LUK
26-05-2008, 12:22
Los fraudes a través de la banca en línea y los robos que atacan las compras por la red generaron pérdidas mundiales por más de 105.000 millones de dólares.
Con frecuencia se publican informaciones sobre la peligrosidad de los servicios de banca online o de las compras en Internet. De hecho, se calcula que en 2006, los ciberdelincuentes ganaron 105.000 millones de dólares.
Sin embargo, pensar que cualquier operación que hagamos a través de Internet está siendo observada por ojos malintencionados no responde en absoluto a la realidad. Desde luego que la posibilidad existe, pero de momento no parece implicar un riesgo superior al que corremos cuando usamos nuestra tarjeta de crédito en cualquier comercio tradicional. Bien podría ocurrir que cuando dejemos nuestra tarjeta, alguien anote los datos para realizar operaciones no autorizadas por nosotros o que, simplemente, desaparezca con ella.
En realidad, los delincuentes de la red no suelen atacar directamente a las empresas, sino que dirigen sus esfuerzos contra el eslabón más débil de la cadena: el propio usuario. Así, para un cibercriminal es más fácil obtener datos confidenciales desde una PC particular que intentando "colarse" en un servidor para robar una base de datos o interceptar comunicaciones que en muchos casos se encuentran cifradas.
A continuación, veremos las medidas de seguridad que deben cumplir tanto el negocio online como el usuario, para conseguir la máxima seguridad en las operaciones online.
¿Cómo hacer una página de comercio electrónico segura?
Las páginas web en las que realicemos transacciones online deben cumplir una serie de requisitos técnicos para garantizar la seguridad de los usuarios.
Son los siguientes:
Tienen que garantizar que los datos introducidos para realizar la transacción sólo sean accesibles a las partes implicadas en la misma, lo cual puede hacerse cifrando esa información.
Deben mantener la integridad de la información durante toda la operación, de forma que no puedan ser manipulados. Esto se consigue con el empleo de firmas digitales.
Finalmente, tienen que verificar la identidad tanto de la parte compradora como de la vendedora, lo cual se logra mediante la emisión de certificados digitales.
Para conseguir esto, se han desarrollado protocolos de seguridad para comercio electrónico que cumplen, totalmente o en parte, estos requisitos.
¿Qué es un protocolo de seguridad?
Un protocolo de seguridad no es ni más ni menos que un paquete de especificaciones desarrolladas para conseguir una manera segura de realizar transacciones electrónicas, procurando el cumplimiento de los requisitos antes mencionados.
En ellas están involucrados el usuario final, el comerciante, las entidades financieras, las compañías administradoras de tarjetas y los propietarios de las marcas de tarjetas.
El sistema de transacciones seguras más utilizado en la actualidad se basa, principalmente, en el protocolo de seguridad SSL (Secure Socket Layer).
Éste se encarga de cifrar los datos introducidos y de descifrarlos cuando llegan a su destino. De esta forma, aunque una tercera persona interceptase los datos, no podría acceder a ellos sin una clave capaz de descifrar la información.
En este protocolo, tan sólo el vendedor muestra un certificado digital que verifica su identidad, cosa que no hace el comprador.
Asegurar el servidor
Además de emplear un sistema de transacción seguro, cualquier empresa de comercio electrónico que se precie ha de tener la certificación de seguridad para sus servidores otorgada por alguna autoridad certificadora reconocida. Realmente, en este aspecto, no hay mucha diferencia con el comercio tradicional ya que, al igual que nadie daría sus datos a la primera persona que intentase venderle algo, tampoco debería introducirlos en servidores que no tengan esta certificación.
Por otra parte, la empresa también debe cuidar que sus servidores estén totalmente libres de virus o de troyanos para preservar la integridad de los datos que poseen. De hecho, algunos de estos virus y troyanos son introducidos en los sistemas informáticos con el único objetivo de provocar vulnerabilidades en los servidores de tal forma, que permitan a un hacker realizar distintas acciones, como puede ser la extracción de una base de datos de clientes.
Las autoridades certificadoras se encargan de verificar que el servidor es capaz de soportar el protocolo de seguridad. Asimismo, se ocupan de expedir los certificados digitales a empresas o compradores.
Existen varias autoridades de certificación; de ellas Verisign es la más conocida internacionalmente.
¿Qué medidas de seguridad deben adoptar los usuarios?
Antes de hacer una compra online o de acceder a un servicio bancario de Internet es básico asegurarse de que no existe ningún virus instalado en la computadora que se encuentre activo en ese momento.
