Descargar - Hispacoop

ESTUDIO
LA SEGURIDAD EN LOS MEDIOS
DE PAGO EN INTERNET
Noviembre 2010
Confederación Española
de Cooperativas
de Consumidores
y Usuarios
20 años
En cumplimiento de la legislación vigente en materia de asociaciones de consumidores y
usuarios, Real Decreto Legislativo 1/2007 de 16 de noviembre, HISPACOOP no autoriza la
reproducción total o parcial del contenido de este Informe para la realización de ningún tipo
de comunicación comercial. Los datos contenidos en el citado Informe sólo podrán ser
utilizados para fines informativos o formativos carentes de ánimo de lucro y siempre que se
cite expresamente su origen.
Página | 1
ÍNDICE
1.
Introducción.
2.
Objetivos.
3.
Estado actual del comercio electrónico en España.
4.
¿Por qué está tan poco desarrollado el e-commerce en España?
5.
La amenaza de la desconfianza.
6.
El entorno jurídico de la compra online en España.
7.
Las pasarelas de pago, ¿un método seguro?
8.
Los sistemas de pago más comunes en Internet.
9.
El fraude, ¿por qué nos engañan?
10. La nomenclatura del fraude.
11. Protocolo de actuación para comprar con total seguridad en la
Red.
12. Conclusiones.
13. Bibliografía.
Página | 2
1. Introducción.
El comercio electrónico en España no crece al ritmo que sería deseable. Entre las principales
razones que los usuarios esgrimen para no comprar en la Red está el recelo a la seguridad de los
sistemas de pago.
HISPACOOP ha analizado todas las variantes de dichos sistemas y sus protocolos de seguridad para
saber si son totalmente seguros. La principal conclusión ha sido que el talón de Aquiles de la
compra no está en los sistemas, completamente seguros en las actuales circunstancias tecnológicas,
sino en las cautelas del usuario a la hora de dejar sus datos en páginas no fiables, y en la falta de
cuidados del ordenador.
Para asegurar al máximo la compra en Internet, HISPACOOP ha diseñado un detallado protocolo de
actuación para detectar el fraude, para valorar la seguridad de los comercios y para mantener el
ordenador libre de programas espía. Si se siguen los consejos dictados en adelante, el riesgo de
problemas se reducirá prácticamente del todo.
El dinero en Internet tiene las mismas bases que en cualquier otro ámbito: la equivalencia, la
confianza, la seguridad y el acuerdo. El dinero virtual, que se expresa en las tarjetas de plástico -y
ellas mismas son un signo de la confianza de una entidad crediticia en el consumidor- se ha medido
primero en impulsos de electrones, después en ondas electromagnéticas y más tarde en bites de
memoria. Es un dinero que no se ve ni se toca, que no hace un ruido característico al caer al suelo;
un dinero que se suma y se resta de las cuentas particulares y que se expresa con las pulsaciones de
un teclado y discurre por canales que el consumidor, a priori, desconoce pero en los que debe
confiar.
Y debe hacerlo porque supone que hay un acuerdo previo sobre el modo en que su dinero se moverá
entre los dos extremos de una operación comercial a larga distancia. Debe confiar en un acuerdo
sobre seguridad y comercio en un contexto global e interconectado. En los albores de una nueva era,
el usuario debe enfrentarse al hecho de que su dinero se resume cada vez más en números sobre una
pantalla, pero que detrás de los mismos hay sistemas de seguridad lo suficientemente eficaces como
para garantizar que sus transacciones discurrirán con la misma normalidad que los pagos en las
Página | 3
tiendas físicas. Esto es, sin causarle mermas ni perjuicios.
Algunos datos que se aportarán a lo largo del estudio son reveladores de cómo el nivel de reticencia
de los compradores a dejar datos de sus cuentas bancarias -y por tanto de su dinero- en la Red se
mantienen a pesar de la más que sobrada fiabilidad de los sistemas de seguridad empleados en las
pasarelas de pago de los comercios.
Esta reticencia tiene su base en las informaciones periódicas que los medios dan sobre algunas
estafas y sustracciones en el ámbito digital, y en las compras en determinadas tiendas que resultan
insatisfactorias. Los usuarios se hacen entonces siguiente la reflexión: "Si tan seguro es dejar mis
datos en Internet, ¿por qué sigue habiendo consumidores defraudados y timados?". La reflexión es
totalmente lícita, aunque quizás el problema se encuentre en el enfoque de la respuesta.
Los métodos de seguridad y cifrado utilizados en las pasarelas de pago normales en la Red son
100% infalibles hasta la fecha, y los expertos se preguntan a día de hoy cuánto tardará en aparecer
una computadora con capacidad de romperlos. Esto expone de manera implícita que todavía no
existe aparato ni "ciberdelincuente" capaz de romper un sistema de cifrado asimétrico RSA que
transporta en su interior otro cifrado, con claves de hasta 14 rondas, del tipo AES o RC4, que es lo
que se suele usar en el protocolo SSL, el estándar de facto de las pasarelas de pago.
Por lo tanto, no es en la tecnología donde está el talón de Aquiles de la seguridad en el comercio
electrónico, sino en los hábitos y precauciones que el usuario y consumidor toma a la hora de
exponer sus datos -su dinero- en el entorno web. El eslabón débil es el usuario o consumidor, y esto
es algo que los "ciberdelincuentes" saben bien y lo explotan con ahínco. Está ahí la puerta de
entrada de los defraudadores y sustractores de los que se informa con periodicidad en los medios.
Estamos ante un paisaje nuevo, con patrones diferentes que, como usuarios, pueden hacernos sentir
dubitativos y temerosos. Pero no podemos esquivar el hecho de que este paisaje es el inicio de una
nueva etapa y el final de otra, por lo que cuanto antes adoptemos los nuevos modos de comercio y
relación, sin olvidar las debidas precauciones, antes dejaremos de sentirnos excluidos del presente y
del futuro.
Página | 4
2. Objetivos.
La realización de este estudio está encaminado a la consecución de una serie de objetivos fijados
previamente, que se detallan a continuación. Son los siguientes:
•
Clarificar los distintos medios de pago que pueden utilizarse a día de hoy a la hora de
realizar compras o contrataciones de servicios en Internet.
•
Analizar cuales son las distintas ventajas e inconvenientes de cada uno de los sistemas de
pago existentes a la hora de comprar en Internet.
•
Establecer los requisitos de seguridad de los sistemas de pago electrónico basándonos en la
confidencialidad, integridad, autenticación, no repudio, disponibilidad y fiabilidad.
•
Analizar y examinar todos estos nuevos sistemas y mecanismos de seguridad que se
encuentran en la Red, a la hora de realizar compras online y las contrataciones de servicios
en Internet.
•
Determinar cuáles son los protocolos de seguridad existentes en la actualidad, y la fiabilidad
de cada protocolo. Además, se procederá a estudiar y analizar los estándares de seguridad
que las empresas en Internet utilizan para garantizar la fiabilidad en sus operaciones cuando
se procede a la compra o contratación de servicios en la Red.
•
Indagar y examinar hasta qué punto el usuario posee información coherente y precisa sobre
la seguridad de los métodos que utiliza, para exponer su dinero en una operación comercial
en Internet, es decir, ante una compra online o una contratación de servicios en Internet.
•
Dotar al usuario de un sencillo protocolo de actuación cuando surjan dudas a la hora de
hacer una compra o efectuar un pago. Dicho protocolo contempla una serie de normas,
recomendaciones de advertencia e inspección, de fácil resolución, que permiten al usuario
eliminar, casi con total seguridad, cualquier riesgo para ser defraudado.
Página | 5
3. Estado actual del comercio electrónico en España.
El comercio electrónico en España es, en general, una asignatura pendiente. Se trata de un
sector moderno en cuanto a los sistemas de pago y la tecnología web, pero bastante atrasado
en lo referido a la oferta y a la exposición de los productos y servicios puestos a la venta en
Internet. Este atraso más que evidente, se hace mucho más patente, si se relacionan, sobre todo, las
cifras de comercio electrónico en nuestro país con las de los países del entorno de la Unión
Europea.
Los datos del Center for Retail Research1 reflejan que la tasa de ventas realizadas por Internet en
España fue en el año 2009 tan sólo el 1% de las totales, mientras que la media de la UE se situó en
el 4,7%. Tan solo Italia (0,8%), Portugal y Grecia estuvieron por debajo de la media, mientras que
en los países con economías, en teoría, menos solventes, como Polonia, nos doblaron. Entre los más
destacados se encuentran a la cabeza Reino Unido (9,5%), Alemania (8,9%) y Noruega (6,3%).
Véase la siguiente tabla en la que se expone las tasas de venta online de los principales miembros de
la Unión (Fuente CRR):
Sin embargo, España lleva camino de superar en el año 2010 las previsiones que el mismo Center
for Retail Research estimó sobre los datos de la consultora Forrester2, ya que en ellas se suponía un
1
eCommerce and Online Retailing (http://www.retailresearch.org/onlineretailing.php).
2
Forrester Research: The State Of Retailing Online 2009 (http://www.slideshare.net/fred.zimny/forrester-the-state-ofretailing-online-presentation-monaco-oct-2009).
Página | 6
crecimiento del 25% con una subida de la tasa proporcional de ventas online de 1,2%. (Fuente
Forrester ajustado por CRR).
Según datos de la Comisión del Mercado de las Telecomunicaciones (CMT), el comercio
electrónico español creció en los primeros tres meses del año 2010 un 34,8% respecto al mismo
trimestre del año anterior3. De resultar estable este crecimiento a lo largo de todo el año 2010, el
dato indicaría una evolución favorable del comercio electrónico en España, si bien, todavía
insuficiente si se compara con los datos de países como Inglaterra. Véase el siguiente gráfico
(Fuente CMT):
3
Comisión
del
Mercado
de
las
Telecomunicaciones:
Informes
(http://www.cmt.es/cmt_ptl_ext/SelectOption.do?nav=publi_info_comercio_elect).
Página | 7
de
Comercio
Electrónico
La facturación del primer trimestre de este año fue de 1.669,92 millones de euros, la mayor cifra de
ingresos hasta ahora registrada. El número de transacciones alcanzó un total de 23,6 millones en
total, lo que representa un salto del 56,2% respecto al mismo periodo de 2009.
Por sectores, las mayores ganancias se han conseguido en el sector turístico (en el transporte aéreo y
las agencias de viajes) que acapararon el 29,8% del volumen total de negocio: 497,64 millones de
euros. Después se encuentra el marketing directo con un 7,5% de las ganancias, y seguido los
siguientes: el transporte terrestre de viajeros (6,7%), las apuestas y los juegos de azar (6,3%), los
espectáculos artísticos y recreativos (5,7%) y los servicios legales, de contabilidad y de gestión
(4,3%). Véase el siguiente gráfico (Fuente CMT):
Página | 8
Por otro lado, el volumen de negocio de las operaciones hechas desde el extranjero a sitios
españoles se incrementó el 1,6% frente al mismo periodo de año anterior y un 13,1% respecto al
último trimestre de 2009. En total, los extranjeros compraron en sitios de Internet españoles por un
valor de 175,97 millones de euros. Si se suman las operaciones desde el extranjero a sitios
españoles con las que se realizan desde dentro de España a comercios españoles, el cómputo supuso
en el primer trimestre de 2010, el 53,3% del volumen total de negocio (siendo el 10,5% las
exteriores y el 42,8%, las internas), es decir, un total de 891,2 millones de euros.
