Pagos online: comodidad y seguridad

En los países desarrollados son muy populares las tarjetas de crédito. No hay que llevar consigo gordas billeteras con dinero en efectivo: una delgada tarjeta de plástico puede reemplazar cualquier cantidad de fajos de billetes. Los usuarios de Internet también se han dado cuenta de las ventajas de las tarjetas de crédito. Con su ayuda es cómodo hacer compras online, pagar las reservas de hotel, alquilar coches y comprar pasajes electrónicos.

La lista de servicios de la banca online con frecuencia incluye todos los servicios ofrecidos en las sucursales de los bancos. Usándolos es muy fácil, sin salir de casa, controlar el movimiento de dinero en las cuentas, hacer todo tipo de transacciones y giros, abrir y cerrar cuentas de depósito, comprar y vender divisas, etc.

Pero todo esto tiene su otra cara. La popularidad de las tarjetas atrae cada vez más a los amigos de lo ajeno. El peligro acecha al dueño de la tarjeta sobre todo en el momento en que formaliza un pago online o una operación bancaria. Y es que para realizarlos, es necesario ingresar en el sitio web de la tienda o el banco sus datos confidenciales (nombre, apellido, dirección, número de teléfono y datos de la tarjeta). Si la información ingresada llega a caer en manos de los delincuentes, el dueño de la tarjeta de crédito corre el riesgo de quedarse sin dinero en su cuenta. Además, en Internet hay muchas tiendas online que hacen estafas. En estos sitios se ofrece una amplia gama de bienes, pero al pagar la compra, en el mejor de los casos el cliente no recibe nada, y en el peor, pierde todo el dinero de su tarjeta.

¿Qué hay que hacer para protegerse y no caer en la trampa de los estafadores? ¿Qué reglas hay que respetar al hacer compras en Internet y efectuar otras operaciones con tarjetas? En este artículo trataremos de contar a qué cosas hay que prestar atención para no perder dinero cuando se hacen pagos online.

Compras en Internet

Los usuarios tienen que tener cuidado en todas las etapas de las compras en Internet. ¿A qué aspectos hay que prestar atención?

Tarjeta especial para compras online

Antes que nada, para no convertirse en víctima de los delincuentes y no perder todo el dinero de su cuenta bancaria, tiene que sacar una tarjeta especial para operaciones online. En ella puede guardar sumas pequeñas de dinero. Incluso si le roban los datos de esta tarjeta, los ladrones informáticos no podrán robarle todo su dinero. También puede recargar la tarjeta justo antes de cada compra y determinar con el banco la suma máxima que puede gastar cada día.

Elección de tienda online

Una vez que ha decidido comprar algo por Internet, lo primero que hace el comprador potencial es escoger en qué tienda lo hará. Es mejor comprar en sitios web conocidos y que tienen buena reputación. Si por alguna razón no es posible, tenga cuidado: los estafadores todo el tiempo están creando nuevos métodos de engañar a los compradores. ¿Qué hay que tener en cuenta para no caer en sus trampas?

Apariencia del sitio web

Durante la búsqueda de una tienda online existe el riesgo de caer en un sitio web de estafadores. Debido a que los sitios de estafas se crean para que existan por pocos días, en Rusia los delincuentes no suelen esforzarse por hacer un sitio web con un buen diseño. Por esta razón, con frecuencia se puede reconocer un sitio web de estafas por su apariencia. Estos sitios pueden tener un diseño barato, defectos (no funcionan los enlaces, las fuentes son incorrectas, el texto está mal puesto, etc.) y algunas pestañas y páginas pueden no funcionar del todo o generar errores.

Información sobre la tienda

Si no sabe nada sobre la tienda online y tiene dudas sobre su legitimidad, sin falta busque información sobre la misma en Internet. Puede probar a buscar comentarios en un sistema de búsqueda ingresando por ejemplo “online-shop.com comentarios” u “online-shop.com estafa engaño”. Si la tienda tiene actividades ilegales, seguro que habrá víctimas que han dejado sus quejas en Internet. También preste atención a la presencia en el sitio de teléfonos de contacto, dirección legal y datos bancarios. Esta información también hay que verificarla, por ejemplo, usando un sistema de búsqueda. Si sus dudas no han desaparecido, es mejor buscar otra tienda.