En este sentido los más comunes, y también los más peligrosos, son los troyanos bancarios que permanecen a la espera de que el usuario se conecte a determinadas páginas bancarias, sistemas de pago tipo PayPal o tiendas virtuales, para capturar y enviar al delincuente los datos confidenciales que el usuario introduce para realizar la transacción. Según datos de PandaLabs, en estos últimos dos años, el 20% de los troyanos detectados en equipos infectados, contenían troyanos bancarios, lo que da idea de la magnitud de la amenaza.
Por ello, es fundamental disponer de una solución de seguridad perfectamente actualizada. Pero eso no es todo; en la actualidad nos encontramos en una nueva dinámica del malware, en la que los delincuentes tratan de poner en circulación muchos códigos maliciosos que se instalan de forma silenciosa. Con ello, pretenden que las compañías de seguridad no se percaten de su presencia y, por tanto, no puedan elaborar las vacunas necesarias para neutralizarlos. Así, es necesario complementar las soluciones de seguridad tradicionales con tecnologías proactivas capaces de detectar amenazas por sí mismas analizando su comportamiento, y sin necesidad de conocerlos con anterioridad.
Además, es muy conveniente utilizar herramientas de “segunda opinión”. Dado el enorme volumen de nuevas amenazas que aparecen cada día, los laboratorios de seguridad muchas veces no dan abasto, y esto provoca que no todas las soluciones antimalware detecten lo mismo. Debido a ello, es muy recomendable analizar el equipo con una solución capaz de detectar más malware que otras soluciones.
Nunca hay que hacer caso a los mensajes de spam publicitarios. Por muy atractiva que pueda parecer una oferta, el hecho de provenir de una fuente dudosa ya debe despertar recelo. ¿Estamos seguros de que se trata de un auténtico vendedor o se trata de un delincuente que solo trata de estafar a los usuarios vendiendo productos que nunca enviará? O aún peor ¿ese spam no tendrá como objetivo conseguir nuestros datos bancarios para realizar estafas online y vaciarnos la cuenta corriente o el crédito de la tarjeta?
Otra modalidad del spam es el phishing, que por norma general aparenta provenir de comercios online o entidades financieras.
Habitualmente se presentan ante el usuario con la excusa de algún problema informático, y solicitan confirmar sus datos. Según el Grupo Centro de Cooperación Interbancaria CCI-Seguridad Informática, el fraude en banca online mantiene una tendencia al alza que se encuentra entre un 10% a un 20% anual (2).
Para empezar, ninguna entidad se pondrá en contacto con el usuario para pedirle sus datos personales o confidenciales. De todas formas, en caso de duda, antes de introducir ningún dato, póngase en contacto con el banco donde le confirmarán la veracidad del asunto.
Por supuesto, nunca pulse sobre ningún link que aparezca en dichos mensajes, ya que conducen a páginas que, aunque imitan a los originales, no tienen nada que ver con la tienda o banco en cuestión, y su cometido es robar los datos personales que introduzca en ellas.
Antes de comprar en un comercio online, o en una web de subastas, por ejemplo, es muy recomendable investigar un poco en Internet sobre la reputación del vendedor. De esa manera, podrán evitarse desagradables sorpresas en forma de timadores.
Mantener siempre actualizado su sistema
Muchas veces las aplicaciones o el sistema operativo que tenga instalado en su PC tienen vulnerabilidades que pueden servir para instalar códigos maliciosos o introducirse en el ordenador sin que el usuario se de cuenta de ello. No importa cual sea la aplicación: un problema de seguridad en un reproductor de música puede servir.
La mejor manera de estar siempre al día es utilizar la opción de actualizaciones que suelen incluir la mayoría de las aplicaciones o mantenerse informado sobre las noticias de seguridad más recientes.
No ejecutar nunca archivos que no provengan de fuentes fiables, como adjuntos a mensajes de correo electrónico sospechosos, o descargados desde páginas web de contenido dudoso. Piense que con ello puede estar instalando un código malicioso en su ordenador.
No pagar nunca nada sin estar totalmente seguro
El timo en Internet es mucho más frecuente de lo que parece. No sería la primera persona que compra un móvil de última generación y a cambio recibe una caja con piedras en su interior.
Si se trata de un artículo sobre el que está pujando en una web de subastas, desconfíe de las ofertas que algunos delincuentes, haciéndose pasar por el vendedor del producto, puedan hacerle a través de correo electrónico con la excusa de conseguirle un mejor precio, o una mayor rapidez en la transacción.