Ahora bien, las transacciones con origen en España y destino internacional concentraron el 46,6%
de los ingresos, siendo del total de 778,7 millones. Este dato indica que la preferencia de los
usuarios españoles sigue situándose ligeramente en el extranjero frente al nacional. También, un
dato que resulta demoledor es la comparación entre el volumen de compras extranjero en sitios web
españoles (1,6%) y el usuario o consumidor español que realiza sus compras o contratación de
servicios en sitios del exterior en la Red (46,6%): es una balanza claramente deficitaria de 175,97
millones de euros frente a los 778,7 millones. Véase el siguiente gráfico de la Comisión del
Mercado de las Telecomunicaciones (Fuente CMT):
Nota: Hay que tener en cuenta que la metodología que la Comisión del Mercado de las
Telecomunicaciones (CMT) ha utilizado para extraer los datos de sus informes y elaborar los
gráficos antes incluidos, sólo ha tenido en cuenta el comercio electrónico hecho a través de
tarjetas bancarias de pago adscritas a las entidades de pago españolas colaboradoras: SermepaServired, Sistema 4B, Confederación Española de Cajas de Ahorro (CECA-Sistema Euro
6000).
La CMT mantiene un censo de todas las transacciones comerciales electrónicas a través de
terminales de punto de venta virtuales, cuyo pago ha sido realizado a través de las redes de
medios de pago mencionadas anteriormente. Quedan excluidos como medios de pago en este
informe la transferencia bancaria, contra reembolso, u otra vía de pago que no sea tarjeta
bancaria. Por ejemplo, para medios de pago como PayPal solo se computarán las transacciones
PayPal vinculadas a una tarjeta de crédito y no las que estén vinculadas a una cuenta bancaria.
4. ¿Por qué está tan poco desarrollado el
E-commerce en
España?
Son diversas las razones que explican la carencia de desarrollo del comercio electrónico en España
con respecto al resto de otros países europeos, y, sobre todo, en comparación con Estados Unidos.
ƒ
Una de las razones substanciales puede ser eminentemente de carácter socio
geográfico, ya que la climatología española, mucho más benigna que la de los países del norte de
Europa, resulta más propicia para salir de compras. Además, este hecho se considera también como
una actividad de ocio, teniendo, incluso, un fuerte componente social sobre todo en los países
mediterráneos. Esta misma actividad en muchas zonas del norte de Europa, como Escandinavia,
Alemania o Gran Bretaña puede llegar a tener tintes épicos en ciertas épocas del año, por lo que la
compra online se ve más como una solución al consumidor, más que como una alternativa de
compra.
El estudio sobre comercio electrónico B2C que realiza cada año el Observatorio Nacional de las
Telecomunicaciones y de la Sociedad de la Información (ONTSI), refleja el perfil de los
compradores españoles, según las características sociodemográficas4:
’ De 25 a 49 años, especialmente en los situados en la franja de los 35 a los 49 años.
’ Residentes en hábitats urbanos (más de 100.000 habitantes).
’ Con estudios universitarios.
’ De nivel socioeconómico alto y medio alto.
’ Trabajadores en activo a tiempo completo.
Es decir, se trata de consumidores españoles que realizan compras en Internet, que tienen un nivel
alto de estudios, que trabajan todo el día y poseen cierto poder adquisitivo. Además son aquellos
4
Observatorio Nacional de las Telecomunicaciones y de la Sociedad de la Información (ONTSI). Estudio sobre
comercio electrónico B2C. Octubre 2010. (http://www.ontsi.red.es/hogares-ciudadanos/articles/id/4877/estudio-b2c2010.html)
Página | 1
que viven en un entorno urbano, por lo que disponen de poco tiempo para enfocar las compras
como una actividad relajada, social o de ocio. Para este perfil de consumidor, la compra online
resulta una alternativa, frente al sistema tradicional de compra, que le permite dedicar el resto de su
tiempo a otras prioridades en su vida diaria.
En la siguiente tabla se muestra cual es el gasto medio sobre las compras realizadas por Internet,
según el sexo, la edad y el hábitat5:
De esta tabla podemos extraer que cuanto mayor es el poder adquisitivo, en correlación con la edad
hasta la edad de jubilación, mayor es el gasto medio en las compras realizadas por Internet del
consumidor. También, cuanto mayor es la población en que la se vive, mayor es el gasto en compras
realizadas por los consumidores en Internet, salvo en el caso de poblaciones con menos de 10.000
habitantes, donde el gasto se eleva un poco más con respecto a las poblaciones de entre 10.000 a
20.000 habitantes. El motivo esencial de este incremento de compras en poblaciones con menos de
10.000 habitantes, es la lejanía que existe en estas poblaciones con respecto a los distintos centros
5
Cuadro obtenido del Observatorio Nacional de las Telecomunicaciones y de la Sociedad de la Información (ONTSI).
Estudio sobre comercio electrónico B2C. Octubre 2010. Pág. 39.
(http://www.ontsi.red.es/hogares-ciudadanos/articles/id/4877/estudio-b2c-2010.html)
Página | 2
comerciales de las urbes más grandes, lo que implica un motivo contundente para que la compra
online se presente como una alternativa eficaz, que evita excesivos desplazamientos y costes
añadidos.
ƒ
Pero más allá de los condicionantes con connotaciones socioculturales de los países
mediterráneos, los expertos en comercio electrónico y marketing online inciden en severos
problemas de desarrollo de la oferta de comercios en España. Para muchos de ellos, la sensación
que transmite la presencia de comercios españoles en la Red es de insuficiencia. Hay muy pocas
tiendas en la Red en comparación con el número de comercios que se pueden encontrar en las
calles.
El estudio del ONTSI antes citado también refleja la opinión de los internautas españoles ante la
presencia de las empresas españolas en Internet. El estudio refleja que, si bien, más de un 60% de
los internautas españoles ven suficiente la presencia de los comercios españoles en la Red, menos
de un 1% la juzga de excelente, y más de un 30% cree que es escasa. Según el estudio, en este
último porcentaje de 30%, se sitúan los internautas españoles más jóvenes.
En la misma línea, Estanis Martín de Nicolás, director general de la plataforma de pagos PayPal en
España, declaraba, hace unos meses en un medio online, que "la mayoría de las empresas
Página | 3
españolas usan su sitio web sólo para mostrar información corporativa"6. Martín de Nicolás
explicaba que un 58,9% de las compañías españolas cuentan con un sitio web, pero sólo el 4,7%
permiten realizar compras online, por lo que respecta al resto de compañías españolas, suelen
exponer un catálogo pobremente estructurado, o incluyen información únicamente sobre la
empresa, sin mayor interés para el consumidor o usuario.
En esta misma circunstancia incide el experto en comercio electrónico, Rolan Bartet7, cuando dijo
que en España, en el año 2009, persistía la "falta de oferta ante una demanda cada vez más
consolidada". "El público español pide, cada vez más, productos online, pero no existe aún un
amplio catálogo de empresas que se hayan pasado al "lado web" para vender sus productos y
servicios", opinó. Un año después, en el año 2010, la situación sigue siendo la misma.
Respecto a la oferta existente entre los comercios online en España, un artículo demoledor de
Eduardo Manchón8, ex ingeniero de Google, fundador de Panoramio y Askaro y antiguo experto en
usabilidad de "La Caixa", pone de relieve la deficiencia de las estructuras de las principales
tiendas. Manchón incide en las contradicciones de las fichas de productos que se venden en
Internet, cuando realmente éstas existen, ya que éstas provocan que el consumidor o usuario dude
sobre si el producto por el que pretende pagar es el que realmente se imagina o no. Por descontado,
y como un hecho evidente, estas dudas muchas veces se traducen en una venta fallida. En este
sentido podemos decir, que hay poca oferta y, en general, de mala calidad: muy poco
desarrollo expositivo, poca usabilidad, baja accesibilidad por parte de los usuarios o
consumidores, etc...
Igualmente, el consumidor español a la hora de realizar sus compras online, desconfía ante el hecho
de que las empresas en la Red puedan garantizar sus derechos en igual medida que las compras
tradicionales. Además, también dudan de que las garantías ofrecidas a los consumidores en los
servicios posventa de las compras online sean equiparables a las de las compras tradicionales. Esta
desconfianza generada en las garantías y servicios posventa conlleva a un mayor retroceso en las
6
Eroski Consumer. Estanis Martín de Nicolás, director general de PayPal España: "La mayoría de las empresas
españolas usan su sitio web sólo para mostrar información corporativa".
(http://www.consumer.es/web/es/tecnologia/internet/2010/10/07/196141.php)
7
Comunica-web: El comercio electrónico español facturó cerca de 6.500 millones de euros en 2009.
(http://www.comunica-web.com/verarticulo-e-commerce_203.php)
8
Alzado.org
Eduardo
Manchón:
El
subdesarrollo
del
comercio
electrónico
en
España.
(http://www.alzado.org/articulo.php?id_art=821)
Página | 4
compras online, ya que hablamos de una clara desconfianza del consumidor a la hora de poder
hacer valer sus derechos ante compras en Internet.
Una vez más, destacamos el estudio realizado por ONTSI, el cual pone de relieve que, menos de
un 1% de los encuestados, considera que la oferta existente es excelente, mientras que tampoco
llegan al 30% los que creen que la oferta es escasa. Nuevamente, en este grupo crítico se sitúan
mayoritariamente los menores de 25 años, que constituyen los usuarios más intensivos en las
nuevas tecnologías. Puede verse estos datos en el siguiente gráfico extraído del estudio sobre el
comercio electrónico entre empresas y consumidores:
No cabe duda de que, en la actualidad, los máximos exponentes del comercio web son tiendas
online de "outlets", tales como Privalia, Buy Vip o Vente Privee. Se trata de comercios online que
ofrecen sus productos y servicios a los consumidores o usuarios de Internet. Estos comercios
virtuales están experimentando un rápido crecimiento sobre todo por la introducción de nuevos
consumidores o usuarios, ajenos al mundo online en las compras en la Red. En este sentido, y, a
pesar de que crecen en detrimento del pequeño comercio online, son de gran importancia, ya que
están ayudando a vencer otro de los factores que afecta, en sentido negativo, al comercio
electrónico en España: la desconfianza.
Página | 5
5. La amenaza de la desconfianza.
Los españoles estamos entre los internautas que menos nos fiamos de Internet -y de que este medio
proteja la privacidad de nuestros datos y, sobre todo, de nuestro dinero- a la hora de pagar en un
comercio online.
Casi la mitad de los internautas españoles, un 46%, desconfía de la seguridad de su información
personal cuando navega por Internet, según se desprende del estudio Digital World, Digital Life de
TNS9. Además, sólo dos de cada diez internautas españoles creen que las transacciones y las
comunicaciones que hacen a través de Internet son seguras. Esta sensación de inseguridad es más
destacable entre los mayores de 45 años (54%), y también entre las mujeres (50%) frente al de los
hombres (41%). Este estudio muestra como Japón y Corea son los países con mayor índice de
personas desconfiadas respecto de la Red. En el otro extremo se sitúan los países escandinavos.
