Seguridad en transacciones electrónicas

El comercio electrónico, o e-commerce, no es más que el uso de las tecnologías de comunicación, como lo es Internet (aunque pueden ser otras), para realizar la gestión de negocios y transacciones comerciales, ya sea en parte o completamente.

Por su parte, la banca electrónica o e-banking se define como aquel sistema que pone a disposición del cliente todos los medios para la realización de transacciones bancarias vía Internet.

Es normal que este tipo de acciones genere desconfianza y suspicacias en el público, ya que suelen desconocerse los medios de seguridad brindados por los bancos/empresas, así como el nivel de privacidad con el cual es manejada la información, además de las regulaciones legales vigentes en los países en que se realiza la transacción.

Como en el mundo físico, conocer las distintas formas de realizar transacciones comerciales virtuales así como las posibilidades de ser engañado (defraudado, estafado, etc) es fundamental para manejarse comercialmente en forma correcta.

Un usuario puede realizar las siguientes transacciones en los siguientes sitios:

-Compra/venta/alquiler de productos/servicios en sitios de venta online
-Compra/venta/ alquiler/remate productos/servicios en sitios de subastas online
-Pago de productos/servicios en sitios de pago online
-Intercambio de información contable/financiera en bancos online
-Cualquier otra acción que involucre transacciones entre dos partes comunicadas por un canal virtual como Internet

Y, se considera que ocurre un ataque cuando ocurre un evento que tenga como objetivo malograr, intervenir o engañar a las partes involucradas en la transacción.

Los ataques más comunes que pueden llevarse a cabo contra una empresa o usuario son:

Robo de identidad: según la Comisión Federal de Comercio de EE.UU. (Federal Trade Comission)ocurre cuando “alguien usa la información de identificación personal como el nombre, número de razón social (DNI) o número de tarjeta de crédito sin permiso para cometer un fraude u otros crímenes”.

Compromiso de cuentas e impersonalización de usuarios: basado en comprometer las cuentas de correo/financieras/bancarias del usuario para impersonar al mismo en el uso de los servicios a los cuales el usuario tiene acceso. Por ejemplo, si el usuario utiliza su DNI y una clave para ingresar a su home-banking, el objetivo del atacante será lograr obtener estos dos datos para robar al usuario.

Phishing (Password Harvesting): es la recolección de datos privados a través de diferentes métodos que generalmente involucra la Ingeniería Social para engañar al usuario.

Realizando Transacciones

A la hora de realizar transacciones de home-banking, es fundamental analizar algunos puntos para no caer en los engaños mencionados. Deben considerarse los siguientes aspectos al momento de ingresar a un sitio web o recibir un correo:
1.Generalmente contiene el logo de la entidad para crear la sensación de que el correo es verdadero.
2. No se menciona el nombre del destinatario del correo. Generalmente se recurre a “estimado cliente…” o similares. Este tipo de mensajes no están personalizados a que se envían masivamente, incluso a personas que no son clientes de la entidad que se trate.
3. Muchas veces se incluyen detalles técnicos que el usuario no comprende o que pueden generar incertidumbre o duda ante el desconocimiento.
4. Generalmente este tipo de correo contiene errores gramaticales y de ortografía debido a que quien los escribe (el delincuente o phisher) no presta atención, no le importa o comete el error por desconocimiento de la lengua en la que escribe/traduce.
5.Casi siempre se incluye algún tipo de advertencia o amenaza hacia al cliente para que el mismo caiga en la trampa por miedo.
6.Siempre se observa un enlace sobre el cual el usuario debe hacer clic para ingresar al sitio. Las direcciones web mostradas como enlaces en realidad conducen a otra dirección del sitio falso duplicado y construido para que el usuario ingrese sus datos sensibles.
7. Las direcciones web suelen ser largas, comenzar con números (direcciones IP) y nunca incluyen https como comienzo de la misma, lo que indicaría un sitio seguro. Muchas veces el sitio al que se ingresa puede tener un nombre parecido al real, por ejemplo en este caso “vanamex” o “bananex” para que al usuario se le complique la identificación del mismo.
8.La URL no comienza con https donde la “s” indicaría un sitio seguro. Esta URL puede contener una serie de 4 números separados por un punto (dirección IP), contener un nombre de dominio muy parecido al real o ser larga para confundir al usuario al no ser identificable fácilmente.
9. Suelen contener imágenes simulando botones u otras acciones.
10.El correo que llega es no solicitado (generalmente spam).
11.El sitio web falso se observa de “mala calidad”. Esto suele suceder porque se realizan imágenes tomadas del sitio verdadero sin respetar la calidad del mismo.
12.Las URL comienzan con números o con caracteres poco comunes (ofuscación para engañar al usuario).

Por ejemplo, la dirección http://10.58.228.101 es equivalente a http://00001010001110101110010001100101 (en binario, cada número de la dirección IP corresponde a un octeto) y también equivalente a http://0x51D7232 (el mismo número binario pasado a hexadecimal).

Entonces, los consejos a tener en cuenta son:

1.No está de más recordar: Nunca ingresar a sitios web desde enlaces provistos en correos electrónicos o sitios web.
2.Tipear la URL (dirección del sitio) directamente en el explorador. Si bien con esto no se asegura que el sitio al que se ingresa es el real (debido al pharming), con la aplicación conjunta de otros procedimientos es una buena medida a seguir.
3.Asegurarse que el sitio al que se accede o donde se ingresen los datos sensibles comience con https para asegurar que todas las transacciones web viajarán cifradas.
4.Acompañando a un sitio seguro (https), se debería verificar el candado en la parte inferior (barra de estado) o superior (barra de direcciones) del navegador con el cual accede.
5.Para completar la verificación, se debe realizar doble clic sobre este candado para comprobar el certificado digital del sitio web visitado así como su validez.
6. Instalar un firewall, un antispam y un antivirus con capacidades proactivas para facilitar la detección de cualquier amenaza que pudiera llegar por correo electrónico o se pudiera manifestar en un sitio web.

Como puede verse, los consejos para realizar transacciones seguras son los mismos que para realizar una navegación segura: mantener los ojos abiertos, educarse y utilizar herramientas inteligentes de última generación como ESET NOD32.



Información provista por ESET Latinoamérica

www.eset-la.comCopyright © ESET Latinoamérica. Este artículo se encuentra bajo licencia Creative Commons de Atribución, no comercial y Compartir Obras Derivadas Igual. (by-nc-sa).