Información sobre el dominio

Preste atención a la dirección http de la tienda. Las tiendas legalmente establecidas y que se respetan a sí mismas no pueden tener direcciones “basura” como www.ds3a1000r1sad.isd3.com. Los sitios de las tiendas online cuyos dominios están registrados en hostings gratuitos (como narod.ru, freehosting.com, etc.) también deben despertar sospechas.

Si la dirección de la tienda online le parece sospechosa, puede averiguar a qué nombre y cuándo se registró el nombre de dominio, desde cuándo existe.

Se puede encontrar y ver la información de registro del dominio de una tienda online desconocida mediante alguno de los numerosos servicios whois, sitios especiales donde se pueden consultar los datos de registro del dominio. Para esto hay que entrar en el sitio web de uno de estos servicios (es fácil encontrarlos en los sistemas de búsqueda) e ingresar en el campo correspondiente el nombre de dominio.

Preste atención al nombre de la persona que registró el dominio y a su periodo de existencia.

El nombre de dominio de una tienda online registrada por una persona jurídica debe generar más confianza que uno registrado por una persona natural. También hay casos cuando el nombre de la persona natural que registró el dominio está oculto bajo la máscara “private person” o “DOMAIN WHOIS PROTECTION SERVICE”, lo que significa que la persona decidió no mostrar sus datos personales e hizo uso del servicio correspondiente durante la alta en el registro. Si esto sucede en los datos whois de una tienda online grande o famosa, debe tener cuidado.

Mientras más tiempo existe el dominio, mejor. Por lo general las tiendas de estafadores se cierran muy rápido y por eso no se registran por mucho tiempo. Si el dominio existe hace más de un año, esto habla bien de él.

Conexión protegida

Al haber encontrado una tienda que le convenga y escogido lo que quiere comprar, el comprador empieza a formalizar el pago. Para que los delincuentes no intercepten los datos confidenciales del usuario ingresados en la tienda online, es necesario enviarlos por medio de una conexión cifrada.

Existe un protocolo criptográfico especial SSL (Secure Sockets Layer) destinado a cifrar el flujo de datos entre el cliente y el servidor. La necesidad de conexiones SSL protegidas condujo a la creación del protocolo HTTPS, que es una extensión del protocolo http que implementa el cifrado. Su objetivo es ofrecer protección contra los ataques que interceptan las conexiones de red y la mayoría de los sitios legítimos lo usan para proteger los datos confidenciales ingresados por los usuarios durante su envío al servidor.

Lo primero a lo que hay que prestar atención antes de ingresar datos secretos es que en el campo de dirección del navegador estén presentes las letras “HTTPS“. Esta debe ser la apariencia de la dirección de un servidor con conexión protegida: https://www.online-shop.com.

Pero la sola presencia de HTTPS en la barra de direcciones no es suficiente para dar una seguridad completa. Cada sitio web que usa el protocolo SSL tiene que poseer un certificado digital expedido y firmado por un centro de certificación. Es un documento electrónico que identifica a su titular. Este certificado garantiza que:

  1. el centro de certificación ha verificado los datos del sitio,
  2. la conexión está protegida por un algoritmo criptográfico,
  3. la compañía que registró el sitio existe,
  4. el sitio pertenece a la organización a la que se expidió el certificado.

Un icono en forma de candado en el campo de dirección o el campo de estado del navegador (abajo, en el marco de la ventana del navegador) testifica que el sitio cuenta con un certificado vigente firmado por un centro de certificación legítimo. La apariencia del icono de conexión protegida y su ubicación pueden variar en las diferentes versiones de cada navegador, y también depende de la configuración del navegador y la presencia de plugins adicionales.

4_kasper

Conexión protegida en Internet Explorer


Conexión protegida en Google Chrome 3


Conexión protegida en Opera 10

La presencia en la dirección de las letras https y el certificado de autenticidad son los indicadores más importantes de la legalidad del sitio. No se puede considerar seguro un sitio cuya dirección empieza con https, pero que no cuenta con un certificado de autenticidad.