Véase la tabla que se adjunta a continuación (Fuente TNS):
9
El comprador online: La desconfianza es el principal freno a comprar por Internet (http://www.compradoronline.es/ladesconfianza-es-el-principal-freno-a-comprar-por-internet.html)
Página | 6
Los motivos de esta desconfianza pueden tener diferentes orígenes. Según el estudio del ONTSI, se
muestran los distintos motivos por los que los encuestados no realizan compras en Internet (siempre
en el caso de que no hagan compras online). Los datos obtenidos en función de los distintos
motivos para no comprar online, se muestran en el siguiente gráfico:
El gráfico muestra que la principal razón para no comprar en Internet es que a los consumidores les
gusta ver directamente lo que compran (77,8%). Sin embargo, es significativo que, entre las
principales razones para no comprar en Internet, se encuentren el miedo a dar datos personales por
Internet (64,5%), la desconfianza en general del medio utilizado para comprar (58,8%) y el recelo
sobre la seguridad de los medios de pago en la Red (48,3%).
Página | 7
Si bien es cierto que este gráfico revela muchos de los motivos que están patentes en el
subconsciente de muchos ciudadanos. Así muchos consideran que Internet es un medio que todavía
no ha sido aceptado socialmente, que es temido, o se le considera como una subcultura con un algo
de elitista (los tecnófilos, los expertos, los blogueros, etc…) o con un algo de marginal (los hackers,
la piratería de contenidos satanizada por los medios de comunicación, la pornografía, etc…). Ello
hace que ventajas comparativas, como puedan ser las compras en comercios web, se perciban como
riesgos e, incluso, como agresiones, y que se crea entre los ciudadanos que detrás de cada negocio
hay un timo, y que detrás de cada pasarela de pago hay un delincuente a la espera de quedarse con
nuestro dinero.
En este sentido es revelador, que el mismo estudio deja al descubierto, que el 94,3% de los
usuarios que compraron en Internet no han tenido ningún problema y, además, se muestran
altamente satisfechos de su compra. También, del porcentaje de personas que tuvieron
problemas, es decir, el 4,6%, la mayoría fueron problemas logísticos (39,8%), después se siguen
los problemas no logísticos, y, finalmente, una minoría de los problemas tuvieron que ver con
el proceso de pago. Entre estos últimos, un 64,3% de las personas pusieron una reclamación, y
de ellos, un 94,1% resolvió satisfactoriamente el problema.
Por otro lado, un repaso de los datos que ofrece la Comisión del Mercado de las
Telecomunicaciones (CMT) sobre la "balanza de pagos" (diferencias entre lo que compran los
usuarios extranjeros en España y lo que compramos los españoles en sitios web del exterior)
Página | 8
revelará cómo, de un modo arrollador, los usuarios nacionales parecen confiar más en los
comercios extranjeros que en los nacionales. Son, como se reflejaba anteriormente, 176 millones
de euros de "exportación" frente a los 779 millones de euros de "importación" (casi en
exclusiva de la UE y EEUU). Este desequilibrio tiene sin duda un componente relacionado con la
precaria oferta antes descrita, pero también con la falta de confianza en los sitios españoles,
fundamentado, esencialmente, en las experiencias vividas por los consumidores.
Alberto Calvo, director de comunicación de Arsys, una compañía de "hosting" y gestión de
dominios cuyo negocio está muy ligado a las empresas que dan el salto a Internet, opinaba en una
entrevista10 que "no basta con tener una pasarela de pago segura para crear sensación de
confianza; desatender el correo electrónico y no responder a las preguntas de los internautas
resulta comparable a un dependiente que no contesta a su cliente en el mostrador". El anterior
gráfico de ONTSI que hacía mención detalladamente sobre los motivos por lo que no se compra por
Internet, revela entre las principales razones para no comprar se encuentran la preferencia por ver
directamente el producto (77,8%), y la desconfianza en la información mostrada por el comercio
(30,8%). Esto quiere decir que, como punto de partida, si no se solventan estas barreras con una
atención e información adecuada, muchos comercios online, pese a tener protocolos de pago
perfectamente seguros, fallaran por inexperiencia o por falta de personal suficiente en la atención al
cliente. De este modo se crea una sensación de desconcierto y duda, generando una gran
desconfianza en el consumidor.
Lo peor es que esta desconfianza en la atención acabe por traducirse en una desconfianza en el
sistema de pago. Todo esto conlleva a que muchos consumidores se planteen la cuestión
generalizada siguiente: "¿Si fallan en esto, cómo sé que no van a fallar en lo otro?". Hay que pensar
que cuando un futuro comprador entra en una tienda física, se hace visualmente una idea
subconsciente de la fiabilidad del comercio donde está. Este referente sensitivo no existe en el
mundo digital, por lo que hay que proporcionarlo por otras vías distintas. Es necesario comprender
a este respecto, que la inmensa mayoría de los consumidores desconocen los entresijos de la
tecnología y no saben que las plataformas de pago virtuales (TVP) son sistemas estandarizados que
se contratan y se implementan vía empresas especializadas.
10
Eroski Consumer. Alberto Calvo, Director de Comunicación de Arsys: "El comercio electrónico sigue pautas
parecidas a las de cualquier negocio a pie de calle".
(http://www.consumer.es/web/es/tecnologia/internet/2009/07/09/186292.php)
Página | 9
Pero en esencia, la duda del usuario es razonable y le lleva a la siguiente reflexión: "Puede que el
método de pago sea seguro pero, ¿quién me garantiza el servicio posventa si no me quedo
satisfecho?". En la nebulosa de la desconfianza hacia el comercio electrónico, no sólo hay un miedo
difuso a la seguridad del método de pago, también hay un componente de temor al "después", a no
quedar satisfecho y no saber a quién reclamar. La sensación es que la tienda de la esquina no se va a
mover de donde está, pero el comercio virtual puede desvanecerse en el ciberespacio.
Por ello, es tan importante generar confianza en todos los ámbitos de una venta online y cuidar
hasta el último detalle, al igual que se haría tras un mostrador de una tienda física. Como se
puntualizará más adelante, las leyes actuales protegen más al usuario que al comercio online. Éstas
garantizan un servicio posventa adecuado y obligan a tener toda la información sobre la tienda web,
en cuestión, a disposición de cualquier usuario o posible consumidor, de manera clara y visible. Sin
embargo, el consumidor o usuario desconoce estos hechos y las obligaciones que deben asumir las
empresas que venden sus productos o servicios en Internet. Si no se les informa no tiene por qué
conocerlos, por lo que perseverarán en su desconfianza.
Con el fin de romper este círculo vicioso del miedo ("no compro porque tengo miedo, y como no
compro persisto en mi ignorancia, lo cual alimenta mi miedo a comprar online..."), la Ley 34/2002,
de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico11, se
estableció, en el artículo 18, que las Administraciones públicas impulsarán, a través de la
coordinación y el asesoramiento, la elaboración y aplicación de códigos de conducta voluntarios,
que podrán tratar, en particular, sobre los procedimientos para la detección y retirada de contenidos
ilícitos y la protección de los destinatarios frente al envío por vía electrónica de comunicaciones
comerciales no solicitadas, así como sobre los procedimientos extrajudiciales para la resolución de
los conflictos que surjan por la prestación de los servicios de la sociedad de la información.
Esta misma Ley favoreció la creación de un distintivo de adhesión a códigos de conducta que
incorporase determinadas garantías (disposición final octava), determinando que el Gobierno debía
aprobar un distintivo que permitiera identificar a los prestadores de servicios que respeten códigos
11
Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
(http://noticias.juridicas.com/base_datos/Admin/l34-2002.html)
Página | 10
de conducta adoptados con la participación del Consejo de Consumidores y Usuarios, y que
incluyeran, entre otros contenidos, la adhesión al Sistema Arbitral de Consumo o a otros sistemas
de resolución extrajudicial de conflictos que respeten los principios establecidos en la normativa
comunitaria sobre sistemas alternativos de resolución de conflictos con consumidores. En este
sentido, años más tarde, en el 2005, el Instituto Nacional del Consumo promovió el "Distintivo
Público de Confianza en Línea"12 para guiar a los consumidores y usuarios en la identificación de
aquellos sellos y códigos de conducta que incorporan garantías y niveles de protección de sus
derechos.
Si bien, con anterioridad, en el año 2002, se creó un organismo llamado Confianza Online13 que se
erige como garante de unas normas mínimas y de un protocolo de actuación por parte de los
comercios adheridos a un código de conducta, asegurando que tanto la compra como la navegación
son seguras para el usuario o consumidor. Esta entidad fue creada con la misión de fomentar la
confianza de los consumidores en las nuevas tecnologías y más concretamente, en los ámbitos del
nuevo código deontológico: comercio electrónico, comunicaciones comerciales y publicidad
interactiva, protección del menor, protección y privacidad de datos y accesibilidad/ usabilidad.
En concreto, Confianza Online otorga seguridad sobre los datos depositados en el sitio web, los
cuales permanecerán en confidencialidad y bajo el respeto de la ley de protección de datos. También
ofrece seguridad sobre aspectos como que los pagos en el sitio web se realizarán a través de TVP
estandarizada y con todas las garantías de un protocolo de autenticación y cifrado (en general suele
ser el SSL, estándar de facto); que, en caso de conflicto o insatisfacción del cliente con el producto
o servicio entregado, la empresa adherida al código de conducta, promovido por Confianza Online,
se compromete a atenderle y, en última instancia a acudir a un sistema extrajudicial de resolución de
conflictos que promueve el código de conducta o bien acudir al Sistema Arbitral de Consumo.
Por tanto, si un consumidor plantea una reclamación referida a las comunicaciones comerciales,
protección de datos y protección de menores, el Jurado de la Publicidad de Autocontrol resuelve de
manera vinculante. Sin embargo, si la reclamación presentada por el consumidor versa sobre
transacciones económicas, el Comité de Mediación de AECEM intenta alcanzar un acuerdo de
12
Real Decreto 1163/2005, de 20 de febrero, por el que se regula el distintivo público de confianza en los servicios de la
sociedad de la información y de comercio electrónico, así como los requisitos y el procedimiento de concesión.
13
Confianza Online (http://www.confianzaonline.es/)
Página | 11
mediación entre reclamante (consumidor) y reclamado (entidad o empresa), siempre y cuando sean
reclamaciones que entren dentro del ámbito del Código Ético de Confianza Online. En caso de no
alcanzarse un acuerdo, se someterá a la Junta Arbitral Nacional de Consumo para que resuelva de
manera vinculante las controversias, o, en su caso, las Juntas Arbitrales de aquellas Comunidades
Autónomas con las que Confianza Online tenga convenios estipulados.
Actualmente, los socios corporativos que integran Confianza Online son tres. Dos de ellos son de
carácter privado, ADIGITAL (anteriormente, AECEM) y Autocontrol, y el tercero es de carácter
público, Red.es, dentro del Ministerio de Industria, Turismo y Comercio.
