un SMS, es importante resguardar la seguridad de la tarjeta SIM, tanto físicamente (utilizando celulares con SIM bajo una llave de acceso especial) como lógicamente (poniéndole pin a la tarjeta SIM). Acceder indebidamente a la tarjeta SIM de un usuario podría—de igual manera que con el phishing—facilitar el restablecimiento de una contraseña de algún servicio online y así, por ejemplo, realizar compras a cargo del usuario.

La transacción en sí también enfrenta riesgos en cuanto a la autenticación del cliente. Diferente a cuando la transacción se realiza presencialmente y con un POS, las que se realizan online o telefónicamente en modalidad de “tarjeta no presente” son cada vez más frecuentes. Al requerirse principalmente los datos de la tarjeta visibles al anverso y el código de seguridad en su reverso, los comerciantes enfrentan desafíos cada vez mayores para autenticar la compra. Aunque los clientes deberían interesarse sobre los avances al respecto para poder optar por tiendas online con sistemas más seguros (como el protocolo 3D Secure 2), es principalmente una responsabilidad del comerciante ofrecer a sus clientes sistemas de autenticación de transacciones seguros y confiables.

Las nuevas tecnologías de procesamiento de transacciones tienden a recolectar más información del cliente y sus dispositivos, para así asegurar un mayor grado de autenticación. Algunos ejemplos de ellos son la dirección IP, número IMEI, modelo del dispositivo utilizado, dimensiones de la pantalla, versión del sistema operativo, tamaño de la fuente, zona horaria, número de transacciones realizadas en las últimas 48 horas. Varios de estos parámetros se pueden comparar con aquellos conocidos y generalmente utilizados por el cliente, para así identificar si la transacción es auténtica o si se trata de un fraude.

En conclusión, la prevención del fraude electrónico requiere de la participación conjunta de los consumidores y los comerciantes. En cuanto a los consumidores, deben desarrollar interés y educarse en seguridad de la información, prestar atención especial al phishing y gestionar sus contraseñas e información financiera con extremo cuidado. Por su parte, los comerciantes deben mantener entrenados a sus equipos de prevención del fraude, familiarizarse e implementar nuevas tecnologías disponibles para la prevención del fraude, mejorar sus sistemas de procesamientos de transacciones, adaptar las alertas de fraude a las necesidades y realidades del mercado, y siempre tener en mente la perspectiva del usuario a la hora del diseño de las páginas web de e-commerce.