Con frecuencia los estafadores, al tratar de engatusar a los usuarios, ponen la figura del candado en la página web de un sitio que en realidad no tiene el certificado de autenticidad. Hay que recordar que el icono del candado cerrado que confirma la presencia del certificado tiene que encontrarse en el campo de estado del navegador o en el de dirección, y si se hace doble click sobre el mismo, se tiene que abrir una ventana con información sobre el certificado.

5_boa

Ejemplo del sitio web de un banco protegido por https

Abajo puede ver ejemplos de sitios de estafas. Los enlaces que llevan a estos sitios se propagan por correo electrónico en mensajes spam. En las capturas de pantalla se ve que la dirección del sitio empieza con http, y por lo tanto, la conexión no está protegida, aunque en los sitios se afirme lo contrario. Los candados que aparecen en estas páginas son sólo imágenes: estos sitios no cuentan ni con certificados de autenticidad, ni con conexión protegida SSL.

6_phish_shop

7_phish-shop
Sitios de tiendas online fraudulentas

Certificados de autenticidad

Es necesario verificar la legitimidad del certificado de autenticidad: por desgracia, los estafadores han aprendido a usar certificados falsificados. Los “profesionales” pueden usar muchos trucos. Por ejemplo, los delincuentes pueden robar certificados, u obtenerlos de un centro de certificación para un sitio y usarlo para lanzar ataques en otros sitios. Además, pueden crear un certificado y firmarlo por su propia cuenta. Estos certificados se llaman “autofirmados”.

El certificado de autenticidad del sitio se puede verificar haciendo click en la imagen del candado cerrado. Lo más importante es prestar atención al nombre del centro de administración, es decir, quién ha expedido el certificado (por ejemplo, los centros de certificación de confianza más conocidos Geotrust, Twante Consulting, Verisign), a quién se ha expedido el certificado y su plazo de validez..


Certificado firmado por un centro de certificación (Internet Explorer)


Certificado digital legítimo (Mozilla Firefox

Si descubre que::

  • el dominio al cual se expidió el certificado no es el mismo que el dominio del sitio,
  • el plazo de validez del certificado ha caducado,

lo más probable es que el certificado sea fraudulento.

En los navegadores modernos existe un sistema integrado de seguridad. Las listas de autoridades de certificación raíz (centros raíz de certificación) están integradas en el navegador. y este considera que el certificado es verdadero sólo si el centro de certificación que lo ha expedido está en la lista de organizaciones de confianza integrada en el navegador. O si el certificado ha sido expedido por una compañía afiliada a uno de los centros de certificación de confianza. Si el sitio tiene https, pero no tiene certificado o fue expedido por una organización que no está en la lista de confianza o ha caducado, el navegador mostrará una advertencia.

Si la conexión en la página donde se ingresan los datos confidenciales no está protegida, le recomendamos elegir otra tienda online para hacer sus compras.

Pago

Con frecuencia el comprador tiene elección: pagar mediante el formulario de pago de la tienda o usar uno de los sistemas de pago (Paypal, payonlinesystem, WebMoney, Yandex Dengi, etc.). Si no confía demasiado en su tienda online o en la compañía que le expidió el certificado, puede pagar mediante otro sistema en el que confíe más. Esto no evitará que envíe dinero a la cuenta de los estafadores, pero conservará sus datos personales y lo protegerá de sufrir mayores pérdidas.

10_system_oplaty

Tienda online en la que se le ofrece al visitante escoger la forma de pago

Después de llegar a la página donde se ingresan los datos de la tarjeta, es muy importante darle un vistazo a la barra de direcciones. Si ha decidido pagar mediante el sistema de pago ofrecido, por ejemplo, Paysystem.com, siguió el enlace hasta llegar a la página de pago y en la barra de direcciones del navegador ve una dirección parecida, pero no idéntica a la del sitio legítimo (por ejemplo, Paysistem.com), o si la conexión no está protegida por el protocolo HTTPS, sin lugar a duda está en un sitio fraudulento. No es necesario agregar que en ningún caso debe ingresar datos personales ahí.

Chargeback

Hay casos en los que las tiendas cobran por adelantado el 100% del precio y después no envían la mercancía, desaparecen y no responden a las llamadas. Si alguna vez le pasa, no pierda la esperanza: tiene derecho a realizar un “chargeback”.