Así, cualquier empresa que suscriba el protocolo y el código de conducta de Confianza Online, y se
comprometa a cumplirlo, recibe un permiso para incorporar en su sitio web, el sello de confianza de
la organización, que es el distintivo público de confianza en línea, que en este caso, si está
reconocido por el Instituto Nacional del Consumo (INC).
Junto a este sello, también existen otros reconocidos por el INC, concretamente, son los siguientes:
•
Sello Optima Web: un código de conducta de Confianza Online y E-Commerce promovido
por la Asociación para el Fomento del Comercio Electrónico Empresarial (ANETCOM).
•
Sello de Calidad AGACE: Promovido por la Asociación para la Promoción de las
Tecnologías de la Información y el Comercio Electrónico (APTICE).
Por tanto, todas las empresas online o prestadores de servicios que estén adheridos a estos códigos
de conducta o sellos de confianza, tienen el derecho a utilizar estos distintivos en sus actividades, si
bien, estarán sujetos a un seguimiento y examen, de forma aleatoria, de oficio o por denuncia
presentada por un consumidor, y sometidos a un régimen sancionador. Además, deben facilitar el
acceso al contenido del código de conducta y a la dirección habilitada para presentar las
reclamaciones o quejas por un consumidor, a través de soportes informáticos en los que se inserte el
“distintivo público de confianza en línea”.
Página | 12
6. El entorno jurídico en la compra online en España.
En nuestro país, igual que en el resto de la Unión Europea, hay una legislación que protege más al
usuario que al comercio donde se realiza la compra de un producto o servicio. A efectos de
equilibrar la desigual posición de partida entre el empresario o comerciante, que conoce
directamente el producto o servicio que ofrece, y el consumidor, que en los contratos a distancia no
puede realizar una comprobación personal de las características del mismo, aquél ha de suministrar
a éste determinada información previa a la celebración del contrato.
Por ejemplo, ante una compra fraudulenta, como que una persona pague con la tarjeta de crédito de
otro usuario, este último puede anular la orden de compra y el comercio deberá devolverle el dinero
y asumir los costes de la venta fraudulenta. Este es sólo un ejemplo de los múltiples supuestos que
contempla la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI),
en vigor desde 200214. A ella hay que sumar la Ley General para la Defensa de los Consumidores y
Usuarios (LGDCU)15. Leyes similares rigen en todo el ámbito de la Unión Europea, en Estados
Unidos y en Canadá.
En España, las leyes que configuran el marco legislativo de las compras online en Internet son:
•
Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de
Comercio Electrónico, que especifica las obligaciones a los prestadores de servicios y
vendedores.
•
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter
Personal, referente a los derechos de los usuarios de los servicios.
•
Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto
refundido de la Ley General para la Defensa de los Consumidores y Usuarios.
14
Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
(http://noticias.juridicas.com/base_datos/Admin/l34-2002.html)
15
Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para
la Defensa de los Consumidores y Usuarios y otras leyes complementarias.
(http://noticias.juridicas.com/base_datos/Admin/rdleg1-2007.html)
Página | 13
•
Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la
Información.
La Ley 34/2002, en adelante LSSI, también recoge numerosos supuestos relacionados con el medio
digital en cuanto a comercio y publicidad. Estos aspectos, regidos anteriormente por la Ley de
Ordenación de Comercio Minorista de 1996 y la Ley General de la Publicidad de 1988, no estaban
contemplados de manera específica en las mismas. Anteriormente a la aparición de la LSSI, los
conflictos en la Red reflejaban, en muchos casos, la desprotección del consumidor. Pero ahora,
además de la vía judicial, existe la alternativa de sistemas de resolución extrajudicial de conflictos
con, como los órganos de arbitraje, en los que participan tanto asociaciones de comercio electrónico
y autorregulación publicitaria como el Ministerio de Sanidad, Política Social e Igualdad, a través
del Instituto Nacional de Consumo (INC).
La LSSI recoge que las empresas que realizan comercio electrónico en la Web (es decir, los
prestadores de servicios de la sociedad de la información) tienen una serie de obligaciones sobre la
información general que deben facilitar:
1. Deben mostrar y facilitar en su página web o sitio de Internet, de manera perfectamente
visible, permanente, fácil, directa y gratuita para cualquier usuario, la siguiente información:
•
Su nombre o denominación social, NIF, domicilio, dirección de correo electrónico,
teléfono o Fax.
•
Los datos de inscripción registral (dónde está registrada la empresa).
•
Los códigos de conducta a los que, en su caso, esté adherida y la manera de
consultarlos electrónicamente.
•
Información clara y exacta sobre los precios de los productos o servicios que se
ofrecen, con indicación si incluye o no los impuestos aplicables y, en su caso, los
gastos de envío. La indicación de los mismos debe, además, ofrecerse antes de que el
comprador proceda a realizar la compra o contratación de servicios a través de un
medio de pago en el sitio, de modo que pueda ponderar con tiempo el monto final de
la operación.
•
Página | 14
En el caso de que la actividad estuviese sujeta a un régimen de autorización
administrativa previa, los datos relativos a dicha autorización y los identificativos del
órgano competente encargado de su supervisión.
•
Si ejerce una profesión regulada deberá indicar también, los datos del colegio
profesional al que pertenezca y número de colegiado; el título académico oficial o
profesional con el que cuente; el Estado de la UE en el que se expidió dicho título y,
en su caso, la correspondiente homologación o reconocimiento; las normas
profesionales aplicables al ejercicio de su profesión y los medios a través de los
cuales se puedan conocer, incluidos los electrónicos. Por ejemplo, es el caso de los
profesionales que ejercen su actividad comercial como arquitectos, abogados,
médicos, etc….
2. Antes de iniciar el procedimiento de contratación, el prestador de servicios que realice
actividades de contratación electrónica tiene la obligación de informar al destinatario de
manera clara, comprensible e inequívoca, sobre la siguiente información:
•
Los distintos trámites que deben seguirse para contratar online (celebrar el contrato).
•
Determinar si el documento electrónico del contrato se va a archivado por el
prestador de servicios y si será accesible en cualquier momento.
•
Los medios técnicos que pone a disposición para identificar y corregir errores en la
introducción de datos.
•
La lengua o lenguas en que podrá formalizarse el contrato.
•
También se podrá poner a disposición, con carácter previo al inicio del
procedimiento de contratación, las condiciones generares a las que, en su caso, se
deba ajustar el contrato: (condiciones posventa, responsabilidades, gastos de envío,
políticas de devoluciones, etc.), de manera que puedan ser almacenadas y
reproducidas por el destinatario.
Además de esta información, en la Ley 7/1996, de 15 de enero, de Ordenación del Comercio
Minorista, (en adelante LOCM), que regula las ventas a distancia, se incluyen disposiciones
referentes a la información que debe suministrarse previamente a la formalización del contrato. En
este sentido también se aplica esta normativa a las compras y contrataciones electrónicas por
considerarlas como ventas a distancia.
Página | 15
Así, la LOCM determina que antes de iniciar cualquier procedimiento de contratación y con la
antelación necesaria, el prestador de servicios debe suministrar al consumidor de forma veraz,
eficaz y suficiente, la siguiente información:
ƒ La identidad del vendedor y su dirección.
ƒ Las características esenciales del producto.
ƒ El precio, incluidos todos los impuestos.
ƒ Los gastos de entrega y transporte, en su caso.
ƒ La forma de pago y modalidades de entrega o de ejecución.
ƒ La existencia de un derecho de desistimiento o resolución, o su ausencia en algún
tipo de contratos.
ƒ El coste de la utilización de la técnica de comunicación a distancia cuando se calcule
sobre una base distinta de la tarifa básica.
ƒ El plazo de validez de la oferta y del precio.
ƒ La duración mínima del contrato, si procede, cuando se trate de contratos de
suministro de productos destinados a su ejecución permanente o repetida.
ƒ Las circunstancias y condiciones en que el vendedor podría suministrar un producto
de calidad y precio equivalentes, en sustitución del solicitado por el consumidor,
cuando se quiera prever esta posibilidad.
ƒ En su caso, indicación de si el vendedor dispone o está adherido a algún
procedimiento extrajudicial de solución de conflictos.
3. Esta misma Ley de Ordenación del Comercio Minorista recoge que además de la
información anterior, el consumidor deberá haber recibido, a la ejecución del contrato, las
siguientes informaciones y documentos:
•
Información escrita sobre las condiciones y modalidades de ejercicio de los derechos
de desistimiento y resolución, así como un documento de desistimiento o revocación,
identificado claramente como tal, que exprese el nombre y dirección de la persona a
quien debe enviarse y los datos de identificación del contrato y de los contratantes a
que se refiere.
•
La dirección del establecimiento del vendedor donde el comprador pueda presentar
sus reclamaciones.
Página | 16
•
Información relativa a los servicios postventa y a las garantías comerciales
existentes.
•
En caso de celebración de un contrato de duración indeterminada o de duración
superior a un año, las condiciones de rescisión del contrato.
Esta información deberá facilitarse por escrito o, salvo oposición expresa del consumidor, en
cualquier otro soporte duradero adecuado a la técnica de comunicación empleada y en la lengua
utilizada en la propuesta de contratación.
4. Una vez realizada la compra por Internet, la LSSI establece la necesidad de transmitir una
información posterior a la celebración del contrato, consistente en lo siguiente:
•
La empresa que ha ofrecido los servicios o productos en su web está obligada a
confirmar la recepción de la aceptación al consumidor por alguno de los medios
siguientes:
ƒ
El envío de un acuse de recibo por correo electrónico u otro medio de
comunicación electrónica equivalente a la dirección que el comprador haya
señalado en el plazo de las 24 horas siguientes a la recepción de la aceptación;
ƒ
O bien, la confirmación por un medio equivalente al utilizado en el
procedimiento de contratación, de la aceptación recibida tan pronto como el
comprador haya completado dicho procedimiento, siempre que la confirmación
pueda ser archivada por su destinatario.
Esto se traduce en que el comprador deberá recibir en su buzón de correo electrónico
personal, bien mediante un mensaje de texto o multimedia a su número de teléfono, o en
una página web de fácil impresión, un recibo de la compra efectuada en el que figuren
los datos del comercio, el importe de la venta y los impuestos añadidos, así como la
fecha de compra.
•
La empresa deberá guardar copia del acuse de recibo.
•
Se entiende que se ha recibido la aceptación y su confirmación cuando las partes a
que se dirija puedan tener constancia de ello. En el caso de que la recepción de la
aceptación se confirme mediante acuse de recibo, se presumirá que su destinatario
puede tener la referida constancia desde que aquél haya sido almacenado en el
servicio en que esté dada de alta su cuenta de correo electrónico o en el dispositivo
Página | 17
utilizado para la recepción de comunicaciones.
•
Dicho recibo deberá enviarse al tiempo que se ejecuta la compra o con anterioridad,
pero no después, aunque por temas de tráfico web el usuario lo pueda recibir con
posterioridad.
•
Si no se recibe copia del acuse de recibo o la confirmación de la aceptación recibida,
puede considerarse la compra como no válida.
