Zer egin Interneten modu seguruan ordaintzeko?

Sareko erosketen segurtasuna bermatze aldera, protokolo bat egin du EROSKI CONSUMERek; ordainketa-zerbitzuek eskaintzen dituzten segurtasun-neurrien osagarri izan nahi du
1 urtarrila de 2011
Img internet 2 listado

Zer egin Interneten modu seguruan ordaintzeko?

Salerosketa elektronikoa mantso-mantso ari da hedatzen Espainian. Kontsumitzaileak uzkur samar dabiltza oraindik, eta Sarean ez erosteko arrazoiak zein diren galdetuta, ordainketa-sistemen segurtasunak sortzen dizkien zalantzak nabarmentzen dituzte askok. HISPACOOP erakundeak eskatuta (Kontsumitzaile eta Erabiltzaile Kooperatiben Espainiako Konfederazioa), Interneteko ordainketa-sistemak eta horien segurtasun-teknikak aztertu ditu EROSKI CONSUMERek, guztiz seguruak ote diren jakin nahirik. Azterketa horrek erakutsi digunez, sistemek ez daukate akatsik (guztiz seguruak dira), eta erabiltzaileen zuhurtzia falta da arazo nagusia, fidatzeko ez diren orrialdeetan uzten dituztelako beren datuak; horrez gain, ordenagailua bera era gutxitxo zaintzen dute. Sarean egiten ditugun erosketak ahalik eta seguruenak gerta daitezen, azterketa hori egin duten adituek jokabide-protokolo aski zehatza landu dute, iruzurrik baden edo ez antzemateko balio duena, saltegien segurtasuna egokia den edo ez erakusten duena eta ordenagailua garbi edukitzen lagunduko diguna, espioitza-programarik gabe. Jarraian ageri diren aholkuei jaramon eginez gero, nekez izango dugu arazorik Internet bidez egindako ordainketekin.

Sareko saltegi batean zerbait erosten duenak, lehenik, zer produktu edo zerbitzu erosi nahi duen hautatzen du; ondoren, zenbat ale nahi dituen jakinarazten du eta, azkenik, erosketa-orrira joaten da. Bere datuak jarri behar izaten ditu orri horretan (izen-abizenak, nortasun agiriaren zenbakia, harremanetarako telefonoa, eta abar), eta kreditu-txartelaren datuak ere eskatzen dizkiote. Bete beharreko eremuak bete, txartelaren datuak idatzi eta “Erosi” botoiari eragiten dio. Hortik aurrera, ezin izango du kontrolatu han jarri duen informazioarekin zer gertatuko den.

Baina horrek esan nahi ote lapurreta egingo diotela, edo iruzur egiteko erabiliko dituztela haren datuak? Ikuspegi teknikotik, behintzat, inola ere ez. Sarean gehien erabiltzen diren ordainketa-sistemak guztiz seguruak dira. Hau da, ezein zibergaizkile ezingo da sartu ordainketa-eragiketan, eta ezingo ditu lapurtu erabiltzailearen txartel- eta kontu-zenbakiak ordainketa-orritik saltegira doazen tarte horretan. Hori hala izango da, noski, baldintza batzuk betetzen badira: saltegiak ez du ari behar borondate txarrez edo gaiztoz (ohiko saltegietan ere gerta daiteke hori), eta saltegi horrek erabiltzen duen ordainketa-sistemak (pasarela ere esaten zaie) SSL segurtasun-protokoloa eduki behar du.

Eta, hala ere, iruzur egiten digute

Pertsona askok entzun edo irakurri izango dute Interneten egiten dituzten iruzurren berri, norbaitek txartelarekin zerbait erosi duela eta dirua kendu diotela. Edo, agian, norberari gertatu izango zaio horrelako zerbait. Non dago arazoa, beraz, sistemak akasgabeak badira? Alde batetik, esan beharra dago oso bakan gertatzen direla gisa horretako iruzurrak, nahiz eta komunikabideetan oihartzun handia ematen dieten. Bestetik, jakin behar dugu erosketa orok baduela bere ahulgunea: erabiltzailearen jokabidea, hain zuzen. Hori esanda, ez dugu eroslea egin nahi errudun, ezta gutxiago ere, baina ulertarazi nahi diogu, ia erabat (% 99an), haren eskuetan dagoela erosketa modu seguruan egitea.

