Compras por Internet, e-banking y tarjetas de crédito

freerangestock

La banca digital, las compras por Internet y las tarjetas de crédito simplifican muchos procesos para el usuario y tienen un alto valor agregado, pero a su vez, dado que estamos manejando dinero e información sensible nos exponemos a una serie de delitos informáticos los cuales podemos mitigar estando bien informados y haciendo un correcto uso de la tecnología.

Muchos son los sitios que ofrecen la posibilidad de comprar on-line y la mayoría de los bancos a nivel local disponen de sitios web y aplicaciones móviles para distintas plataformas que permiten realizar operaciones de transferencia y consulta sobre nuestras cuentas. Cualquiera sea el caso de uso, hay una serie de puntos sobre los cuales debemos prestar especial atención con el fin de proteger nuestra información financiera y personal.

Sitios seguros

Ya sea que estemos utilizando una app, un navegador en la pc o en nuestros teléfonos siempre debemos verificar que estamos utilizando el sitio correcto. Son innumerables los casos de Phishing en los cuales un atacante hace pasar una web de un banco u otra como legítima y en realidad estamos ingresando nuestros datos en una fachada falsa, los cuales probablemente luego sean utilizados para realizar transacciones.

Con el fin de mitigar este tipo de ataques, las instituciones financieras y los sitios de compra online disponen de certificados de seguridad.

Los certificados de seguridad permiten cifrar la comunicación entre el usuario y el servidor, haciendo que la información “viaje” siempre en forma encriptada u oculta.

Para verificar qué estamos haciendo uso de un sitio legítimo y seguro hay algunos detalles que debemos tener en cuenta, aquí y a modo de ejemplo presentaremos un caso de uso (el sitio e-brou del BROU) pero qué puede ser aplicado a cualquier navegación segura que queramos realizar.

Al ingresar al sitio lo primero que debemos notar es la barra de navegación, dicha barra despliega al usuario entre otras cosas la URL (dirección a la que accedemos) que debe comenzar con https:// e información asociada al certificado de seguridad que el sitio dispone.

El candado que aparece en la barra, a la izquierda de la dirección del sitio, nos indica que la navegación es segura, haciendo click sobre este podemos ver información básica del certificado.

A partir de aquí podemos acceder a la información completa del certificado, comprobando visualmente que el certificado fue emitido por una entidad certificadora (Entrust) para el BROU (Banco de la República Oriental del Uruguay) y su fecha de validez, entre otros detalles.

Realizando esta simple verificación visual podemos confiar del sitio en el que estamos y a partir de allí ingresar con nuestro usuario y contraseña. Es importante notar que si no estamos seguros del sitio o no podemos verificarlo evitemos ingresar nuestros datos, ya que de este modo podríamos estar siendo víctimas de Phishing.

Tarjetas de crédito

vectorstock

Cuando realizamos compras por Internet con tarjetas de crédito, en general nos solicitan al momento del pago algunos datos como son el nombre del titular, el número, la fecha de vencimiento y los dígitos verificadores que se encuentran al dorso (no en todos los casos).

El proceso es tan simple y el mecanismos de verificación tan pobre que cualquier persona que tenga esta información podría hacer uso de la tarjeta. Es por este motivo que al momento de utilizar la tarjeta resulta importante tener algunas precauciones.

Verificar dónde estamos comprando

Nunca ingresar los datos de la tarjeta en un sitio web o aplicación que no podemos verificar cómo legítimo/a.

Si vamos a algún local a realizar una compra, nunca perder de vista la tarjeta, solicitar el POS y que el crédito se realice delante nuestro.

No realizar copias

Bajo ningún concepto enviar copias escaneadas o fotos de nuestras tarjetas por correo electrónico u otro medio.

Inclusive hoy en día existen algunos rubros como son las agencias de viaje y la hotelería, entre otros, que nos solicitan enviar copias escaneadas o fotocopias de las tarjetas para efectuar la compra de pasajes o realizar reservas.

A pesar de que el uso sea legítimo y esté bajo nuestro consentimiento, no podemos estar seguros del destino final de esas copias, que para los fines de una compra por Internet, tienen la misma validez que el plástico original emitido por el banco.

En caso de que nos pidan estas copias, deberíamos solicitar que nos brinden otra alternativa en la modalidad de pago, que no involucre hacer copias de nuestras tarjetas.

Pérdida del plástico

En caso de extraviar nuestra tarjeta o que detectemos que existen usos no debidos de la misma, es importante que nos pongamos en contacto con el banco emisor para cancelar la tarjeta perdida o solicitar información sobre nuestras últimas compras.

Redes seguras y dispositivos conocidos

vectorstock

Es importante que cuando ingresemos a sitios o aplicaciones que manejan información personal o financiera lo hagamos siempre en dispositivos de confianza y nunca a través de redes wifi públicas a las que cualquiera puede tener acceso.

De este modo podremos evitar ser víctimas de ataques del tipo Spoofing, Sniffing y Phishing.