•
Dicho acuse de recibo o confirmación de la aceptación recibida, o su captura en
forma de imagen, así como su copia impresa, tendrá validez legal ante cualquier
procedimiento extrajudicial de resolución de conflictos, ante el Sistema Arbitral de
Consumo, o ante los tribunales ordinarios, tanto civiles como penales, en caso de
litigio.
•
Las capturas de páginas con información que se considere engañosa o que se haya
incumplido también tendrán validez ante cualquier procedimiento extrajudicial de
resolución de conflictos, ante el Sistema Arbitral de Consumo, o ante los tribunales
ordinarios, tanto civiles como penales, en caso de litigio.
•
Si no se está conforme con una compra el usuario o comprador tiene derecho, por el
plazo de 7 días hábiles, a desistir del contrato y devolver el producto. Es lo que se
conoce como derecho de desistimiento. Este derecho ni conlleva penalizaciones ni
indicaciones de los motivos por los que el comprador puede desistir del contrato. El
ejercicio de este derecho no está sujeto a ninguna formalidad, bastando que se
acredite en cualquier forma admitida en derecho.
•
Este derecho no implica que el comprador que quiera desistir tenga que asumir la
imposición de penalidad alguna, si bien, podrá exigírsele que se haga cargo del coste
directo de devolución del producto al vendedor.
•
En caso de uso fraudulento de una tarjeta en una compra, o litigio por publicidad
engañosa, deberá ser el comercio o prestador de servicios en Internet el que corra con
los gastos hasta que se dirima el litigio y emita sentencia o laudo arbitral.
Finalmente, Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter
Personal (LOPD) obliga a las empresas que ofrezcan productos y servicios en Internet a garantizar
de forma explícita y por escrito, y de modo bien visible para cualquier usuario, que todos los datos
Página | 18
que guarden los servidores del comercio en cuestión -como los suyos personales y de sus cuentasestarán accesibles en todo momento para él, a la vez que debidamente protegidos con las
tecnologías de seguridad adecuadas. Esto obliga a las empresas a contratar servidores seguros donde
guardar los datos, o bien, a crearlos ellas mismas. La tendencia suele ser contratar empresas donde
se guardan y gestionan los datos en servidores protegidos, no sólo por complejas técnicas de
cifrado, sino incluso por agentes de empresas de seguridad con el fin de evitar robos.
Las empresas que prestan servicios y venden sus productos en Internet deben también informar a
los usuarios sobre la finalidad de recoger los datos personales de los mismos en el momento de
realizar la compra online o contratación de servicios electrónicamente. Han de informar sobre las
consecuencias de su obtención o la negativa de los usuarios a proporcionarlos, así como la dirección
o medio por el que los usuarios, una vez facilitados los datos personales, pueden ejercer su derecho
de acceso, rectificación, cancelación y oposición de sus datos personales, y, en su caso, a los que
ceden la información. Todo ello se conoce como política de privacidad. Las empresas online deben
disponer de esta política de privacidad de forma clara, visible y gratuita a cualquier usuario en su
web. Además, debe ser imprimible y descargable en el ordenador de cualquier usuario. Por último,
estas empresas deben contar con un fichero de datos personales recabados a través de la web que
consta inscrito en el registro de la Agencia Española de Protección de Datos en España.
Página | 19
7. Las pasarelas de pago: ¿un método seguro?
La mayoría de los sistemas de compra en Internet implican la intervención de una pasarela de pago.
Una pasarela de pago es un proveedor de servicios de aplicación para el comercio electrónico
que autoriza pagos a las tiendas online16. Es el equivalente de la TPV (Terminal Punto de
Venta) física que hay en la mayoría de las tiendas. En esencia, son sistemas de comunicación
telemática entre dos puntos de una red de ordenadores que cifran la información sensible, como
números de tarjetas de crédito, para garantizar que ésta pasa de forma segura entre el cliente y el
vendedor.
Lo mismo sucede en los procesos que se ejecutan con tarjetas de crédito y débito fuera de la Red.
En ellos también interviene el cifrado de la información bancaria del usuario, que se envía desde el
datáfono a los servidores del banco del usuario para que éste acepte la transferencia monetaria. Por
lo tanto, la misma confianza debe generar ambos sistemas. La diferencia estriba en que, en una
tienda de la calle, el envío de la información lo realiza una persona física frente al usuario pasando
la tarjeta por el lector, y, en una tienda web, la transferencia de datos se realiza mediante un
protocolo llamado SSL.
Puede pensarse que la ausencia de una presencia física controlada por el usuario en el envío de
datos es un factor de riesgo al fraude, pero sucede exactamente lo contrario. Hay miles de formas de
distraer la atención de un cliente en un comercio físico para copiar los datos de su tarjeta, o pasarla
dos veces y efectuar diversos cobros y conseguir al mismo tiempo que los firme todos, o imitar la
firma. En la relación virtual, sin embargo, salvo que un ladrón utilice la tarjeta del usuario, la
relación es siempre entre el usuario y la máquina, que se limitará a ejecutar las órdenes de pago.
Esta máquina, o el programa, con los mismos niveles de seguridad (o superiores) que los del
datáfono de la tienda física, no comete errores ni es deshonesta, se limita a cumplir lo programado.
En el mundo físico son raras las ocasiones en las que el usuario es estafado, lo que implica que
aceptamos que los dependientes también son, en su gran mayoría, honestos y no cometen fallos.
¿Por qué habría de ocurrir más estafas en los pagos por Internet cuando el riesgo es menor? Como
16
Tienda online: http://es.wikipedia.org/w/index.php?title=Negocio_de_ladrillos_y_mortero&action=edit&redlink=1
Página | 20
ya se argumentó en los primeros capítulos el punto débil no es el sistema sino la actitud del usuario.
Funcionamiento de las pasarelas de pago.
Cuando un consumidor (cliente) ordena un producto de un comercio online que tiene habilitada una
pasarela de pago, ésta realiza una serie de tareas para procesar la transacción de manera transparente
para el comprador:
1. El consumidor (cliente) realiza un pedido en un sitio web, introduciendo los datos de su
tarjeta de crédito y pulsando el botón de "ejecutar la compra".
2. Si la orden se realiza a través de un sitio web, el navegador web del cliente (comprador)
cifra la información que viaja hasta el servidor web del comercio o tienda online. Esto
se hace normalmente mediante protocolo SSL (Secure Socket Layer).
3. El servidor del comercio o tienda online reenvía los detalles de la transacción mediante
otra pasarela de pago, también una conexión cifrada mediante SSL, a otro servidor que
almacena los pagos pendientes de comprobación.
4. El servidor que almacena los pagos pendientes reenvía la información de la transacción al
banco que usa el vendedor o comercio online para cobrar los pagos.
5. Este banco reenvía la información de la transacción al banco que le emitió la tarjeta de
crédito al comprador para obtener la autorización del pago.
6. El banco emisor de la tarjeta del comprador recibe el pedido de autorización y envía una
respuesta a la pasarela de pago a través del banco del vendedor con un código de
respuesta. Además de determinar el destino del pago -si se aprueba o se rechaza-, el código
de respuesta se usa para definir la razón por la que falló la transacción (fondos insuficientes
o enlace al banco no disponible).
7. La pasarela de pago recibe la respuesta y la reenvía al sitio web en el que se está
ejecutando la compra, donde se interpreta y se emite una respuesta al comprador.
8. El proceso completo necesita de tres a cuatro segundos.
9. Al final del día (o período de liquidación), el banco que se encarga de cobrar, deposita el
total de los fondos aprobados en la cuenta nominada del vendedor. Esta cuenta puede
Página | 21
encontrarse en este mismo banco o ser una cuenta de otro banco.
SSL (Secure Socket Layer), estándar de facto en el pago en Internet.
El protocolo que se utiliza en la práctica totalidad de las pasarelas de pago es el llamado Secure
Socket Layer o SSL, que es el estándar de autenticación y cifrado adoptado por la industria del
comercio electrónico. Mayoritariamente es el que aceptan los principales navegadores. El
protocolo SSL es un conjunto de normas de seguridad que tiene dos componentes principales:
la autenticación y el cifrado de la información.
a) Autenticación.
Por autenticación se entiende la verificación de que la página en la que está comprando el
usuario o consumidor no es una réplica fraudulenta realizada por un "ciberdelincuente" para
hacerse con los datos bancarios.
Hay varios signos que revelan que la página está autenticada por el navegador. Uno de ellos es el
cambio de la dirección del comercio o tienda online de http a https (http-secure). Además, otro
signo es el cambio de color del encabezado de la barra de direcciones, que recibe un skin (o
máscara) verde, rojo o azul, para indicar que nos encontramos en un entorno protegido por un
código cifrado. Por ejemplo:
Por otro lado, en el extremo inferior de la página aparece un pequeño candado, ya sea en el
extremo superior del navegador (que no de la página) o en el inferior derecho. En ocasiones el
candado aparece junto a la dirección "https". Todo depende del navegador que se use.
Página | 22
Si se pulsa el ratón sobre dicho candado, igual que si se hace sobre la capa de color, aparecen los
datos del comercio online donde se compra o presta los servicios, e información de seguridad, como
los certificados que pueda tener y la entidad que certifica su seguridad.
En este ejemplo, podemos ver cómo los datos garantizan la autenticidad de la tienda online (en este
caso Apple), y, además, quien es la empresa que lo ejecuta y que se responsabiliza de su
certificación, (que en este caso es VeriSign).
Página | 23
Existen muchas empresas certificadoras de seguridad. Actualmente, VeriSign es líder mundial en
certificaciones de seguridad, aunque no es la única empresa del sector. Hay otras como Comodo
Ltd., Akamai Technologies Inc. o Thawte Consulting (Pty) Ltd., que también certifican las ventas en
Internet de empresas tan importantes como Iberia, Spanair, Zara, Privalia o Renfe. En otros casos
pueden ser agencias y organismos gubernamentales quienes otorguen los certificados a las páginas.
b) Cifrados simétricos y asimétricos.
El otro aspecto del protocolo SSL es la transferencia de datos al servidor de la tienda y de ahí,
tras pasar por todo el proceso explicado en el apartado de las pasarelas de pago, al banco que
gestiona los cobros del comercio. Esta transferencia se realiza por una combinación de dos
métodos de cifrado de los datos. Es decir, se utilizan dos sistemas que envuelven los datos
bancarios y demás información, en complejas claves alfanuméricas que sólo se pueden descifrar a
través de potentes ordenadores que poseen determinados datos secretos.
Cifrado asimétrico. El primer sistema de cifrado que se utiliza sirve para crear un encapsulado de
la información, y se conoce también por sistema de "caja cerrada". En ella, los datos viajarán de
nuevo cifrados. Es un sistema criptográfico de clave pública del tipo RSA. Esto implica una
criptografía asimétrica con dos claves, una pública que conoce tanto el emisor de los datos como el
receptor, y otra privada que sólo conoce el receptor. Las claves se generan por pares, ahora bien, sin
conocer ambas es imposible descifrar un mensaje, pero si se conoce una de ellas (la privada) se
puede descifrar con rapidez. A su vez, cualquiera que conozca la clave pública puede cifrar el
mensaje.