Sarean erabiltzen diren ohiko
ordainketa-sistemak erabat seguruak dira

Zibergaizkileak badaude, jakina, eta erne egoten dira beti, baina horien metodoak ez dira teknikoak, ezpada psikologikoak. Pertsonen ahultasunekin, desirekin eta beldurrekin jokatzen dute bankuko kodeak-eta eskuratzeko. Aditu handiak dira, baina ez zifratze-tekniketan edo informatikan, giza psikologian baizik. Hasteko, ez dira iristen erabiltzaileengana saltegi serioek egiten duten modu berean.

Azken belaunaldiko lapur horiek posta elektronikoaren bidez heltzen dira erabiltzaileengana: nahi ez dituen mezuak bidaltzen dizkiote erabiltzaileari, mezu horiek posta-zerbitzuen spam-iragazkiak gainditzen dituzte (gero eta gutxiagok, egia esan), eta limurtu egiten dute erabiltzailea, artxibo bat ireki dezan; artxibo hori irekita, espioitza-programa bat instalatuko zaio ordenagailuan. Azaldu berri dugun hori da bideetako bat, baina badira gehiago ere. Gezurrezko web-orri batera joateko lotura bat ager daiteke mezu elektronikoan, produktu merke-merkeak edo inguruan nekez aurki daitezkeenak eskura ditzan. Beste zenbaitetan, gezurrezko alarma-oharra bidaltzen diote erabiltzaileari, URL helbide baten bidez bankuaren gezurrezko orri batean sar dadin eta bere zenbaki ezkutuak-eta han idatz ditzan.

Badakite gehien-gehienetan huts egingo dutela eta erabiltzaileak iruzurrari antzemango diola, baina badakite, halaber, gutxi batzuk irentsiko dutela amua eta haien bankutik dirua ateratzeko modua emango dietela edo erosketa bat egingo dutela (dirua ordaindu gezurrezko zerbaiten truke). Ahalegin txiki-txikiarekin, milaka postontzitara heltzen dira beren mezuak, eta bidean norbait harrapatzen badute, horixe gehiago zakurako!

SSL, metodo akasgabea

SSL siglak “Secure Sockets Layer” esan nahi du ingelesez (konexio-geruza segurua). Prozesu bat da SSL delakoa, eta hauxe egitean du: eroslearen txartelaren datuak hartu eta kode alfanumeriko konplexu bihurtzen ditu lehenik, eta gero, zifratuta bidaltzen dizkio saltzaileari. Behin hari iristen zaizkionean, erabiltzailearen bankuari edo kreditu-erakundeari igortzen dizkio saltzaileak, eta ordain diezaiotela eskatzen die. Erakundeak baieztatu egiten du eskaria baliozkoa dela, eta, ondoren, transferentzia egiten du. Prozesu hori guztia modu automatikoan gertatzen da zerbitzarien artean, eta bidalketa bakoitzean datuak dezifratu eta irakurri egiten dituzte, eta berriz zifratu. Eragiketa horrek, gutxi gorabehera, lau segundo irauten du.

Bankuen zerbitzariak eta saltegienak guztiz seguruak dira. Zerbitzari horietan eta bidalketa bakoitzean, datuak kodetuta egoten dira, bi modutara zifratuta beti: modu asimetrikoan eta simetrikoan. Zifratze asimetrikoa (RSA esaten zaio) sistema konplexua da; zorro diplomatiko baten moduan funtzionatzen du, non erabiltzailearen datuak gordetzen diren, berriz ere zifratuta, algoritmo (sistema) simetriko batekin, hain zuzen. Kode publiko batekin eta beste kode pribatu batekin funtzionatzen du RSA zifratzeak. Kode publikoak zifratzen ditu datuak, eta kode pribatuarekin soilik dezifratu daitezke. Era horretan, erosle batek ordainketa-orri batean sartu eta bere datuak jartzen dituenean, jakin gabe, eta modu automatikoan, kode publikoa erabiltzen ari da eta zifratze asimetrikoa duen kutxa bat sortzen du. Kutxa horren barruan, SSL sistemak, zifratze simetriko arras konplexua erabiltzen du datuak zifratzeko. Eta halaxe iristen dira datuak bankuaren eta saltegiaren zerbitzarietara, bi aldiz zifratuta. Hantxe daude kode pribatuak, lehenik asimetrikoa dezifratu eta kutxa irekitzeko, eta gero simetrikoa dezifratzeko.