No enviar nunca datos confidenciales a través de correo electrónico
Existe la creencia de que este es un método más seguro que utilizar el formulario de compra de la propia página, pero es totalmente falsa. Los delincuentes pueden interceptar esos mensajes.
Utilice su instinto. En muchas ocasiones el aspecto de una página web es un indicio de que nos encontramos frente a un comercio online inseguro. Si tiene dudas, busque referencias positivas en Internet. Si no encuentra ninguna, ni buena ni mala, considere que es como si fueran negativas. A veces los cibercriminales crean páginas que duran muy poco tiempo, tan sólo el necesario para que unos cuantos usuarios desprevenidos sean estafados.
Y finalmente piense que esa idea de "¿y por qué alguien va a atacarme a mi, un simple usuario de la red?", es precisamente la que tienen en mente los delincuentes de Internet. Y tenga por seguro que están sacando muy buen provecho de ella.
Consejos básicos para operar con seguridad en Internet
Compruebe las características de seguridad de la página en la que va a operar (uso de protocolo seguro, sello de certificación de seguridad).
Antes de hacer una compra online o de acceder a un servicio bancario de Internet asegúrese de que no existe ningún virus activo en el PC.
Complemente su antivirus tradicional con tecnologías proactivas que detecten amenazas sin necesidad de actualizaciones.
Utilice herramientas antivirus de "segunda opinión" para descartar la presencia de malware en su PC.
No haga caso nunca a los mensajes de spam publicitarios ni a aquellos que digan provenir de entidades financieras y soliciten datos confidenciales.
Antes de comprar en un comercio online es muy recomendable investigar sobre la reputación del vendedor.
Mantenga siempre actualizado el sistema operativo y las aplicaciones que tenga instaladas en su PC.
Además, no ejecute nunca archivos que provengan de fuentes sospechosas. No pague nunca nada en Internet sin estar totalmente seguro de la honradez del vendedor. Y si está pujando por un artículo en una web de subastas, desconfíe de ofertas que puedan llegarle por otro medio que no sea el del propio portal de subastas. No envíe nunca datos confidenciales a través de correo electrónico. Utilice su instinto. Muchas veces el aspecto de una página web es un indicio de que nos encontramos frente a un comercio online inseguro.
Fuente: infobaeprofesional.com (http://www.infobaeprofesional.com/notas/65937-Como-hacer-transacciones-seguras-a-traves-de-la-Red.html&cookie)
Con frecuencia se publican informaciones sobre la peligrosidad de los servicios de banca online o de las compras en Internet. De hecho, se calcula que en 2006, los ciberdelincuentes ganaron 105.000 millones de dólares.
Sin embargo, pensar que cualquier operación que hagamos a través de Internet está siendo observada por ojos malintencionados no responde en absoluto a la realidad. Desde luego que la posibilidad existe, pero de momento no parece implicar un riesgo superior al que corremos cuando usamos nuestra tarjeta de crédito en cualquier comercio tradicional. Bien podría ocurrir que cuando dejemos nuestra tarjeta, alguien anote los datos para realizar operaciones no autorizadas por nosotros o que, simplemente, desaparezca con ella.
En realidad, los delincuentes de la red no suelen atacar directamente a las empresas, sino que dirigen sus esfuerzos contra el eslabón más débil de la cadena: el propio usuario. Así, para un cibercriminal es más fácil obtener datos confidenciales desde una PC particular que intentando "colarse" en un servidor para robar una base de datos o interceptar comunicaciones que en muchos casos se encuentran cifradas.
A continuación, veremos las medidas de seguridad que deben cumplir tanto el negocio online como el usuario, para conseguir la máxima seguridad en las operaciones online.
¿Cómo hacer una página de comercio electrónico segura?
Las páginas web en las que realicemos transacciones online deben cumplir una serie de requisitos técnicos para garantizar la seguridad de los usuarios.
Son los siguientes:
Tienen que garantizar que los datos introducidos para realizar la transacción sólo sean accesibles a las partes implicadas en la misma, lo cual puede hacerse cifrando esa información.
Deben mantener la integridad de la información durante toda la operación, de forma que no puedan ser manipulados. Esto se consigue con el empleo de firmas digitales.
Finalmente, tienen que verificar la identidad tanto de la parte compradora como de la vendedora, lo cual se logra mediante la emisión de certificados digitales.
Para conseguir esto, se han desarrollado protocolos de seguridad para comercio electrónico que cumplen, totalmente o en parte, estos requisitos.
¿Qué es un protocolo de seguridad?
