Comercio Electrónico Seguro
A pesar del panorama económico mundial del que no podemos escapar de momento, se puede decir que el comercio electrónico no deja de crecer; siendo cada vez más habitual en las transacciones diarias, tanto para gestiones bancarias como para el pago de productos o servicios.
Su popularización general ha ido creciendo de forma paralela a la confianza acentuada de los usuarios en su utilización. Sin embargo, utilizar estos servicios implica una serie de amenazas relacionadas con la seguridad, tanto de los datos personales como de nuestro dinero; caracterizado por el fraude y los diferentes tipos de abuso que existen. Por este motivo, debemos ser cautos a la hora de realizar nuestras gestiones online, y tener en consideración una serie de buenas prácticas que garanticen de alguna forma que las transacciones se realizan de forma correcta.
Los sistemas de autenticación permiten verificar la identidad durante todo el proceso de compra, y aunque existen diferentes medios que lo permiten, siempre dependerán en gran medida de la infraestructura del comercio online. La forma más tradicional y “rudimentaria” en cuanto a sistema de autenticación sería el uso del nombre de usuario y clave asociada, aunque en ocasiones viene reforzada con utilidades como teclados virtuales. No obstante, actualmente existen múltiples mecanismos que han ido mejorando considerablemente con el tiempo, entre los que se encuentran las tarjetas inteligentes, los tokens, los dispositivos biométricos, y los certificados y firmas electrónicas.
Durante las transacciones, además deberemos fijarnos en el cifrado de las mismas para asegurar la integridad de los datos y su intercepción durante el proceso. A través del conocido protocolo de autenticación SSL, se desarrolla el HTTPS; que se identifica en el navegador de forma https:// en lugar del habitual http://. Deberemos observar siempre su existencia para asegurarnos la seguridad en el trascurso de las operaciones.
Siguiendo en esta línea, también deberemos verificar si la URL que se indica durante todo el proceso corresponde con la del comercio o entidad en sí; ya que es posible la simulación de empresa a través de la modificación de uno de los dígitos de la URL, y que con un “look and feel” similar se pueda estar proporcionando datos a una empresa diferente.
En muchas ocasiones también podremos encontrarnos con situaciones que nos hagan sospechar a primera vista, por lo que deberemos ser más cautos. Por ejemplo si nos solicitan datos que creamos excesivos para la transacción que estamos realizando, que el certificado de seguridad proporcionado se encuentre caducado o no sea válido, o simplemente que no haya ninguna información sobre la razón social de la empresa, dirección, medio de contacto o CIF. En todos estos casos, a parte de parar temporalmente la transacción comercial, se podrá acudir a la búsqueda de opiniones de demás usuarios acerca de la reputación de dicho comercio.
Nunca debemos olvidar también que en Internet existe la letra pequeña y se puede jugar con ello. Es importante leer atentamente los términos y condiciones de contratación que se aceptan de forma previa, que no pueda sorprendernos ninguna situación posterior desconocida. Además, una vez finalizado un proceso de compra, la empresa deberá notificar mediante correo electrónico al usuario la confirmación de la compra y su valor. Y no queda ahí, además nuestra tarea posterior será la comprobación en el banco para verificar que el importe cargado es el correcto.
Actualmente existen muchas certificaciones válidas expedidas por diferentes agentes que puedan disponer el comercio online, como puedan ser Trust-e, Confianza Online o Verisign; que garantizan en un primer momento la confianza del sitio web. No obstante, debemos siempre ser cautos y prestar la mayor diligencia posible en el proceso, ya que el desarrollo de la tecnología no permite siempre que pueda ser utilizada de forma segura; y menos cuando hay dinero de por medio.
Iván Ontañón Ramos
Consultor en Áudea Seguridad de la Información.