Para entender el proceso se utiliza el ejemplo de los números primos aleatorios, que se escogen para
crear el par de claves. Por ejemplo el 305 y el 507. Estos números sólo se pueden dividir por sí
mismos y por la unidad. De tal suerte la clave pública se elaboraría con el producto de multiplicar
ambos números (154.635), y la clave privada se haría con uno de ellos, como el 507.
De esta forma, cualquier persona que conociera el producto de ambos números podría elaborar una
clave, pero ésta sería en última instancia indescifrable si entendemos por descifrar conseguir la
Página | 24
factorialización de 154.635, porque sólo se puede factorializar entre dos números primos. En
cambio, el usuario que conoce que uno de los divisores es 507 (la clave privada) puede dividir el
número y obtener el otro factor del producto (descifrar), que es 305.
En el caso de un comercio electrónico, la clave pública y la privada se generan de modo automático
cada vez que el usuario entra en una página de pagos. Si el consumidor anulase la operación y
volviese a entrar, se generarían dos nuevas claves. La clave pública va implícita en la casilla que
utiliza el usuario, y aunque él la desconoce, cuando pulsa el botón de ejecutar la compra, cifra con
ella los datos que envía y sólo se podrán descifrar con la clave privada, ya en los servidores del
comercio o tienda online. Es literalmente imposible que ningún estafador se interponga en este
proceso, al menos con métodos técnicos.
Cifrado simétrico. Pero los datos del usuario no sólo utilizan un sistema de cifrado asimétrico,
sino que lo combinan con otro simétrico, normalmente del tipo AES 256 bit o RC4 128 bit, que es
el que va encapsulado dentro del cifrado de la clave pública. AES, conocido también por
"Rijndael", fue adoptado en mayo de 2002 como estándar de cifrado simétrico (con un solo tipo de
clave) por el gobierno de los Estados Unidos dado sus elevados niveles de seguridad. RC4 se usa en
algunos comercios, y aunque se recomienda más el uso de AES, está considerado como seguro para
la compra en Internet.
En el cifrado simétrico se utilizan a la vez diversas estrategias de cifrado de la información,
siguiendo un complejo sistema de pautas basadas en los datos emitidos, relacionadas con otros
patrones arbitrarios y secretos, de modo que sólo conociendo el algoritmo (el patrón de cifrado)
utilizado se puede descifrar la información, algo que está únicamente al alcance de los potentes
servidores donde se guarda. Cada método de cifrado usado se conoce como "ronda de cifrado" y
se aplica de manera sucesiva uno sobre otro. Los cifrados más complejos de AES (256 bit) pueden
llegar a las catorce rondas, aunque muchos suelen estar en torno a las diez rondas, como ocurre con
RC4 (128 bit).
Un ejemplo sencillo para comprender cómo funciona el cifrado simétrico se puede establecer sobre
un número de teléfono. El 914351621 sería el dato a proteger, y sobre él se aplicaría la primera
ronda de cifrado, asignando a cada número, la letra del abecedario correspondiente a la suma de éste
Página | 25
más tres. Así, el número resultante sería:
12 (9+3) 4(1+3) 6(3+3) 8(5+3) 4(1+3) 9(6+3) 5(2+3) 4(1+3)
Su equivalente en letras es:
ldfhdied
Quien conoce el patrón de cifrado sabe que devolviendo la equivalencia numérica a cada letra y
restando 3 obtiene el número, pero no así quien la desconoce.
En la siguiente ronda, por ejemplo, se tomaría la suma de la equivalencia posicional de cada letra
(52), se la dividiría por la cantidad de dígitos del número de teléfono (9) y se intercalaría el
resultado (5,77777778) entre las letras. La clave quedaría así:
l5d7f7h7d7i7e7d78
En la tercera ronda, se volverían a intercambiar letras y dígitos, de modo que resultaría:
12e4g6g7g4g9g5g4gh
Así, se sucederían las modificaciones hasta las catorce rondas, aunque en realidad los patrones de
modificación son infinitamente más complejos y producen claves que ninguna mente humana puede
descifrar por sí sola.
En la actualidad, no obstante, se han reportado ataques teóricos diseñados por los más eminentes
criptógrafos académicos17
18
a AES, que alcanzan la séptima ronda de cifrado, y a RC419
precisamente por uno de los creadores del algoritmo de cifrado asimétrico RSA. Pero no existen
ordenadores lo suficientemente potentes para romper un cifrado de 128 bit, si bien los expertos se
preocupan por el día en que aparezcan.
La única manera de romper estas claves sería a través del sistema conocido como "fuerza bruta",
que consiste en que una computadora genere, de forma aleatoria, claves alfanuméricas hasta acertar
poco a poco con las sucesivas rondas -puede tardar meses o años-. Para ello, debería evitar que los
17
D. J. Berstein (http://cr.yp.to/papers.html#cachetiming)
Bruce Schneider (http://www.schneier.com/blog/archives/2005/05/aes_timing_atta_1.html)
19
Scott Fluhrer, Itsik Mantin y Adi Shamir: Ataque al CR4 (http://www.jcea.es/artic/rc4.htm)
18
Página | 26
mantenedores del servidor pudieran acceder a él, y desconectarlo mediante un ataque de denegación
de servicio que cerrara el acceso a todos, excepto al robot generador de las claves. Aún así, quedaría
la opción de apagar el servidor manualmente. Como se ha comentado con anterioridad, las empresas
que proveen servidores seguros suelen contratar personal de seguridad para evitar robos o
manipulaciones.
En resumen, el sistema SSL, que combina la autenticación con la hibridación de dos métodos de
cifrado altamente complejos, es infalible desde el punto de vista técnico. Un camarero o un
dependiente, que se interpone entre nosotros y la pasarela de pago que lee nuestra tarjeta, es mucho
menos infalible, aunque nos fiamos más de él.
SSL, no el más seguro pero sí el más usable.
Pese a que SSL es el protocolo de largo más utilizado, existen otros protocolos que han intentado
imponerse en el mercado sin éxito. La clave de su fracaso reside en que demandan la introducción
de un código de autenticación del usuario. Tal es el caso del protocolo SET (Secure Electronic
Transaction), del que se volverá a hablar más adelante. Se trata de un conjunto de normas de
seguridad cuyo fin es asegurar la identidad de las personas que participan en una transacción
electrónica, proteger la información que se envía y garantizar que ésta no ha sido manipulada
durante el proceso. Para ello, este protocolo emplea certificados digitales y un software de cifrado
que debe estar instalado en el ordenador desde donde se efectúa la compra. Tanto este hecho como
la necesidad de que el navegador que se use para la compra reconozca el certificado digital, lo
hacen más complejo de utilizar y, por lo tanto, más difícil de implantar que el otro protocolo SSL.
En el protocolo SSL sólo se identifica el sitio web, y un usurpador puede usar tranquilamente la
tarjeta del usuario. Sin embargo y a pesar de ello, se ha aceptado SSL como estándar por sus altos
niveles de seguridad en el cifrado y, además, porque es más usable y accesible que el resto de
métodos. No hay que olvidar que cuanto más usable sea un sistema, mejor será la experiencia del
consumidor o usuario, y, además, el comprador lo elegirá como favorito.
Además, en caso de usurpación de los datos de la tarjeta, cuando la utilice un delincuente se verá
Página | 27
obligado a proporcionar un nombre y una dirección de correo, así como un DNI para su compra, y
su dirección IP quedará registrada y localizada. En resumen, se puede usurpar una tarjeta, pero es
muy difícil hacer una compra sin "quedar retratado".
En resumen, se acepta que los sistemas que sí obligan a la autenticación de ambos extremos de la
pasarela de pagos, resulten más seguros, pero tienen el inconveniente de que necesitan la instalación
de un software específico en el ordenador del usuario para poder certificarle, o bien, de un hardware
como los lectores de tarjetas para DNI electrónico o las nuevas tarjetas de crédito con chip. Estos
requerimientos suponen incomodidades adicionales, lo cual limitan la compra a un determinado
terminal, o bien, obligan a cargar con el hardware encima, por lo que, en definitiva, no son muy
operativos. Algunos de estos sistemas se utilizan más en el ámbito profesional de la gestión de
información privada y gubernamental clasificada, pero se antojan excesivos para una simple compra
online.
Página | 28
8. Los sistemas de pago más comunes en internet.
Existen diversas formas de pagos haciendo uso de las conexiones digitales. Algunas son muy
populares y se han convertido en estándares, mientras que otras se reservan para determinadas
ocasiones, incluso hay conexiones residuales y casi más teóricas que prácticas. No obstante, el
sector digital está en plena evolución y algunos métodos que en estos momentos son meros bancos
de pruebas, pueden ser mañana los nuevos estándares de pago. Por este motivo, en este apartado se
detallan los principales sistemas de pago, así como las ventajas y los inconvenientes de cada uno de
ellos.
Pago contra reembolso.
El pago contra reembolso consiste en abonar la cantidad estipulada de la compra en el momento en
que se tiene el producto en mano. Es decir, hasta que no se recibe en el hogar del comprador o en el
domicilio establecido y, eventualmente, se comprueba su buen estado, no se procede al pago del
producto. Es entonces cuando se procede a pagar por medio de la empresa distribuidora, abonando
en efectivo (monedas o billetes), por transferencia, o con tarjeta de crédito o débito si quien lleva el
producto a casa tiene un datáfono. En este caso, el usuario tiene la potestad de rechazar el producto
si lo considera oportuno y no efectuar el pago.
Se ha querido ver esta forma de pago como la más segura en el medio digital, ya que no se abona
hasta que no se tiene el producto en las manos, y se puede rechazar el producto enviado si algo no
nos convence o no cumple con lo estipulado en la oferta. Tal vez en los inicios de Internet este
medio de pago fuera de lo más seguro, pero, a día de hoy, se puede asegurar que no resulta más
fiable que una conexión segura SSL, ni ofrece más garantías de protección que la actual Ley de
Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI). Por un lado, la
conexión segura SSL proporciona seguridad técnica total, y, por otro lado, la LSSI ofrece garantías
al consumidor, como es el periodo de desistimiento de 7 días hábiles, sin ser penalizado y sin
justificar los motivos de su desistimiento. Este plazo para desistir nos asegura que podremos
devolver la compra y recuperar el dinero invertido sin tener que dar explicación alguna. No
Página | 29
obstante, hay que tener en cuenta que el derecho de desistimiento siempre se concede en compras a
distancia, y la compra contra reembolso se considera una compra a distancia, por lo que también en
este medio de pago el comprador tiene este derecho.
El pago contra reembolso es una buena medida para determinadas compras que implican cierto
riesgo. Por ejemplo, siempre que se desee adquirir un producto de una tienda web que está fuera del
entorno de la Unión Europea o que el comercio online se ubique en algún país de economía frágil y
legislación laxa. No tiene sentido para comercios de reconocido prestigio y muy probablemente
tampoco para el entorno de Estados Unidos y Canadá, pero sí puede ser útil en Rusia y países de la
antigua Unión Soviética. También para países de Oriente Medio, Asia o la India, ya que el objeto
tendrá que hacer un largo viaje y atravesar muchos estados, lo que aumenta la probabilidad de
extravío o roturas. Además, se desconocen las legislaciones de los países de origen. Por tanto, fuera
de estas circunstancias expuestas, consideramos que el pago contra reembolso ha perdido gran parte
de su utilidad.
Pago por transferencia bancaria.
Este supuesto se refiere a que el usuario tiene un control de sus cuentas a través de una web
personal alojada en su banco y puede realizar transferencias mediante su sistema personal de claves.
La seguridad de este entono bancario es absoluta, ya que la apertura de una página personal para
gestionar las cuentas bancarias sólo se pueden conseguir personándose en una oficina de la entidad
bancaria de la que se es cliente, siendo necesario mostrar el documento nacional de identidad, y a
través de las tarjetas o comprobantes de que se es titular de la cuenta bancaria.
Una vez aceptada la premisa de que somos los titulares de una cuenta bancaria, y habiendo
solicitado una tarjeta para realizar operaciones bancarias a través de Internet, deberemos esperar a
que se envíe desde la central del banco una tarjeta con una serie de claves. Cuando ésta llegue, el
empleado que nos atienda activará desde su ordenador la página web y nos entregará un papel
cerrado con un número PIN secreto, además de la tarjeta con las claves de operaciones. A partir de
entonces, escribiendo nuestro número de DNI y el código PIN en las casillas correspondientes de la
web de nuestra entidad bancaria, o bien incluyendo los datos que nos sean requeridos por la misma
Página | 30
entidad bancaria, podremos acceder a nuestras cuentas bancarias y realizar numerosas gestiones y
movimientos.
Entre estas gestiones se encuentra la posibilidad de realizar transferencias bancarias a cuentas de
otros titulares, igual que se harían en la oficina de la entidad bancaria por medio de un empleado.
Para realizarla una transferencia bancaria se utilizará la tarjeta con los códigos de claves asignados
el día de la apertura de la página web. Estos códigos de claves son específicos de cada usuario y hay
que procurar no perder nunca la tarjeta ni mostrársela a ninguna otra persona. La decisión de limitar
el alcance de esta restricción a la propia familia es algo que deberá decidir el propio usuario en
función de sus circunstancias personales, pero, como recomendación de seguridad, es mejor que ni
siquiera en este ámbito se deje acceso a la tarjeta de claves. No hay que olvidar que son el
equivalente a la firma del usuario y dan la rúbrica a cualquier transferencia.
En resumen, mediante la introducción de las claves se puede hacer una transferencia a cualquier
cuenta y pagar así por un producto de forma muy segura. Es un sistema interesante siempre que se
tenga un ordenador o un móvil con acceso a la Red a mano para realizar pagos al instante, en
tiendas físicas de productos de precio elevado, como muebles, ordenadores e incluso vehículos, ya
que puede ocurrir que no se disponga del montante económico suficiente en el momento de realizar
la compra. Así, se puede realizar en el mismo momento, la transferencia desde nuestra cuenta
bancaria a la cuenta de la tienda vía Internet.
Este sistema de pago también sirve para los pagos convenidos entre dos particulares que acuerdan la
compraventa de un producto, o para abonos a empresas que disponen de poca infraestructura web y
con las que se acuerda un pago fraccionado, por ejemplo, el pago de un 40% inicial y un 60% a la
entrega del producto.
Para el resto de situaciones es un método incómodo. Además, aunque sea seguro en el aspecto
técnico puede resultar poco fiable. Implica la introducción de demasiadas claves y números, ya que
tenemos que conocer la cuenta completa a la que transferimos la cantidad a pagar y escribirla, junto
con nuestras claves. Además, supone la transferencia a un destino del que quizá no tengamos
demasiadas referencias. A ello se suma que las transferencias entre cuentas de distintas entidades
financieras tienen un gravamen que puede ser elevado en función de la cantidad que se paga. Es un
Página | 31
sistema bueno sólo cuando se tiene una referencia y un conocimiento del comercio que ofrezca las
suficientes garantías, ya que el pago por transferencia es una decisión personal que no está avalada
por ninguna entidad crediticia. De todos modos, se acoge a todos los derechos que especifica la
LSSI.
Asimismo, este sistema de pago tiene la desventaja de la lentitud: el proceso de la transferencia
bancaria es lento, ya que implica un sistema en el que primero se realiza la transferencia, después la
empresa online lo comprueba junto con el resto de datos del pedido o compra realizada por el
usuario. Una vez que se ha comprobado ambas cosas, se procede al envío del producto solicitado
por el consumidor. Ante esta situación, están surgiendo en la actualidad tiendas online que
favorecen la agilidad del sistema de pago por transferencia. Estas tiendas que operan en Internet
cuentan con sistemas de cuentas corrientes virtuales que, inmediatamente después de que el
comprador realiza la transferencia bancaria, proceden a la orden de envío del producto. Por tanto, se
caracterizan por su rapidez en el envío inmediatamente después de confirmar la transferencia
realizada.
Pago por domiciliaciones bancarias.
Consiste en un sistema de pago que favorece la contratación y las compras periódicas online
(revistas, prensa, etc.) de cualquier usuario. Una vez que se ha procedido a la compra en Internet, el
vendedor o tienda online emite un recibo por el importe de la compra realizada, efectuándose un
cargo en la cuenta del comprador o cliente. Los datos de la cuenta bancaria del comprador se
recogen a través de un formulario con información detallada del comprador.
Una vez realizada la compra, es entonces cuando la entidad bancaria se lo comunica al comprador
mediante una notificación (normalmente es mediante un escrito, o bien por un mensaje de texto al
móvil del comprador, o telefónicamente). De esta manera se podrá confirmar la compra, siendo
posible, a partir de ese momento, que el comprador pueda rechazar o anular el cargo si no está de
acuerdo con lo solicitado o comprado. Por su funcionamiento, es un sistema más cercano a los
micropagos, que se explicarán más adelante.
Página | 32
Pago por móvil.
Se dice que el pago por el móvil es el pago del futuro dadas sus ventajas de ubicuidad -siempre
llevamos el teléfono encima-, sencillez -en un entorno mecanizado bastaría con apretar un botón
para efectuar el pago- y seguridad -la transferencia sería inmediata, vinculada a nuestra cuenta o
factura de teléfono e iría cifrada igual que en un datáfono.
Pero por diversos motivos, este sistema está todavía lejos de consolidarse y más aún de convertirse
en un estándar. Entre los motivos detallamos los siguientes:
1. Se requiere de móviles inteligentes para efectuar el pago, los conocidos comúnmente
como "smartphones". De momento no están al alcance de todos los bolsillos, aunque poco a poco
son más populares entre los usuarios o consumidores medios.
2. Las experiencias pasadas demuestran que se precisa de un convenio, que no siempre es
fácil, entre una o más entidades financieras o crediticias y las operadoras, de modo que las primeras
avalen a las segundas en los pagos cuando éstos se carguen en la cuenta del usuario. Esto se
comprende más fácilmente si se piensa en cientos de miles de personas cargando a diario pagos en
sus cuentas telefónicas. A final de mes estos cargos se abonarían a la operadora vía factura
telefónica, pero durante el mes, la empresa operadora de telecomunicaciones debería responder ante
los comercios, o al menos asegurar que tiene capacidad de respuesta a fin de mes.
3. Las operaciones de transferencia son delicadas y obligan a contar con infraestructuras de
protección -sistemas seguros, cifrados, servidores, antenas especiales, etc.-, por lo que, en un
sistema estandarizado, la inversión en seguridad sería enorme para las operadoras, salvo que lo
compartieran con las entidades financieras o crediticias. Este mismo problema afecta también a los
sistemas donde no se abona el cargo en la factura mensual, sino que se utiliza una pasarela de pago
normal en el teléfono.
4. Por otro lado, algunos de los sistemas que se están estudiando, involucran a una tercera
Página | 33
tecnología conocida como "Near Fiel Comunications" (NFC) donde el pago se realiza por un chip
insertado en el teléfono que pasa los datos del pago a otro chip colocado en el datáfono o la caja
registradora del comerciante. Esta tecnología requiere de móviles con capacidad para albergar una
tarjeta NFC, lo que obliga a un convenio entre los fabricantes para desarrollar prototipos con esta
funcionalidad.
Sin embargo, se ha realizado una prueba piloto en la población barcelonesa de Sitges basada
en el pago con el móvil mediante NFC y conocida como Mobile Shopping Sitges20. El resultado ha
sido dispar. La peculiaridad de esta población es el alto poder adquisitivo de algunos de sus
habitantes y la existencia de una numerosa colonia extranjera con hábitos tecnológicos. En la
experiencia participaron el operador Movistar, La Caixa y el fabricante de teléfonos móviles
Samsung. También hay que tener en cuenta que tuvo una baja acogida a pesar de que Samsung
ofrecía los teléfonos gratis.
También se ha puesto en marcha otra experiencia piloto por la pasarela de pagos PayPal
junto con la Universidad Pontificia de Salamanca, para poder pagar en los aparcamientos públicos
de las ciudades españolas21. En este caso, no se trata de un sistema basado en NFC, sino en un
protocolo desarrollado por PayPal para instalar un botón de pago en móviles que funcionen con el
sistema operativo iPhone OS y Android. El pago se hará mediante la red de datos 3G -o en el futuro
por 4G- del mismo modo que se haría en un ordenador. De consolidarse este sistema, se requeriría
de una estructura de seguridad adecuada, además de su extensión a otro tipo de móviles, como las
Blackberry o los que funcionan con el sistema operativo Windows Phone 7.
5. Precisamente la disparidad de sistemas operativos existente en el sector de los
"smartphones", es otra importante barrera para la consolidación de un estándar de pago, ya que
aunque se alcanzara el desarrollo de las estructuras de seguridad suficientes para una cantidad de
pagos masivos, un futuro estándar debería funcionar de igual forma en cualquier móvil, algo que a
día de hoy está lejos de suceder.
20
Muy computer. Proyecto piloto de pagos con el móvil en Sitges.
(http://www.muycomputer.com/Actualidad/Noticias/Pagos-via-movil-enEspana/_wE9ERk2XxDBhZHUFxjyv1XyRUX8WNKU2cS78mOCEaxN2xeIknGBvkr3p-bhfvIdr)
21
PayPay: PayPal favorece el desarrollo del comercio electrónico móvil (https://www.paypalpress.es/content/detail.aspx?ReleaseID=377&NewsAreaId=2)
Página | 34
El pago por móvil sí está consolidado en países tan importantes como Corea del Sur y Japón, y por
eso han existido anteriormente numerosas iniciativas para facilitarlo, como Mobipay España, que
nació en junio de 2001 fruto de la unión de dos plataformas rivales que no habían tenido éxito por
separado: Movilpago (de BBVA y Telefónica) y Pagomóvil (del BSCH y Airtel, hoy Vodafone).
Después se unieron Amena, Visa y un buen número de otros bancos y cajas de ahorro. También
existió Paybox, una plataforma que llegó a España tras su consolidación en otros países, y
CaixaMóvil, el sistema de pago de La Caixa. Ninguno de ellos llegó a buen puerto por los motivos
antes expuestos.