Un protocolo de seguridad no es ni más ni menos que un paquete de especificaciones desarrolladas para conseguir una manera segura de realizar transacciones electrónicas, procurando el cumplimiento de los requisitos antes mencionados.
En ellas están involucrados el usuario final, el comerciante, las entidades financieras, las compañías administradoras de tarjetas y los propietarios de las marcas de tarjetas.
El sistema de transacciones seguras más utilizado en la actualidad se basa, principalmente, en el protocolo de seguridad SSL (Secure Socket Layer).
Éste se encarga de cifrar los datos introducidos y de descifrarlos cuando llegan a su destino. De esta forma, aunque una tercera persona interceptase los datos, no podría acceder a ellos sin una clave capaz de descifrar la información.
En este protocolo, tan sólo el vendedor muestra un certificado digital que verifica su identidad, cosa que no hace el comprador.
Asegurar el servidor
Además de emplear un sistema de transacción seguro, cualquier empresa de comercio electrónico que se precie ha de tener la certificación de seguridad para sus servidores otorgada por alguna autoridad certificadora reconocida. Realmente, en este aspecto, no hay mucha diferencia con el comercio tradicional ya que, al igual que nadie daría sus datos a la primera persona que intentase venderle algo, tampoco debería introducirlos en servidores que no tengan esta certificación.
Por otra parte, la empresa también debe cuidar que sus servidores estén totalmente libres de virus o de troyanos para preservar la integridad de los datos que poseen. De hecho, algunos de estos virus y troyanos son introducidos en los sistemas informáticos con el único objetivo de provocar vulnerabilidades en los servidores de tal forma, que permitan a un hacker realizar distintas acciones, como puede ser la extracción de una base de datos de clientes.
Las autoridades certificadoras se encargan de verificar que el servidor es capaz de soportar el protocolo de seguridad. Asimismo, se ocupan de expedir los certificados digitales a empresas o compradores.
Existen varias autoridades de certificación; de ellas Verisign es la más conocida internacionalmente.
¿Qué medidas de seguridad deben adoptar los usuarios?
Antes de hacer una compra online o de acceder a un servicio bancario de Internet es básico asegurarse de que no existe ningún virus instalado en la computadora que se encuentre activo en ese momento.
En este sentido los más comunes, y también los más peligrosos, son los troyanos bancarios que permanecen a la espera de que el usuario se conecte a determinadas páginas bancarias, sistemas de pago tipo PayPal o tiendas virtuales, para capturar y enviar al delincuente los datos confidenciales que el usuario introduce para realizar la transacción. Según datos de PandaLabs, en estos últimos dos años, el 20% de los troyanos detectados en equipos infectados, contenían troyanos bancarios, lo que da idea de la magnitud de la amenaza.
Por ello, es fundamental disponer de una solución de seguridad perfectamente actualizada. Pero eso no es todo; en la actualidad nos encontramos en una nueva dinámica del malware, en la que los delincuentes tratan de poner en circulación muchos códigos maliciosos que se instalan de forma silenciosa. Con ello, pretenden que las compañías de seguridad no se percaten de su presencia y, por tanto, no puedan elaborar las vacunas necesarias para neutralizarlos. Así, es necesario complementar las soluciones de seguridad tradicionales con tecnologías proactivas capaces de detectar amenazas por sí mismas analizando su comportamiento, y sin necesidad de conocerlos con anterioridad.
Además, es muy conveniente utilizar herramientas de “segunda opinión”. Dado el enorme volumen de nuevas amenazas que aparecen cada día, los laboratorios de seguridad muchas veces no dan abasto, y esto provoca que no todas las soluciones antimalware detecten lo mismo. Debido a ello, es muy recomendable analizar el equipo con una solución capaz de detectar más malware que otras soluciones.
Nunca hay que hacer caso a los mensajes de spam publicitarios. Por muy atractiva que pueda parecer una oferta, el hecho de provenir de una fuente dudosa ya debe despertar recelo. ¿Estamos seguros de que se trata de un auténtico vendedor o se trata de un delincuente que solo trata de estafar a los usuarios vendiendo productos que nunca enviará? O aún peor ¿ese spam no tendrá como objetivo conseguir nuestros datos bancarios para realizar estafas online y vaciarnos la cuenta corriente o el crédito de la tarjeta?
Otra modalidad del spam es el phishing, que por norma general aparenta provenir de comercios online o entidades financieras.
Habitualmente se presentan ante el usuario con la excusa de algún problema informático, y solicitan confirmar sus datos. Según el Grupo Centro de Cooperación Interbancaria CCI-Seguridad Informática, el fraude en banca online mantiene una tendencia al alza que se encuentra entre un 10% a un 20% anual (2).
