Como pagar con seguridade en Internet?
O comercio electrónico en España non medra ao ritmo que sería desexable. Entre as principais razóns que os usuarios esgrimen para non mercaren na Rede está o receo á seguridade dos sistemas de pagamento. EROSKI CONSUMER analizou, a petición de HISPACOOP (Confederación Española de Cooperativas de Consumidores e Usuarios), os sistemas de pagamento e as súas técnicas de seguridade co fin de saber se son totalmente seguras. A principal conclusión foi que o talón de Aquiles da compra non está nos sistemas, completamente seguros, senón nas cautelas do usuario á hora de deixar os seus datos en páxinas non fiables e na falta de coidados do ordenador. Para asegurar ao máximo a compra on line, os expertos que elaboraron este estudo crearon un detallado protocolo de actuación que detecta a fraude, valora a seguridade dos comercios e mantén o ordenador libre de programas espía. Se se seguen os consellos ditados deseguido, o risco de sufrir problemas no apartado da seguridade nos pagamentos realizados en Internet reduciranse de xeito notable.
Sempre que o usuario merca nun comercio on line selecciona o produto ou servizo que vai mercar, especifica o seu número de unidades e preme o botón de “ir á páxina compra”. Deste xeito, chega a unha páxina na que se lle pide que deixe algúns dos seus datos persoais -nome, apelidos, documento nacional de identidade, teléfono de contacto, etc.- e mais os datos da súa tarxeta de crédito ou débito. O comprador enche entón os campos requiridos, escribe os datos da súa tarxeta e preme o botón de “executar a compra”. A partir de aí, perde o control da información que depositou.
Significa isto que un perigo inminente de roubo, uso fraudulento ou estafa axexa ao usuario? Dende logo, non dende o punto de vista técnico. Polo menos, ata que non se demostre o contrario, e aínda non se demostrou. Os sistemas de pagamento máis usuais na Rede son seguros 100%. É dicir, ningún “ciberdelincuente” pode introducirse na operación de pagamento nin roubar as claves da tarxeta e as contas do usuario mentres viaxan dende a páxina de pagamento ao comercio. Isto é válido sempre que se cumpran unha serie de supostos: que o comercio non actúe de mala fe -algo que tamén pode suceder nos establecementos físicos- e que o sistema de pagamento, tamén chamado pasarela, que use o devandito comercio sexa un protocolo seguro SSL.
E con todo engánannos
Agora ben, moitas persoas pensarán: “pois eu lin na prensa que existen casos de uso fraudulento de tarxetas de titulares que realizaron compras en Internet”. Ata pode que algunha destas persoas experimentase nas súas propias carnes esta mala experiencia. Onde está o problema se os sistemas son infalibles? Por unha banda, aínda que non sirva de escusa, hai que matizar que estes casos son pouco habituais a pesar da esaxerada resonancia mediática que adquiren. Por outra, débese asumir que toda compra ten un punto débil na actitude do usuario. Non se trata de culpar o comprador, por descontado, senón de facelo consciente de que a seguridade da compra depende nun 99% del.
Os “ciberdelincuentes existen” e están sempre á espreita, pero os seus métodos de engano non son técnicos senón psicolóxicos. Xogan coas debilidades, desexos e medos das persoas para acadaren as súas claves bancarias. Son grandes expertos, pero non en técnicas de cifrado ou informática, senón en psicoloxía humana. Para comezar, non chegan ao usuario coas mesmas artes ca os comercios serios.
Estes ladróns de última xeración acceden ao usuario por medio de correos electrónicos non desexados que superan os filtros de spam dos servizos -aínda que cada vez son menos os que o dan feito-, e engaiolan ao internauta para que abra un arquivo que lles vai instalar un programa espía no ordenador. Ou ben incítano a picar nun enlace que leva a unha páxina web falsa co fin de lle ofrecer diversos produtos a prezo moi reducido ou difícil de atopar no país. Outras veces a súa táctica consiste en darlle unha falsa alarma ao usuario para que mediante un enderezo URL que lle ofrecen entre nunha páxina falsa do seu banco e deixe as súas claves.