El chargeback es el proceso de devolución de dinero a la cuenta del comprador desde la cuenta del vendedor en caso de que el comprador presente pruebas suficientes para considerar la transacción nula o fraudulenta. El no haber recibido la mercancía o si ésta no tiene la calidad ofrecida son motivos suficientes para la devolución del dinero. Haga su solicitud al banco que expidió la tarjeta. Éste debe hacer una investigación y, al entregarle los datos de la transacción (dónde se realizó la compra, a qué hora, desde qué cuenta, qué tipo de mercadería, etc.), en el plazo de 30 días devolver el dinero a la cuenta del cliente.

Operaciones bancarias en Internet

Por desgracia, se puede perder dinero no sólo al realizar compras. Si usted es cliente de un banco y usa los servicios de banca online, tiene que estar muy atento y tener mucho cuidado para no caer en las trampas de los delincuentes informáticos.

Métodos de los delincuentes informáticos

Los delincuentes que están a la caza de los datos de las tarjetas de crédito tienen un arsenal completo de métodos y medios. Más adelante hablaremos sobre algunos de ellos.

Phising

No entre al sitio del banco o del sistema de pago siguiendo un enlace enviado por correo electrónico o en su red social, incluso si el mensaje llegó en nombre del banco, sistema de pago u otra organización. En este caso hay una gran probabilidad de llegar a un así llamado sitio de phishing.

El phishing es un tipo de estafa por Internet que consiste en el envío de mensajes electrónicos en nombre de organizaciones financieras, bancos, servicios de correo, etc., cuyos enlaces llevan a sitios falsificados de esas organizaciones. El principal objetivo de los phishers es robar información confidencial (logins y contraseñas de las cuentas, además de los datos de las tarjetas de crédito) para después usarla.

11_santander

Página de un típico sitio de phishing

12_egg

Página phishing falsificada para imita el sitio del banco Egg

A veces el enlace en el mensaje phishing es diferente a la dirección de la página web a la que en realidad lleva:

13_letter

Ejemplo de mensaje phishing

Los enlaces a sitios phishing se pueden propagar no sólo por correo electrónico, sino también mediante redes sociales y servicios de mensajería instantánea enviados en nombre de amigos. También uno puede terminar en un sitio phishing al hacer click en los banners de publicidad ubicados en sitios dudosos o en los enlaces contenidos en las ventanas emergentes.

Si el usuario que ha mordido el anzuelo de los phishers ingresa sus datos personales en un sitio falsificado, éstos caen en manos de los delincuentes. Estas son las principales maneras de obtener datos ajenos. Pero los phishers también pueden usar programas troyanos, documentos adjuntos con formularios que requieren ingresar datos personales o mensajes que exigen enviar datos en el mensaje de respuesta.

Recuerde que los bancos y otras organizaciones financieras nunca envían mensajes pidiendo enviarles sus datos personales o visitar su sitio web para autorizarse, ni tampoco piden ingresar datos personales en ventanas emergentes.

Para saber más información sobre el phishing y cómo protegerse de él, lea este artículo.

Pharming

Se llama pharming al procedimiento de envío oculto a una dirección IP falsa mediante el uso de un fichero hosts adulterado. Como regla, el fichero hosts contiene sólo un renglón: “127.0.0.1 localhost”. Sin embargo, con la ayuda de programas maliciosos los delincuentes le agregan otros renglones, y en el fichero hosts aparecen correspondencias entre las direcciones “con letras” y las direcciones IP de los sitios de los delincuentes, por ejemplo los de tiendas online populares. Pero en vez de una dirección IP correcta, se escribe una fraudulenta. Y los usuarios de equipos infectados, al ingresar las direcciones de estos sitios, en realidad llegan a sitios muy bien falsificados. El usuario ve en la barra de direcciones la dirección “en letras” del sitio legítimo. Y los datos confidenciales que ingresa en el sitio fraudulento caen en manos de los delincuentes.

En este artículo puede averiguar más información sobre los tipos y métodos de pharming

Programas espía

En el equipo pueden estar instalados programas espía (por ejemplo, keyloggers, programas que registran las teclas pulsadas en el teclado, con los que se pueden robar contraseñas, por ejemplo). Es muy grande el riesgo de revelar los datos personales si se usan las tarjetas en lugares públicos (en cafés Internet, bibliotecas, bares y restaurantes), porque los equipos que están a disposición del público son los que están en mayor peligro de infectarse. Esta infección puede ocurrir de forma casual al usarse una memoria flash “sucia” y también puede ser planeada por los estafadores para recopilar datos confidenciales ajenos.

