Cómo aprender a protegerse de las estafas con tarjetas en la web

Federico Cioni y Gastón Neffen
Twitter: @fcioni / @gneffen

El boom del comercio electrónico tiene su lado oscuro: el aumento del tráfico comercial en la web, con más gente que se acostumbra a comprar en Internet, abre más oportunidades para los estafadores que “pescan” —roban— los datos de las tarjetas de crédito con páginas webs falsas o venden productos en “súper oferta” en Instagram y Facebook que nunca llegan.

La trampa suele estar bien armada. Son sitios que imitan las webs de bancos, tarjetas, servicios de streaming y de compras online, entre muchas otras alternativas, y cuando alguien cae, las consecuencias “saltan” en el resumen de la tarjeta de crédito en el home banking.

En una entrevista con El Litoral, Maximiliano Macedo, analista en informática aplicada y experto en seguridad en la red, analizó las principales modalidades para estafar, contó cómo son los engaños más sofisticados y explicó algunas claves para aprender a protegerse. También puso el foco en un problema: son muy pocos los delitos informáticos que se denuncian y así es difícil frenarlos.

— ¿Qué técnicas están utilizando para robar datos de tarjetas en la web y estafar?

​

— Las técnicas siguen siendo las mismas. Primero está el phishing (la pesca de datos) y también están de moda las ofertas de productos a precios increíbles y con características impresionantes en Instagram y Facebook de sitios de dudosa procedencia, no como Ali Express o Wish, que te llevan a sitios con carritos de compras falsos, donde te pueden ejecutar una compra que nunca llega.

— En las publicidades de las historias de Instagram, que son tan invasivas, también se están viendo este tipo de promos. Cuando las “clickeas” y pusiste un dato, fuiste...

— Totalmente, esto ocurre, y también en Facebook. Estas publicidades, además, son pagadas por las personas que están detrás de las estafas para tener mayor visibilidad en las redes. Hay un punto importante: como en general son estafas menores, de menos de 1.000 o 2.000 pesos, la gente a veces espera hasta tres meses para hacer el reclamo —por el tiempo de envío del producto— y cuando quiere desconocer el consumo ante la tarjeta de crédito puede ser tarde. Hemos visto estafas, incluso, en las que desde la supuesta empresa que vendió el producto te responden por mail ante las demoras de entrega: “Si, ya te va a llegar, quedate tranquilo, tenemos una alta demanda que no nos permite realizar el despacho del producto”, y te tienen a las vueltas y nunca te mandan lo que compraste. El primer consejo sería, entonces, analizar muy bien las “súper ofertas”, ir a los términos y condiciones de los sitios, analizar la reputación de la empresa, buscar el nombre de la empresa en Google y ver qué dicen los usuarios (si llegan los productos, si tienen las características que prometen).

— Pero no siempre es fácil detectar un sitio de estafas o phishing. Las páginas suelen estar muy bien diseñadas y parecen webs verdaderas de servicios de streaming, turismo y bancos, ¿cómo se puede saber si es o no una página falsa?

— Es habitual que te lleguen por mail alertas de que alguien abrió tu cuenta de Netflix, Mercado Libre o que te advierte que tus tarjetas están suspendidas, entre muchas posibilidades. Son avisos para que realices alguna acción y cuando uno ingresa al link que viene en el mail te piden los datos de la cuenta o de tu tarjeta y te los roban. Lo primero que hay que hacer es verificar que el usuario del correo sea @netflix, @mercadolibre o la empresa que sea. Se trata de verificar la identidad de la persona que envía el mail. Si me preguntan si esto se puede falsear, tengo que decir que sí y se llama spoofing (suplantación de DNS, suplantación web o suplantación de correo electrónico). Te mandan un correo a nombre de Netflix, pero no es esa empresa y en realidad es un sitio falso. Un consejo que dan los bancos es no dejarse llevar por el link del mail y entrar directamente a los sitios oficiales de las entidades bancarias y las páginas oficiales que prestan servicios en Internet. Hay que tener cuidado también con las empresas que uno “googlea”, porque a veces los sitios falsos escalan antes que el sitio original porque pagan publicidad para aparecer primero. También hay ataques muy complejos que se están realizando con modificaciones tipográficas mínimas en los nombres de los sitios.

— Este último tipo de delitos, que ya implican una ingeniería más compleja, ¿se focalizan en estafas más importantes o también en montos menos importantes?

— En general son ataques masivos y no dirigidos, y el que cae, cae. Cuando son detectados, se mudan de servidor y vuelven a atacar otra vez. Lo organizan desde países que no tienen legislación para este tipo de delitos y es muy difícil combatirlo. Hay páginas de antiphising para dar de baja estos sitios, como www.antiphishing.com.ar, en las que uno puede denunciar el phishing y automáticamente esta empresa se encarga de buscar este sitio, desactivarlo y alertar a las personas que lo están utilizando.

— ¿Mirar que en la barra del explorador del sitio tenga el candado sirve para algo?

— Ya hay ataques con sitios falsos que tienen este certificado, que lo que indica es que la información que vos envías desde tu computadora a esa página va cifrada de punto a punto, como con WhatsApp. Cuando los datos no están cifrados, el peligro es que alguna persona que está monitoreando el tráfico de la web pueda capturar esos paquetes de información. El “candado” también indica que una persona o una empresa es quien dice ser, pero para confirmarlo con seguridad hay que ingresar al certificado y ver quien lo validó, pero no sé cuántas personas hacen ese paso.

— En los sitios de compra online suele haber ciertos logos para validar la seguridad de la operación, ¿son confiables o también es sencillo falsificarlos?

— Es muy sencillo copiar cualquier logo porque no deja de ser una imagen, la verdad es que yo te puedo decir que estoy certificado por la Nasa y la Universidad de Harvard a nivel logo. Lamentablemente es muy fácil tener esos logos y la gente cuando los ve confía más y tiende a caer en las estafas. Por eso yo recomiendo, que más que los logos, analicen con tranquilidad la página y busquen en los comentarios y en la reputación del sitio.

— ¿Este tipo de delitos está creciendo?

— La tendencia es que está aumentando junto con el comercio electrónico. En general son estafas de poco monto, pero a nivel masivo. Lo gente no suele denunciarlas para no hacer todos los trámites y esto les permite ganar mucha plata y operar un tiempo sin ser detectados. También influye que cuando uno desconoce una compra en la tarjeta de crédito, la tarjeta restituye el monto de esa compra al cliente porque está asegurada contra este tipo de estafas. Para la empresa es un problema menos y también para el usuario, pero el delito queda impune, como la mayoría de los fraudes que se cometen en Internet. Y eso es el gran problema, porque si el delito sigue impune, los delincuentes siguen atacando y nadie los combate. En Santa Fe, las fiscalías y la policía están capacitados y tienen recursos tecnológicos para investigar estos delitos.

— ¿Qué más podemos hacer para operar con mayor seguridad?

— Un consejo importante para los usuarios de tarjetas de débito es cambiar las contraseñas cuando vuelven de viaje, esa es una de las principales.

Deben avisar antes de viajar —porque cuando hay un consumo fuera del país las empresas lo detectan y pueden considerarla fraudulenta—y cambiar las contraseñas cuando vuelven porque hay un riesgo mayor que se roben datos en esos viajes. Otro punto importante: nunca perder de vista la tarjeta de débito o crédito en un negocio, porque se copia con mucha facilidad. En la Argentina, además, las tarjetas de crédito con chip, que son más difíciles de clonar que las de banda magnética, no tienen tanta penetración todavía. En muchos bares todavía pasa que el mozo se lleva la tarjeta y la perdemos completamente de vista. Con sacar dos fotos ya roban el número de la tarjeta, el usuario, el código de seguridad y el DNI lo anotamos nosotros cuando firmamos el ticket. También es fundamental estar suscripto a las alertas de compras de las tarjetas de crédito, porque te llega un mensaje de texto o un mail cada vez que se hace un consumo con una de tus tarjetas. Se puede configurar en el home banking del banco o en la página web de la tarjeta. Con estas notificaciones, lo bueno es que se puede desconocer una compra al instante.

— Una alternativa también puede ser utilizar en Internet la tarjeta de crédito que tiene el límite más bajo, sobre todo para suscripciones fijas como Netflix, Spotify, Gmail, Facebook.

— Si, es una buena idea también. Y en este sentido una crítica para hacerles a las tarjetas de crédito es que muchas veces el nombre del comercio y de la compra que aparece en el resumen de cuenta no se comprende con facilidad, ni está clara la descripción del producto y lo mismo también para los bancos, que en los movimientos del home banking a veces no se entiende nada.

Cinco “tips” de seguridad claves

1 - En un negocio nunca perder de vista la tarjeta de crédito o débito.

2 - Estar suscripto a las alertas de compras de las tarjetas de crédito y los bancos para recibir una notificación en el celular o el mail cada vez que se realiza un consumo, porque permite desconocer esa operación inmediatamente.

3- Sospechar de las “súper ofertas” de productos en redes sociales (Instagram, Facebook, etc.) y chequear la reputación de los sitios de compra y los comentarios de los clientes.

4 - Tener mucho cuidado con los mails que avisan que se suspendió una cuenta de un servicio de streaming o que hubo un problema con una tarjeta y necesitan chequear los datos. Es mejor ingresar directamente a la página oficial de esa empresa, que “dejarse” llevar por el link del mail.

5 - Para las suscripciones de servicios fijas de Internet utilizar la tarjeta de crédito que tiene el límite de compra más bajo, como precaución ante la posibilidad de que se produzca un robo masivo de datos.

Un caso reciente de escala global

Recientemente miles de usuarios alrededor del mundo vieron vulnerados sus datos personales y el de sus tarjetas de crédito cuando a través de un supuesto correo proveniente de Netflix, se les informaba que su pago había sido rechazado y que no podrían continuar disfrutando del servicio.

Desesperación mediante, muchos usuarios entregaron esos datos sin ver que, en realidad, estaban tipeando esa valiosa información desde un sitio falso.

“Typosquatting”

Suena difícil y quizás nunca lo haya leído antes, pero este tipo de estafa es más simple y hasta “naif” de lo que se cree. El typosquatting es aquella estafa que esconde un error tipográfico prácticamente imperceptible para el usuario, como colocar un letra i en lugar de un número 1, o bien repetir una letra. De esta forma los cibercriminales logran llevar a usuarios a páginas maliciosas.

Denunciar un caso de phishing es posible

A través del sitio www.antiphishing.com.ar es posible radicar una denuncia para que se tome cartas en el asunto. El sitio recopila los últimos casos registrados y ayuda además para alertar a otros usuarios.