Saben que a maioría das ocasións fracasarán no seu intento e serán descubertos, pero tamén é certo que unha pequena porcentaxe de persoas caen na trampa e lles deixan roubar as súas contas bancarias ou lles pagan uns cartos polos que non reciben nada. Como o esforzo que realizan é mínimo e a súa estafa chega a centos de milleiros de caixas de correo, cuns poucos incautos que piquen é doado recuperar o investimento.
SSL, ou “Secure Lay Socked”, fai referencia a un proceso que converte os datos da tarxeta do comprador en complexas claves alfanuméricas para, máis tarde, envialas cifradas ao comerciante. Unha vez alí, este pásaas á entidade de crédito ou banco do usuario e reclama o pagamento. A entidade confirma que a petición é válida e realiza a transferencia. Todo este proceso desenvólvese de xeito automático entre servidores equipados coa maior seguridade, e en cada envío descífranse os datos para lelos e vólvense cifrar. A duración desta operación é de aproximadamente catro segundos.
Nos servidores, tanto do banco coma do comercio, e en cada envío os datos mantéñense en clave con dous tipos de cifrado, un asimétrico e outro simétrico. O cifrado asimétrico, xeralmente coñecido como RSA, é un complexo sistema que funciona como unha valixa diplomática na que se albergan os datos do usuario, de novo cifrados cun algoritmo (sistema) simétrico. O cifrado RSA funciona cunha clave pública e outra privada. A pública serve para realizar o cifrado dos datos, e a privada é a única que pode descifralos. Deste xeito, cando un comprador pon os seus datos nunha páxina de pagamentos que usa o protocolo SSL, usa sen sabelo e de maneira automática a clave pública para crear unha caixa de cifrado asimétrico. Dentro desta caixa, o sistema SSL usa un cifrado simétrico de alta complexidade para cifrar os datos. Así, con este dobre cifrado, son enviados aos servidores do banco e do comercio. Alí residen as claves privadas para descifrar o asimétrico e abrir a caixa, e despois descifrar o simétrico.
Respecto á seguridade deste sistema abonda dicir que os maiores expertos do mundo auguran que o cifrado asimétrico RSA poderá romper -ser atacado- cando se invente o ordenador cuántico, algo moi afastado aínda e que sería imposible de levar a cabo cos ordenadores actuais. No tocante ao simétrico, utilízanse sobre todo dous niveis de complexidade das claves. O primeiro é o RC4 128 bit, que está definido como estándar polo goberno dos Estados Unidos para gardar a súa información sensible.
Protocolo de actuación
A primeira medida para que isto non aconteza é que o usuario aprenda a defenderse das estafas. Os seus datos bancarios son intransferibles e debe fixarse con detemento onde os escribe. Como norma inquebrantable, nunca se debe abrir un correo electrónico que non se pedira expresamente ou que teña un remitente descoñecido. Nin bancos nin caixas nin servizos de pagamento, como PayPal e outros, envían mensaxes de correo para pedirlle que entre na súa páxina, xa sexa para probar novos servizos ou para alertar dalgún problema. Non o fan xamais e no caso de que o fagan nunca lle ofrecerán un enderezo URL dentro do correo para que entre no servizo. Diranlle, pola contra, que o faga sempre dende a barra do navegador. En resumo, non hai que entrar nunca a unha páxina web dende un correo electrónico que resulte sospeitoso ou que non pediramos. Este tipo de correos deben remitirse, sen abrilos, á carpeta de spam.
