Llegó el gran día: estamos en pleno Black Friday y nos espera el Ciber Monday, dos de los días sagrados para la compra online, una modalidad de consumo totalmente asentada en los hábitos de los españoles.

El comercio electrónico ofrece un nicho de mercado muy atractivo para el cibercrimen, que estos días de compra online intenta hacer el agosto. El responsable de ciberseguridad de la tecnológica Sothis, Alejandro Aliaga, ofrece un decálogo de consejos sobre precauciones básicas que conviene adoptar para evitar sorpresas desagradables en la cuenta bancaria y/o robo de datos personales.

“En nuestra empresa tenemos el compromiso social de divulgar medidas para protegerse en un asunto sobre el que hay que hacer pedagogía”, explica Aliaga, quien celebra que los medios de comunicación están muy concienciados con este tema.

No nos cansaremos de repetir: sentido común

Antes que tomar precauciones de ciberseguridad, hay que empezar por “aplicar el sentido común y desconfiar de las gangas». Es la primera medida, que no es de carácter técnica. “Hay supergangas que vemos fácilmente que son falsas”, defiende. Los chollos pueden llegar a cegar con consecuencias nefastas: “La ilusión por la ganga hace que el consumidor baje sus defensas y se convierta en el objetivo perfecto para los cibercriminales”.

La mejor vacuna es haber “monitorizado” los precios de semanas anteriores. Si el televisor costaba 800 euros y ahora se vende por 100 “deberíamos desconfiar y estar alerta”. De paso, si se dispone de un histórico reciente del precio se evita “caer en la trampa” del sube-baja, elevar el PVP en los días previos, para recortarlo hasta el precio habitual en los días de superventas.

En tercer lugar, si se opta por la compra online, que sea en comercios de confianza, de marcas conocidas. ¿Y si parecen y no son? ¿Cómo verificar que efectivamente es la plataforma de ventas real y no una web fake?

Confirmar la autenticidad de la web

“Cuando accedemos a una dirección de internet, hay que fijarse bien, hay que comprobar que la URL se corresponde con la que queremos visitar”, apunta Alejandro Aliaga. Conviene verificar que en la barra de navegación aparezca la dirección correcta. “Hay que fijarse bien porque los cibercriminales usan técnicas homomórficas: cambian una o por un cero o una I por una L y nuestro cerebro autocompleta la lectura como si fueran las grafías reales. Es un truco de ciberdelincuencia muy usado”, explica Alejandro Aliaga.

Una cuarta verificación consiste en observar que la dirección sea https. Eso significa que es una conexión cifrada, correcta. Aunque esta verificación no siempre es suficiente, habrá que comprobar que el cifrado esté emitido y certificado por una entidad reconocida. Porque los ciberdelincuentes pueden utilizar certificados gratuitos que sacan de internet.

El certificado deberá ser SSL. Es el quinto mandamiento del protocolo para evitar ciberestafas. ¿Cómo saber si la web está bien certificada? A la izquierda de la dirección, justo antes de https figura un circulo pequeño con la i de información o el icono de un candado. Una vez clickado deberá aparecer la mención “certificado válido”, que, cuando se pincha remite a la información del certificado. Debe haberse emitido por GlobalSign Root CA y tener una fecha de validez. Debe haber sido “emitido para” la página en cuestión. En ese punto, hay que comprobar que el nombre de la web es el correcto.

La sexta medida de prevención remite a las llamadas “direcciones acortadas” que se utilizan en cadenas de divulgación de cupones o enlaces que se envían por whatsapp con promociones de chollos. Una vez pinchas no remite a la dirección real, sino a una página falsa. No siempre, por supuesto, resulta ser una estafa el enlace que llega a través de redes sociales, aunque conviene extremar las alertas cuando no se accede directamente al portal de ventas.

El responsable del departamento de ciberseguridad de Sothis comenta el caso de los canales de gangas con los llamados “enlaces de referidos” tan en boga en redes, sobre todo en Telegram. Cada vez que un usuario llega a la página a comprar usando estos enlaces, una parte del dinero que se paga llega a ese intermediario comercial facilitador. “No es un delito”, subraya Aliaga, pero, de nuevo, hay que extremar la cautela. “Si ves algo raro, desconfía”, es su máxima.

Mejor, tarjeta monedero

En séptimo lugar, siempre y especialmente estos días conviene mantener alta la guardia ante cualquier mensaje comercial recibido en redes o en el mail. Suelen enviarse correos simulando ser establecimientos conocidos y con gráficas muy atractivas que incorporan un botón de “compre ahora”, que remiten a páginas falsas en las que piden datos bancarios. En esos casos, conviene adoptar las prevenciones apuntadas.

¿Y qué medio y canal de pago utilizar? La octava medida y una de las más importantes radica en procurar usar las tarjetas monedero, especialmente concebidas por las entidades bancarias para las compras por internet. Son tarjetas recargables de tal forma que su capacidad de hacer frente a las compras alcanza hasta donde llega el saldo. “Lo ideal es cargar el importe de la compra que se va a hacer. De este modo, si alguien llegara a reutilizarla no podrá sacar dinero”, afirma Aliaga. En los días posteriores hay que revisar los movimientos bancarios para detectar si hay algún cargo extraño.

No compres a través de redes públicas

Saltarse el noveno consejo es asumir un innecesario alto riesgo. “Nunca hay que hacer compras con redes inalámbricas de lugares públicos”. Los ciberdelincuentes pueden utilizar la llamada técnica Man In The Middle (MITM), hombre en medio. El cibercriminal se sitúa entre el portátil, smartphone o tableta y el router del wifi público para suplantar la identidad de la tienda y vampirizar todos los datos de la tarjeta del comprador.

El precepto número diez de este decálogo Sothis para la compra online segura es válido para la ciberseguridad doméstica en general: “Siempre hay que tener actualizadas nuestras aplicaciones y equipos, porque resuelven fallos de seguridad, brechas y puntos débiles detectados en versiones anteriores”, concluye.