Incluso si usa su propio equipo, pero se conecta a una red Wi-Fi pública, no puede estar seguro de que sus datos personales no caerán en manos inadecuadas, sobre todo si la red Wi-Fi no está protegida por contraseña.

Partiendo de todo lo expuesto, se puede robar logins y contraseñas de las siguientes maneras:

  1. interceptando todas las pulsaciones de teclas que hace el usuario cuando trabaja en el ordenador;
  2. interceptando las pulsaciones de teclas cuando el usuario ingresa el login y contraseña en la página de la tienda online o en programas que exigen autorización;
  3. leyendo los datos de registro ingresados en campos especiales de la página de un banco o una tienda online;
  4. interceptando las solicitudes http que el navegador envía al banco, para después extraer de las mismas el login y contraseña;
  5. suplantando la página legítima del banco por una página phishing.

Protección de los clientes de los bancos

Para proteger a sus clientes de los estafadores, los bancos utilizan diferentes esquemas de defensa. Por lo general los bancos con presencia en Internet usan dos contraseñas: la primera para entrar al sistema y ver el balance y la segunda para hacer pagos y realizar otras operaciones. Existe un sistema de contraseñas dinámicas desechables (que se pueden usar sólo una vez) que el banco envía al usuario por SMS. Estas contraseñas tienen una vigencia de 30 minutos y para entrar al sistema otra vez es necesario recibir una nueva contraseña. Es bastante difícil interceptar estos SMS. Para la comodidad de sus clientes, algunos bancos le ofrecen al cliente una lista de contraseñas desechables, por ejemplo impresas en una “tarjeta de coordenadas”. Con frecuencia los bancos entregan a sus clientes llaves hardware, “tokens”. La llave hardware es un pequeño aparato que genera contraseñas desechables a solicitud del cliente. Esta contraseña brinda protección adicional a la autorización o a otras acciones del usuario. Algunos bancos ofrecen programas especiales que se instalan en el ordenador y mediante los cuales (en vez de visitar la página del banco en Internet) se realizan las operaciones de banca online. El uso de estos programas durante las transacciones reduce la probabilidad de que el usuario termine en un sitio fraudulento. Y, por supuesto, todas las operaciones bancarias en la red deben realizarse mediante conexiones protegidas por el protocolo SSL (la dirección en la barra de direcciones debe empezar con HTTPS y en la barra de estado del navegador tiene que estar presente el ícono del candado).

Como proteger su propio dinero

¿Qué puede hacer el usuario de servicios bancarios online espabilado para proteger su dinero?

Piense bien en las contraseñas que escoge. Para la banca online escoja contraseñas complicadas, que combinen letras mayúsculas y minúsculas con números. Guarde sus contraseñas y códigos PIN en lugares inaccesibles a terceros.

Cuando ingrese datos confidenciales, use el teclado virtual. Muchos bancos proponen usar un teclado virtual, en vez de ingresar los datos secretos de forma manual, para sus servicios online. Las compañías antivirus también ofrecen este mismo método. Esto permite reducir el riesgo de que los keyloggers intercepten la información ingresada.

Al realizar pagos online, se puede también usar el así llamado “caja de arena” (sandbox), que viene integrado en muchas soluciones antivirus, para disminuir el riesgo de intercepción de datos confidenciales.

El término “caja de arena” es un préstamo del léxico de los bomberos, que se refiere a una caja con arena destinada al trabajo con materiales inflamables. Las “cajas de arena” de los antivirus cumplen esa misma tarea. Es decir, crean un entorno aislado donde se puede ejecutar cualquier programa o visualizar cualquier sitio web sin que el resto del sistema se vea amenazado: en este régimen se está protegido contra cualquier tipo de modificaciones (entre ellas las peligrosas). Por ejemplo, al activar la visualización segura de sitios web en Kaspersky Internet Security, todos los cambios (archivos cookies, historia de sitios visitados, etc.), se quedan en el entorno protegido y no penetran al sistema operativo y, por lo tanto, los delincuentes no pueden robarlos. También se puede activar el control de acceso a los servicios de banca online, lo que ayuda a realizar el reconocimiento automático de los sitios bancarios. Las soluciones de otros programas funcionan según principios similares.