No caso de que un internauta abra un destes correos de maneira accidental e acceda ao enderezo web que se lle propón nun enlace, e no que se lle ofrece algún produto en venda ou se lle pide que deixe os seus datos, xamais debe mercar ou escribir ningún dato. É doado comprobar que se trata dunha conta falsa: abonda con mirar primeiro o enderezo do remitente do spam e verá que non se corresponde co de ningunha empresa coñecida, senón que é dun particular. Ademais, na páxina web que lle propoñen, o consumidor comprobará que a dirección URL non pertence a empresa ningunha, senón que é unha longa lista de letras e números sen significado ningún. É a primeira proba de que a páxina é falsa.
Se o usuario chega a unha páxina na que se lle pide deixar os seus datos ou onde efectuar a compra do produto que lle ofrecen, poderá comprobar que non está nun sistema SSL. Saberao, en primeiro lugar, porque o enderezo URL da páxina non é “https” (todos os SSL o son) senón “http”, e, polo tanto, non é unha páxina segura. Con este dato debería abondar, pero é mellor seguir a comprobación e buscar un cadeado na parte inferior dereita do navegador (non do sitio web, senón do navegador). Se non existe, non hai que buscar máis: a páxina é unha fraude.
Para completar a comprobación pódese picar na cabeceira que antecede ao cadro do enderezo URL no navegador. Ao facelo, se a páxina é SSL, aparecerá a certificación do navegador, que explicará nunha ventá emerxente os protocolos de cifrado empregados, así como a empresa de seguridade que verifica o protocolo. As empresas de seguridade xamais responden por páxinas fraudulentas. Se a páxina o é, o navegador faránolo saber ao picar na cabeceira, xa que na súa ventá emerxente anunciará que a páxina non está cifrada e que os datos que se deixen nela poden ser usurpados por terceiros. Polo tanto, e tras comprobalo, nunca se debe mercar en páxinas que non utilicen protocolos SSL para realizar os pagamentos.
Pero alén de previrse contra as fraudes, o comprador debe estender a súa cautela á propia situación do comercio, porque non é o mesmo mercar en España, en Francia ou en Inglaterra que facelo nalgunha ex república soviética. Hai que ponderar onde se merca e a seriedade do comercio. Este debe ter á disposición do usuario un servizo de atención ao cliente cun enderezo de correo electrónico e cun teléfono, ademais doutros posibles sistemas. Outra mostra de tenda segura é que nas condicións do contrato ou no apartado “quen son” se amose información veraz e contrastable sobre o domicilio social da empresa e os seus titulares.
Ademais, debe especificar a que lexislación se acolle e confirmar que cumpre coa Lei de protección de datos do país ao que pertence. Non está de máis que explique os protocolos de seguridade que utiliza para almacenar os datos dos particulares. Estes indicadores atópanse nos servizos e tendas da maioría de países do ámbito da Unión Europea, Estados Unidos, Canadá. Corea, Xapón, Brasil ou China. Con todo, noutros países tamén pode haber negocios serios e eficaces. Se cumpren os indicadores especificados, ofrecen boas garantías. Como norma é preferible mercar en tendas grandes e de marcas globais, entre outras razóns porque á hora de reclamar será máis difícil que poidan esquivar as súas responsabilidades.
E, para rematar, aínda que non menos importante, cómpre manter o equipo informático limpo, sobre todo os quen use calquera das versións do sistema operativo Windows. Aínda que os ataques por programas espías -coñecidos como troianos- son os que menor incidencia teñen, a falta de prevención e coidados facilita a súa entrada.
En primeiro lugar hai que manter sempre o sistema operativo actualizado. Windows actualiza periodicamente as súas principais versións para corrixir vulnerabilidades. É fundamental asegurarse de ter un cortalumes instalado no ordenador e de que estea actualizado e activado de xeito constante, amais de contar cun sistema antivirus activado e actualizado. Por outra banda, débense usar periodicamente programas limpadores do ordenador. Na Rede pódense atopar moitos tanto de pagamento como gratuítos. Para rematar, é conveniente manter o navegador que se utilice sempre actualizado á última versión que se lanzase á Rede.