Sistema horren segurtasuna zenbaterainokoa den ikusteko, aski da adituen iritziari erreparatzea. Horiek diotenez, RSA zifratze asimetrikoa desegin ahal izateko (erasotzeko), ordenagailu kuantikoak beharko lirateke, eta horiek oso urrun daude oraindik; egungo ordenagailuekin, ezinezkoa da. Simetrikoari dagokionez, bi maila erabiltzen dira gehienbat kodeen konplexutasunean. RC4 128 bit da lehenbizikoa, zeina estandar gisa definitu baitu Ameriketako Estatu Batuetako gobernuak informazio kontuzkoa gordetzeko.

Jokabide-protokoloa

1. Ikasi iruzurrari aurre hartzen

Iruzurrik egin ez diezaioten, horiei aurre hartzen ikasi behar du erabiltzaileak. Bankuko datuak bereak ditu, ezin dizkio inori utzi, eta kontu handiarekin zaindu behar du non idazten dituen eta non ez. Hauxe da ezin hautsizko araua: sekula ez da ireki behar norberak espresuki eskatu ez duen mezu elektronikorik, ez eta igorle ezezaguna duenik. Bankuek eta aurrezki kutxek ez dute bidaltzen mezu elektronikorik, haien orrira sartu eta zerbitzu berri bat proba dezagun eskatuz edo arazoren baten berri emanez, eta ordainketa-zerbitzuek ere ez (PayPal eta gisakoek). Ez dute egiten, eta inoiz egingo balute, sekula ez lukete jarriko URL helbidea mezuaren barrenean, han klik egin eta zerbitzura sar gaitezen. Esango ligukete nabigazio-barra erabiliz egin dezagula. Laburbilduz, sekula ez dugu sartu behar web-orri batera susmo txarra eragin digun mezu elektroniko batetik edo guk eskatu gabeko mezu batetik. Mezu mota hori zaborrontzira bota behar da, ireki ere egin gabe.

Zibergaizkileen metodoak psikologikoak
dira teknikoak bainoago

Mezu horietakoren bat nahigabe irekiko bagenu eta han ageri den loturak web-orri batera eramango bagintu, eta han zerbait erosteko aukera eskainiko baligute edo gure datuak jartzeko eskatuko baligute, sekula ere ez genuke deus erosi behar, ez daturik eman ere. Erraza da gezurrezkoa dela antzematea: spam-a bidali duenaren helbideari erreparatu, eta segituan ohartuko gara ez dela enpresa ezagun batena, norbanako batena baizik. Gainera, eskaini diguten web-orrian ere argi ikusiko dugu URL helbidea ez dagokiola ezein enpresari, eta letra eta zenbaki zerrenda luze bat baino ez dela, inolako zentzurik gabea. Horrexek erakusten du, beste ezerk baino lehen, gezurrezko orria dela.

Era horretako orrialde batean erabiltzaile bati eskatzen badiote datuak utz ditzala edo zerbait eros dezala, berehalaxe ohartuko da ez dagoela SSL sistema batean. URL helbideari begiratu, eta ikusiko du ez dela “https” motakoa (SSL guztiak halakoxeak dira), baizik eta “http” motakoa; horrek esan nahi du ez dela orrialde segurua. Horrekin aski izan behar genuke, baina hobe izaten da egiaztatzen jarraitzea eta nabigatzailearen beheko aldean, eskuinean, giltzarrapo bat bilatzea (ez webgunean, nabigatzailean baizik). Halakorik ageri ez bada, ez da beste deus bilatu beharrik: gezurrezko orrialdea da.