Observe el movimiento de medios en sus cuentas. Ahora muchos bancos ofrecen un servicio muy útil, el envío de SMS sobre todas las operaciones llevadas a cabo con tarjetas de crédito. Cada vez que se gasta dinero de la tarjeta, el cliente recibe un mensaje. Si el dinero se ha gastado sin su consentimiento, puede ponerse en contacto de inmediato con el banco y bloquear la cuenta. También, al abrir una cuenta y recibir una tarjeta, se puede establecer la cantidad máxima de dinero que se podrá gastar cada día. Así puede estar seguro de que los estafadores no podrán sacar de una sola vez, sin que usted se dé cuenta, una gran suma de su cuenta.

Reglas que ayudan a proteger el dinero en Internet

Para no convertirse en víctima de los delincuentes al comprar en tiendas y usar la banca en Internet, hay que cumplir las siguientes reglas:

  • Создайте специальную карту для онлайн-покупок и не держите на ней большую сумму денег.
  • Consiga una tarjeta especial para hacer compras online y no le ponga grandes sumas de dinero.
  • No visite los sitios web de los enlaces contenidos en los mensajes de correo, en las redes sociales y chats, ni pulse en banners de publicidad en sitios de dudosa reputación. No siga ningún enlace enviado por extraños.
  • Antes de comprar en cualquier tienda online, busque comentarios sobre ella.
  • Evite las tiendas registradas en hostings gratuitos.
  • Si el sitio de la tienda le provoca dudas, averigüe en los servicios whois desde cuándo existe el dominio del sitio web y los datos de su propietario. Preste atención hasta qué fecha se ha pagado el registro del dominio.
  • Ingrese manualmente la dirección del banco o del sistema de pago.
  • Las organizaciones financieras nunca envían mensajes pidiendo que les envíe sus datos personales por correo electrónico, o que visite su sitio web para autorizarse o que ingrese sus datos personales en ventanas emergentes. No siga enlaces enviados en nombre de organizaciones bancarias y sistemas de pago.
  • Analice con atención la URL de la página que contiene los campos de ingreso de datos confidenciales. Si la dirección URL es una mezcla ininteligible de caracteres o tiene un aspecto sospechoso, no use esa página para hacer pagos.
  • Verifique que para enviar sus datos confidenciales se use una conexión cifrada. Si la conexión está cifrada, la dirección del sitio debe empezar con https, y en la barra de direcciones o de estado del navegador debe estar presente el icono del candado cerrado.
  • Al hacer click en el símbolo del candado, verifique el certificado de autenticidad SSL expedido al sitio (por quién y por qué periodo).
  • Trate de no usar los servicios de banca online o hacer compras online en sitios públicos (cafés Internet, clubes, bibliotecas, etc.). En esos equipos puede haber instalados diferentes programas espía, sensores de pulsación de teclas e interceptores de tráfico Internet. Incluso si usa su propio ordenador, al hacer transacciones bancarias en una red Wi-Fi gratuita, existe el riesgo de que el administrador de esta red intercepte el tráfico, o que lo hagan terceras personas. También puede ser víctima de ataques de gusanos de red, sobre todo si la red Wi-Fi no está protegida por contraseña.
  • Mantenga siempre su sistema operativo y software antivirus actualizados. La mejor protección es la instalación de las últimas actualizaciones y parches del sistema operativo, filtros de spam, cortafuegos y las más modernas versiones de antivirus y programas antiespía con bases de datos actualizadas. Para una protección adicional, se puede instalar un cortafuegos hardware (un aparato especial que cumple las funciones del cortafuegos software). Para una mejor defensa de la red se pueden usar conjuntamente cortafuegos software y hardware, ya que cada uno de ellos tiene sus ventajas y desventajas.

Y para terminar, no tenga miedo de hacer compras y usar la banca online. Si tiene cuidado y aplica todas las medidas de precaución, puede usar todas las comodidades que ofrece Internet.

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *