Com pagar amb seguretat a Internet?
El comerç electrònic a Espanya no creix al ritme que seria desitjable. Entre les principals raons que els usuaris esgrimeixen per no comprar a la Xarxa hi ha el recel a la seguretat dels sistemes de pagament. EROSKI CONSUMER ha analitzat, a petició d’HISPACOOP (Confederació Espanyola de Cooperatives de Consumidors i Usuaris), els sistemes de pagament i les seves tècniques de seguretat amb la finalitat de saber si són totalment segures. La principal conclusió ha estat que el taló d’Aquil.les de la compra no es troba en els sistemes, completament segurs, sinó en les cauteles de l’usuari a l’hora de deixar les seves dades en pàgines no fiables, i en la falta de cures de l’ordinador. Per assegurar al màxim la compra en línia, els experts que han elaborat aquest estudi han creat un detallat protocol d’actuació que detecta el frau, valora la seguretat dels comerços i manté l’ordinador lliure de programes espia. Si se segueixen els consells dictats a continuació, el risc de sofrir problemes en l’apartat de la seguretat en els pagaments fets a Internet es reduirà de manera notable.
Sempre que l’usuari compra en un comerç en línia selecciona el producte o el servei que vol comprar, n’especifica el nombre d’unitats i prem el botó d’anar “a la pàgina de compra”. D’aquesta manera, arriba a una pàgina on se li demana que hi deixi alguns de les seves dades personals -nom, cognoms, document nacional d’identitat, telèfon de contacte, etc.-, a més de les dades de la targeta de crèdit o dèbit. El comprador emplena llavors els camps requerits, escriu les dades de la seva targeta i prem el botó d’executar “la compra”. A partir d’aquí, perd el control de la informació que ha dipositat.
Significa això que un perill imminent de robatori, ús fraudulent o estafa amenaça l’usuari? Per descomptat, no des del punt de vista tècnic. Almenys fins que no es demostri el contrari, i encara no s’ha demostrat. Els sistemes de pagament més usuals a la Xarxa són segurs al 100%. És a dir, cap “ciberdelinqüent” es pot colar en l’operació de pagament ni robar les claus de la targeta i els comptes de l’usuari mentre viatgen des de la pàgina de pagament al comerç. Això és vàlid sempre que es compleixin una sèrie de supòsits: que el comerç no actuï de mala fe -cosa que també pot passar en els establiments físics- i que el sistema de pagament, també anomenat passarel.la, que utilitzi aquest comerç no segueixi un protocol segur SSL.
Ara bé, moltes persones pensaran: “Doncs jo he llegit en la premsa que hi ha casos d’ús fraudulent de targetes en què els titulars havien fer compres a Internet”. Fins i tot pot ser que alguna d’aquestes persones hagi experimentat en la pròpia carn aquesta mala experiència. On és el problema si els sistemes són infal.libles? D’una banda, encara que no serveixi d’excusa, cal matisar que aquests casos són poc habituals malgrat l’exagerada ressonància mediàtica que adquireixen. D’una altra, s’ha d’assumir que tota compra té un punt feble en l’actitud de l’usuari. No es tracta de culpar el comprador, per descomptat, sinó de fer-lo conscient que la seguretat de la compra depèn en un 99% d’ell.
Els “ciberdelinqüents” existeixen i estan sempre a l’aguait, però els seus mètodes d’engany no són tècnics sinó psicològics. Juguen amb les debilitats, els desitjos i les pors de les persones per aconseguir les seves claus bancàries. Són grans experts, però no en tècniques de xifratge o d’informàtica, sinó en psicologia humana. Per començar, no arriben a l’usuari amb les mateixes arts que els comerços seriosos.