Egiaztatzeko lana guztiz osatzeko, nabigatzailean URL helbidea daraman eremuaren ezkerreko koadrotxoan klik egin dezakegu, nabigatzailean. Hori eginda, orrialdea SSL bada, nabigatzailearen zertifikazioa agertuko da, eta leiho batean erakutsiko digu zer zifratze-protokolo erabili dituen eta zer segurtasun-enpresak egiaztatzen duen protokoloa. Segurtasun-enpresek sekula ez dute babesten gezurrezko orririk. Guk ireki dugun orrialdea gezurrezkoa bada, koadrotxoan klik egindakoan jakinaraziko digu nabigatzaileak, erakutsiko digun leihoan esango baitigu orrialdea ez dagoela zifratua, eta hor uzten ditugun datuak beste norbaitek eskuratu ditzakeela. Beraz, eta orrialdea gezurrezkoa dela egiaztatu ondoren, ez dugu deus ere erosiko, sekula ez baita ordainketarik egin behar SSL protokoloak erabiltzen ez dituzten orrien bidez.

2. Ingurune seguruan erosi

Baina iruzurrei aurre egiteko prestatzeaz gain, saltokia non dagoen ere oso kontuan hartu behar du erosleak, eta hor ere zuhur jokatu, ez baita gauza bera Espainian, Frantzian edo Ingalaterran erostea, edo errepublika sobietar izan zen herrialderen batean egitea. Ongi neurtu behar da non erosten den eta zer berme eta seriotasun eskaintzen duen saltegiak. Besteak beste, bezeroei arreta eskaintzeko zerbitzua eskaini behar dio saltegiak erabiltzaileari, eta helbide elektronikoa eta telefonoa ere bai harremanetarako. Denda segurua dela egiaztatzeko beste seinale bat izaten da kontratuaren baldintzetan edo “Zein gara gu” atalean informazio egiazkoa eta egiaztagarria agertzea enpresaren egoitzari eta jabeei buruz.

Ordenagailua garbi eduki behar da eta
sistema eragilea, eguneratua

Gainera, adierazi egin behar du zer legediri atxikitzen zaion eta baieztatu egin behar du egoki betetzen duela Datuak Babesteko Legea (dagokion herrialdekoa). Eta ez litzateke seinale txarra, norbanakoen datuak gordetzeko zer segurtasun-protokolo erabiltzen dituen adieraziko balu ere. Adierazle horiek agerian eduki ohi dituzte Europako Batasunak biltzen dituen herrialde gehienetako zerbitzu eta saltegiek, bai eta beste hainbat herrialdetakoek ere: Ameriketako Estatu Batuak, Kanada, Korea, Japonia, Brasil, Txina… Dena den, beste zenbait herrialdetan ere aurki litezke negozio serio eta eraginkorrak. Zerrendatu ditugun adierazle horiek baldin badauzkate, berme onak eskainiko dituzte. Oro har, hobe izaten da denda handi eta marka globalekoetan erostea, besteak beste, erreklamatzeko orduan, zailagoa gertatuko zaielako beren ardurak eta erantzukizunak saihestea.

3. Ordenagailua garbi eduki

Eta, azkenik -ez garrantzi gutxien duelako-, ordenagailua garbi eduki behar da, batez ere Windows sistema eragilearen bertsioak erabiltzen badira. Nahiz eta espioitza-programen erasoek daukaten eraginik gutxien (troiar ere esaten zaie), prebentzio eta zainketa faltak erraztu egiten du horiek ordenagailuan sartzea.

Lehenik eta behin, eguneratua eduki behar da sistema eragilea. Windows-ek aldian behin eguneratzen ditu bere bertsio nagusiak, ahulguneak zuzentzeko. Funtsezkoa da ordenagailuan suebaki bat instalatuta edukitzea, eta une orotan eguneratua eta aktibatua egon dadin; horrez gain, birusen aurkakoa ere eduki behar du, hori ere aktibatua eta eguneratua. Bestalde, ordenagailua garbitzeko programak erabili behar dira maiz samar. Sarean aurki litezke horietako asko, batzuk ordainduta erabiltzekoak eta doakoak beste zenbait. Bukatzeko, komeni izaten da nabigatzailearen bertsioa Sarean jarri duten azkena izan dadila beti.