Evitar e-mails y links engañosos

Una práctica común para obtener información personal es el envío de correos electrónicos en los que se nos pide que ingresemos o enviemos nuestros datos de usuario, datos de tarjetas de crédito o datos de nuestras cuentas bancarias. Lo que realmente está ocurriendo es que estamos ingresando nuestros datos en un sitio falso que se ve idéntico al que suponemos.

Ningún banco envía este tipo de correos, por lo que si recibimos correos o links para ingresar datos es importante verificar que el vínculo que nos envían coincide con el que se abre en el navegador al hacer click sobre el primero.

Que el último apague la luz

Una vez que ingresamos al servicio solicitado e hicimos uso del mismo es importante siempre cerrar sesión. Otra forma de lograr el mismo resultado es utilizar la funcionalidad de los navegadores “navegación en modo incógnito” y cerrar la ventana o pestaña al haber terminado. De esta forma estaremos evitando que nuestra sesión quede abierta y el uso posterior no autorizado de nuestras cuentas.

Todos los navegadores modernos, ya sea para pc o teléfono móvil, ofrecen un modo de navegación incógnito, aquí mostraremos dos ejemplos de cómo iniciar este tipo de navegación en Google Chrome y FireFox, aunque funciona de forma similar en el resto.

En caso de no usar la navegación en modo incógnito, debemos responder no cuando el navegador nos pregunte si queremos guardar nuestros datos al completar un formulario.

Chequeo periódico

Realizar un chequeo regular a nuestros movimientos sobre tarjetas de crédito y cuentas bancarias, puede resultar útil para detectar movimientos irregulares y tomar acción sobre ello.

Autenticación en dos pasos

vectorstock

La autenticación en dos pasos o autenticación en dos factores, es un mecanismo mediante el cual utilizamos además de usuario y contraseña (algo que sabemos), un paso adicional (algo que tenemos) fortaleciendo así el proceso de identificación.

Ese segundo paso generalmente está asociado al uso de token de seguridad, tarjeta de coordenadas, sms u algún rasgo biométrico como puede ser la huella dactilar, entre otros.

Ya sea que estemos ingresando a nuestro correo electrónico, nuestras redes sociales o el sitio de nuestro banco, podemos verificar si estos cuentan con el proceso de autenticación en dos pasos y utilizarlo o solicitarlo en caso de que esté disponible.

Aquí una lista de las referencias en seguridad de los principales bancos locales, servicios y redes sociales y las prestaciones y alternativas que estos ofrecen.

Bancos

BBVA → https://www.bbva.com.uy/Inicio/Medidas_de_seguridad

Itau → https://www.itau.com.uy/inst/masSeguridadInternet.html

BROU → https://www.brou.com.uy/personas/servicios/Internet/llave-digital

Santander → https://www.santander.com.uy/movil/seguridad.html

ScotiaBank → https://www.scotiabank.com.uy/Acerca-de/canales-de-atencion/ScotiaMovil

Servicios

Gmail → https://support.google.com/accounts/answer/185839?co=GENIE.Platform%3DDesktop&hl=es

Outlook → https://support.microsoft.com/es-uy/help/12408/microsoft-account-how-to-use-two-step-verification

FaceBook → https://www.facebook.com/help/148233965247823

Twitter → https://help.twitter.com/en/managing-your-account/two-factor-authentication

Instagram → https://help.instagram.com/1124604297705184

Algunas consideraciones finales

Como conclusiones de este artículo se puede destacar un breve listado de medidas a tener en cuenta cuando hacemos uso de Internet con nuestros datos personales.

• Modificar los valores por defecto (datos de fábrica) de nuestros dispositivos, entre estos, routers, modems, cámaras, smart-tv, o cualquier otro con conexión a Internet.
• Siempre acceder a Internet en dispositivos y redes de confianza. De no ser posible, evitar recordar datos de acceso y utilizar la negación incógnito del navegador.
• Seleccionar contraseñas fuertes y hacer uso de la autenticación en dos pasos cuando esté disponible.
• Siempre que ingresemos información personal o financiera verificar que estemos en un sitio seguro.
• Estar informados sobre los distintos tipos de trampas a las que nos exponemos en Internet.

Dónde recurrir en caso de incidentes

En caso de que seamos víctimas de un delito informático, violación en el uso de nuestros datos personales o simplemente queramos realizar consultas sobre alguno de estos temas, los siguientes datos pueden ser de utilidad.

Unidad Reguladora y de Control de Datos Personales (URCDP)

- Contacto: infourcdp@datospersonales.gub.uy
- Web: https://datospersonales.gub.uy

Centro Nacional de Respuesta a Incidentes de Seguridad Informática (Cert.uy)

- Contacto: cert@cert.uy
- Web: https://www.cert.uy

Seguridad de la Información — Agesic

- Contacto: seguridad.informacion@agesic.gub.uy
- Web: https://agesic.gub.uy/

Campaña de sensibilización Seguro te Conectás

- Contacto: seguroteconectas@cert.uy