Aquests lladres d’última generació accedeixen a l’usuari per mitjà de correus electrònics no desitjats que superen els filtres d’spam dels serveis -encara que cada vegada són menys els que ho aconsegueixen-, i que entabanen l’internauta perquè obri un arxiu que li instal.larà un programa espia a l’ordinador. O bé l’inciten a punxar en un enllaç que porta a una pàgina web falsa amb la finalitat d’oferir-li diversos productes a un preu molt reduït o difícil de trobar al país. Altres vegades, la seva tàctica consisteix a donar una falsa alarma a l’usuari perquè mitjançant una adreça URL que li ofereixen entri en una pàgina falsa del seu banc i hi deixi les claus.
Saben que la majoria de vegades fracassaran en l’intent i seran descoberts, però també és cert que un petit percentatge de persones caurà en el parany i els deixarà robar els seus comptes bancaris o els pagarà uns diners pels quals no rebrà res. Com que l’esforç que fan és mínim i l’estafa arriba a centenars de milers de bústies, amb uns pocs incauts que piquin és fàcil recuperar la inversió.
En els servidors, tant del banc com del comerç, i en cada enviament les dades es mantenen en clau amb dos tipus de xifratge, un d’asimètric i un altre de simètric. El xifratge asimètric, conegut generalment com RSA, és un complex sistema que funciona com una valisa diplomàtica on s’allotgen les dades de l’usuari, de nou xifrades amb un algorisme (sistema) simètric. El xifratge RSA funciona amb una clau pública i una altra de privada. La pública serveix per a efectuar el xifratge de les dades, i la privada és l’única que pot desxifrar-les. D’aquesta manera, quan un comprador posa les seves dades en una pàgina de pagaments que fa servir el protocol SSL, utilitza sense saber-ho i de forma automàtica la clau pública per crear una caixa de xifratge asimètric. Dins d’aquesta caixa, el sistema SSL usa un xifratge simètric d’alta complexitat per xifrar les dades. Així, amb aquest doble xifratge, són enviades als servidors del banc i del comerç. Allà resideixen les claus privades per a desxifrar el xifratge asimètric i obrir la caixa, i després desxifrar el simètric.
Pel que fa a la seguretat d’aquest sistema, n’hi ha prou de dir que els més destacats experts del món auguren que el xifratge asimètric RSA es podrà trencar -ser atacat- quan s’inventi l’ordinador quàntic, un fet molt llunyà encara i que seria impossible de dur a terme amb els ordinadors actuals. Quant al simètric, s’utilitzen sobretot dos nivells de complexitat de les claus. El primer és el RC4 128 bit, que està definit com a estàndard pel govern dels Estats Units per a guardar la seva informació sensible.
Protocol d'actuació
La primera mesura perquè això no passi és que l’usuari aprengui a defensar-se de les estafes. Les seves dades bancàries són intransferibles i ha de fixar-se amb deteniment on les escriu. Com a norma infrangible, no s’ha d’obrir mai un correu electrònic que no s’hagi demanat expressament o que tingui un remitent desconegut. Ni bancs ni caixes ni serveis de pagament, com PayPal i d’altres, envien missatges de correu per demanar-li que entri a la seva pàgina, ja sigui per provar nous serveis o per alertar d’algun problema. No ho fan mai i en el cas que ho facin mai li oferiran una adreça URL dins del correu perquè entri en el servei. Li diran, en canvi, que ho faci sempre des de la barra del navegador. En resum, no s’ha d’entrar mai a una pàgina web des d’un correu electrònic que resulti sospitós o que no hàgim demanat. Aquest tipus de correus han de ser traslladats, sense obrir-los, a la carpeta de spam.
En cas que un internauta obri un d’aquests correus de manera accidental i accedeixi a l’adreça web que se li proposa en un enllaç, i en la qual se li ofereix algun producte en venda o se li demana que hi deixi les dades, mai no ha de comprar ni escriure-hi cap dada. És fàcil comprovar que es tracta d’un compte fals: n’hi ha prou de mirar en primer lloc l’adreça del remitent del spam per veure que no es correspon amb la de cap empresa coneguda, sinó que és d’un particular. A més, a la pàgina web que li proposen, el consumidor comprovarà que l’adreça URL no pertany a cap empresa, sinó que és una llarga llista de lletres i nombres sense cap significat. És la primera prova que la pàgina és falsa.
Si l’usuari arriba a una pàgina on se li demana deixar les dades o efectuar la compra del producte que li ofereixen, podrà comprovar que no està en un sistema SSL. Ho sabrà, en primer lloc, perquè l’adreça URL de la pàgina no és “https” (totes les SSL ho són) sinó “http”, i per tant no és una pàgina segura. Amb aquesta dada hauria d’haver-n’hi prou, però és millor seguir la comprovació i buscar un cadenat en la part inferior dreta del navegador (no del lloc web, sinó del navegador). Si no hi és, no cal buscar més: la pàgina és un frau.
Per a completar la comprovació es pot punxar en la capçalera que antecedeix la casella de l’adreça URL en el navegador. Quan ho faci, si la pàgina és SSL, apareixerà la certificació del navegador, que explicarà en una finestra emergent els protocols de xifratge utilitzats, a més de l’empresa de seguretat que verifica el protocol. Les empreses de seguretat no responen mai per pàgines fraudulentes. Si la pàgina ho és, el navegador ens ho farà saber quan punxem en la capçalera, ja que en la finestra emergent anunciarà que la pàgina no està xifrada i les dades que s’hi deixin poden ser usurpades per tercers. Per tant, i després de comprovar-ho, no s’ha de comprar mai en pàgines que no utilitzin protocols SSL per a fer els pagaments.
Però més enllà de prevenir-se contra els fraus, el comprador ha d’estendre la seva cautela a la mateixa ubicació del comerç, perquè no és el mateix comprar a Espanya, França o Anglaterra que fer-ho en alguna exrepública soviètica. Cal ponderar on es compra i la serietat del comerç. Aquest ha de tenir a disposició de l’usuari un servei d’atenció al client amb una adreça de correu electrònic i un telèfon, a més d’altres possibles sistemes. Una altra mostra de botiga segura és que en les condicions del contracte o en l’apartat “qui som” es mostri informació veraç i contrastable sobre el domicili social de l’empresa i els seus titulars.
A més, ha d’especificar a quina legislació s’acull i confirmar que compleix la llei de protecció de dades del país al qual pertanyi. No serà sobrer que expliqui els protocols de seguretat que utilitza per emmagatzemar les dades dels particulars. Aquests indicadors es troben en els serveis i les botigues de la majoria de països de l’entorn de la Unió Europea, els Estats Units, el Canadà, Corea, el Japó, el Brasil o la Xina. No obstant això, en altres països també pot haver-hi negocis seriosos i eficaços. Si compleixen els indicadors especificats, ofereixen bones garanties. Com a norma és preferible comprar en botigues grans i de marques globals, entre altres raons perquè a l’hora de reclamar serà més difícil que puguin esquivar les seves responsabilitats.
I finalment, encara que no menys important, s’ha de mantenir l’equip informàtic net, sobretot els qui facin servir qualsevol de les versions del sistema operatiu Windows. Encara que els atacs per programes espies -coneguts com troians- són els que menor incidència tenen, la falta de prevenció i de cures els hi facilita l’entrada.
En primer lloc cal mantenir sempre el sistema operatiu actualitzat. Windows actualitza periòdicament les seves principals versions per corregir vulnerabilitats. És fonamental assegurar-se de tenir un tallafocs instal.lat a l’ordinador i que estigui actualitzat i activat de manera constant, a més de comptar amb un sistema antivirus activat i actualitzat. D’altra banda, s’han d’utilitzar periòdicament programes netejadors de l’ordinador. A la Xarxa se’n poden trobar molts, tant de pagament com a gratuïts. Per acabar, és convenient mantenir el navegador que s’utilitzi sempre actualitzat a l’última versió que s’hagi llançat a la Xarxa.