Para empezar, ninguna entidad se pondrá en contacto con el usuario para pedirle sus datos personales o confidenciales. De todas formas, en caso de duda, antes de introducir ningún dato, póngase en contacto con el banco donde le confirmarán la veracidad del asunto.
Por supuesto, nunca pulse sobre ningún link que aparezca en dichos mensajes, ya que conducen a páginas que, aunque imitan a los originales, no tienen nada que ver con la tienda o banco en cuestión, y su cometido es robar los datos personales que introduzca en ellas.
Antes de comprar en un comercio online, o en una web de subastas, por ejemplo, es muy recomendable investigar un poco en Internet sobre la reputación del vendedor. De esa manera, podrán evitarse desagradables sorpresas en forma de timadores.
Mantener siempre actualizado su sistema
Muchas veces las aplicaciones o el sistema operativo que tenga instalado en su PC tienen vulnerabilidades que pueden servir para instalar códigos maliciosos o introducirse en el ordenador sin que el usuario se de cuenta de ello. No importa cual sea la aplicación: un problema de seguridad en un reproductor de música puede servir.
La mejor manera de estar siempre al día es utilizar la opción de actualizaciones que suelen incluir la mayoría de las aplicaciones o mantenerse informado sobre las noticias de seguridad más recientes.
No ejecutar nunca archivos que no provengan de fuentes fiables, como adjuntos a mensajes de correo electrónico sospechosos, o descargados desde páginas web de contenido dudoso. Piense que con ello puede estar instalando un código malicioso en su ordenador.
No pagar nunca nada sin estar totalmente seguro
El timo en Internet es mucho más frecuente de lo que parece. No sería la primera persona que compra un móvil de última generación y a cambio recibe una caja con piedras en su interior.
Si se trata de un artículo sobre el que está pujando en una web de subastas, desconfíe de las ofertas que algunos delincuentes, haciéndose pasar por el vendedor del producto, puedan hacerle a través de correo electrónico con la excusa de conseguirle un mejor precio, o una mayor rapidez en la transacción.
No enviar nunca datos confidenciales a través de correo electrónico
Existe la creencia de que este es un método más seguro que utilizar el formulario de compra de la propia página, pero es totalmente falsa. Los delincuentes pueden interceptar esos mensajes.
Utilice su instinto. En muchas ocasiones el aspecto de una página web es un indicio de que nos encontramos frente a un comercio online inseguro. Si tiene dudas, busque referencias positivas en Internet. Si no encuentra ninguna, ni buena ni mala, considere que es como si fueran negativas. A veces los cibercriminales crean páginas que duran muy poco tiempo, tan sólo el necesario para que unos cuantos usuarios desprevenidos sean estafados.
Y finalmente piense que esa idea de "¿y por qué alguien va a atacarme a mi, un simple usuario de la red?", es precisamente la que tienen en mente los delincuentes de Internet. Y tenga por seguro que están sacando muy buen provecho de ella.
Consejos básicos para operar con seguridad en Internet
Compruebe las características de seguridad de la página en la que va a operar (uso de protocolo seguro, sello de certificación de seguridad).
Antes de hacer una compra online o de acceder a un servicio bancario de Internet asegúrese de que no existe ningún virus activo en el PC.
Complemente su antivirus tradicional con tecnologías proactivas que detecten amenazas sin necesidad de actualizaciones.
Utilice herramientas antivirus de "segunda opinión" para descartar la presencia de malware en su PC.
No haga caso nunca a los mensajes de spam publicitarios ni a aquellos que digan provenir de entidades financieras y soliciten datos confidenciales.
Antes de comprar en un comercio online es muy recomendable investigar sobre la reputación del vendedor.
Mantenga siempre actualizado el sistema operativo y las aplicaciones que tenga instaladas en su PC.
Además, no ejecute nunca archivos que provengan de fuentes sospechosas. No pague nunca nada en Internet sin estar totalmente seguro de la honradez del vendedor. Y si está pujando por un artículo en una web de subastas, desconfíe de ofertas que puedan llegarle por otro medio que no sea el del propio portal de subastas. No envíe nunca datos confidenciales a través de correo electrónico. Utilice su instinto. Muchas veces el aspecto de una página web es un indicio de que nos encontramos frente a un comercio online inseguro.
Fuente: infobaeprofesional.com (http://www.infobaeprofesional.com/notas/65937-Como-hacer-transacciones-seguras-a-traves-de-la-Red.html&cookie)