Por otro lado, en 2003, las principales operadoras europeas (Movistar, T-Mobile, Orange y
Vodafone) formaron un consorcio para crear un sistema conjunto de pago por móvil llamado
Simpay, al que más tarde se unieron otras operadoras menores. La iniciativa se dirigía a los pagos
de pequeño importe, o micropagos, que se cobraban a través de la factura de la operadora, y dejaba
de lado a los bancos y entidades de pago. Esto supondría un ahorro en las comisiones y, además, los
usuarios podrían pagar con su teléfono en cualquiera de los países donde estuvieran presentes las
operadoras adheridas. Sin embargo, en junio de 2005 Simpay suspendió todas sus actividades en
Europa. La consultora Forrester aseguró entonces que los micropagos no representaban un volumen
suficiente como para que resultara rentable y que el sistema estaba condenado desde el principio22.
Finalmente, algunos sistemas de pago en la Red, como el usado por Renfe, implican la participación
en alguno de los pasos del proceso de un teléfono móvil para recibir, por SMS, una clave con la que
autenticar el usuario como propietario de la tarjeta. Para que el sistema sea seguro la clave debe ser
única y diferente cada vez que se envía, de modo que aunque el SMS pueda ser detectado por un
"ciberdelincuente", éste no podría usar la clave con posterioridad si se hiciera con los datos
bancarios del usuario. Esto implica que mientras se realiza el pago, hay que estar pendiente de
recibir el SMS, para lo que hay que disponer de buena cobertura y tener el teléfono a mano.
Este sistema añade un plus de seguridad para los casos de suplantación, pero es muy incómodo
porque implica que el usuario tenga asignado un único teléfono para el envío del SMS, por lo que
22
Payments news: Pan-european mobile payment initiative falls apart.
(http://www.paymentsnews.com/2005/06/simpay_paneurop.html)
Página | 35
en caso de cambio de teléfono debería darse de alta en la web de nuevo y especificar el cambio de
número. Incluso, si tarda demasiado en poner la clave enviada por SMS expirará la página de pago,
con lo que se requerirá volver a iniciar todo el proceso, enviando nuevamente otra clave. Esta nueva
clave se acumulará en los mensajes de texto del móvil con la anterior, lo que en ocasiones puede
provocar confusiones al usuario, lo que puede dar lugar a que el usuario escriba la primera clave en
lugar de la que se envió con posterioridad. Todo esto puede conducir a un error en el pago por clave
fallida y al envío de una nueva clave -la tercera- que se suma a las dos siguientes.
Pago con tarjeta.
El pago con tarjeta -ya sea de crédito o de débito- es la principal modalidad de pago en Internet.
Constituye, en la práctica, el estándar de facto, ya que se emplea en la gran mayoría de comercios y
tiendas online a través de pasarelas de pago seguras SSL, tal como se ha especificado en el apartado
séptimo.
Su funcionamiento se basa en dejar los datos de la tarjeta en una página cifrada y autenticada que
sólo puede pertenecer al comercio que indica y que está completamente protegida de escuchas e
intromisiones. Es un proceso completamente seguro, tanto en la transferencia de los datos como en
su almacenamiento en servidores.
De hecho, muchos usuarios o consumidores habrán apreciado cómo en numerosos comercios se les
añade al cobro del producto una cantidad variable en función del tipo de tarjeta que utilicen. La
razón es que la inversión en seguridad es cada vez mayor, por lo que el sistema se encarece y con
los márgenes ajustados que tienen los comercios web prefieren cargar directamente el coste de uso
al comprador que ponerlo subrepticiamente en el precio final. Si nos detenemos a pensar que en un
comercio físico no es común que se cobre un plus por pagar con tarjeta, tal vez nos dé una idea de
lo superior que puede llegar a ser el nivel de seguridad en la Red respecto al uso del datáfono
común.
El único "pero" en cuanto a seguridad que se le puede poner a este método, es que el usuario no
queda autenticado, por lo que un ladrón de los datos de la tarjeta puede incluirlos sin problemas y
Página | 36
realizar una compra. Como se ha explicado en los capítulos anteriores, el usuario que compra con
una tarjeta que no es la suya, queda inmediatamente identificada la compra realizada Si el usuario,
propietario de la tarjeta, comprueba que se ha realizado un pago, sin ser él el que lo ha realizado,
por ley, tiene garantizado el derecho de acudir a su entidad financiera, anular dicho pago y renovar
su tarjeta. El plazo para anular los pagos es de tres meses. El comercio online, en cambio, deberá
asumir los costes de la venta si no consigue recuperar su producto.
Se han diseñado sistemas de autenticación de usuarios para evitar los fraudes. Estos sistemas
permiten que, en el momento de aprobar la compra, el internauta o usuario tenga que insertar sus
claves personales, o bien, usar su certificado o su firma digital. Incluso VISA y Mastercard lanzaron
en 1996 una pasarela llamada SET, que fue renovada en el año 2000 por un sistema llamado 3DSecure23. Ambos métodos suponen el uso de certificados digitales, sin embargo, exigen la
instalación de un software específico en el ordenador del usuario, cuando no el uso de hardware
como lectores de tarjetas, lo que encarece y complica la compra mucho más allá de lo deseado. El
uso de estas estrategias de pago no dejaría, por ejemplo, comprar desde otro ordenador que no fuera
el propio, un hecho cada vez más inconcebible en nuestro entorno de permanente movilidad.
No es de extrañar, entonces, que el protocolo SSL, que ofrece seguridad a la vez que es un sistema
sencillo y barato, se haya extendido y consolidado como estándar a pesar del hándicap de la
autenticación del comprador. Como se ha descrito en el apartado del pago por el móvil, se usa a
veces una autenticación por envío de claves vía SMS que resulta una solución de compromiso
aceptable, aunque no todo lo cómoda que sería deseable.
Ciber tarjetas, tarjetas de pago online o tarjetas monedero.
Consisten en tarjetas prepago de débito que se cargan con la cantidad de dinero que desea el usuario
según sus compras. Son bastante seguras. No van asociadas a una cuenta o tarjeta de crédito. A
veces, las entidades que las emiten, solicitan una clave de seguridad para validar las compras (CESComercio Electrónico Seguro o CIP- Código Identificación Personal), junto con el resto de datos
23
Wikipedia: Transacción electrónica segura.
(http://es.wikipedia.org/wiki/Transacci%C3%B3n_electr%C3%B3nica_segura)
Página | 37
(número de tarjeta, fecha de caducidad y CVV -tres dígitos situados en la parte posterior de la
tarjeta-).
La Caixa ha lanzado recientemente su producto "Cyber Tarjeta", que es una tarjeta Mastercard de
prepago para uso exclusivo en las compras por Internet. Se puede recargar entre 5 y 1.500 euros y
permite consultar los movimientos online. Resulta una solución ideal para las personas que, por la
razón que sea, no quieren o no pueden tener una tarjeta de crédito, y, sin embargo, compran en
tiendas web donde se requiere una. También, es útil para que un menor de edad haga compras por
Internet con la supervisión de los adultos (padres o tutores), de tal forma que éstos puedan controlar
las recargas que se realizan. Este sistema es muy popular entre los adolescentes que compran
videojuegos en la Red.
Tarjetas virtuales.
No tienen soporte físico y constan de un número y fecha de caducidad. Se ofrecen con
identificación del usuario o bien son anónimas. Se recargan hasta una cantidad para comprar en
Internet o por el móvil. Normalmente están certificadas y se expiden por entidades bancarias.
Un ejemplo es la Tarjeta Virtual BBVA enfocada al público joven que ofrece el banco BBVA. No
tiene ni cuotas ni comisiones, y para contratarla sólo se debe indicar en la oficina bancaria la
dirección de correo electrónico y el número de identificación personal que se escoja para la tarjeta.
Para realizar una compra únicamente se requiere recordar el número de tarjeta, la fecha de
caducidad y el CVV. Funciona como una tarjeta prepago, que se puede recargar a través de cajeros
automáticos, llamando al teléfono de atención al cliente, en cualquier oficina BBVA y mediante la
web del banco. El límite máximo de carga es de 600 Euros.
En resumen, tanto las tarjetas virtuales como las cibertarjetas están más enfocadas a ofrecer
posibilidad de compra a los jóvenes que a la seguridad, aunque en este aspecto se equiparan a
cualquier otro tipo de tarjeta. Presentan la desventaja de tener limitado el gasto, de tal forma que
ante un gasto imprevisto no se puede gozar de crédito suficiente.
Página | 38
Pago sin tarjeta y micropagos.
Los pagos sin tarjeta tienen la misma base que las cibertarjetas y las tarjetas virtuales, pues se basan
en la recarga de una cuenta virtual situada en los servidores de una plataforma virtual de pagos, ya
sea o no de una entidad bancaria. La diferencia es que no funcionan con los mismos datos que las
tarjetas bancarias, sino que se adaptan a las claves que adopte el usuario. De este modo presentan la
ventaja de no tener que exponer los datos de la cuenta bancaria cuando se efectúa un pago en
Internet, ni que estos datos sean almacenados en los servidores de ningún comercio o servicio
online, con lo que se aumenta la seguridad y la privacidad. Paypal es el sistema más extendido con
diferencia.
Los micropagos presentan el problema de que apenas ofrecen margen de beneficio para las
entidades de crédito por su bajo montante, por lo que éstas no se prodigan en permitirlos en los
comercios. Tampoco para éstos últimos son rentables, ya que no amortizan los costes de montar
toda una infraestructura necesaria para realizar pagos seguros. No obstante, en una cantidad
suficientemente alta sí salen rentables tanto para unos como para otros, por lo que se han creado
sistemas, siempre asociados a empresas que garantizan un gran número de transacciones, que
permiten efectuarlos. En general, se trata de sistemas cerrados, que permiten comprar sólo en una
misma empresa, y están estructurados alrededor de grandes compañías que poseen un sistema muy
potente de seguridad en los servidores donde se guardan los datos bancarios de los usuarios. De
hecho los ejemplos más notables están vinculados con Apple, Amazon y Google, tres "monstruos"
de la Red.
• PayPal.
El principal sistema para realizar pagos sin tarjeta es PayPal, creado en Estados Unidos en 1998
aunque popularizado a partir del 200124. Actualmente, es propiedad del portal de subastas eBay, y se
constituye en su principal método de pago. Se trata de un sistema que basa su fiabilidad en el uso
del correo electrónico del internauta para garantizar la transacción segura de dinero desde sus
24
Wired: The Money Shot (http://www.wired.com/wired/archive/9.09/paypal.html)
Página | 39
cuentas a una cuenta especial del servicio alojada en sus servidores. El proceso empieza con la
inscripción del usuario, que deja sus datos de identificación personal así como el número de cuenta
desde la que quiere transferir el dinero a su "cuenta PayPal". Todo ello se hace en un entorno seguro
SSL con un nivel de cifrado simétrico muy alto (3DES-EDE-CBC 168 bit).
El usuario recibirá en su correo, claves de acceso a su página personal del servicio y las
instrucciones para crear su cuenta PayPay. Una vez creada, la podrá usar para pagar en aquellos
comercios que acepten este tipo de sistema, que son numerosos.
Cada vez que pague en un comercio web, el usuario tiene dos opciones:
▪
hacer el paso manual -supervisado por el usuario- de una cantidad desde su cuenta
bancaria, o de crédito, a su cuenta PayPay, para desde allí pagar en el comercio; o
▪
permitir que PayPal haga esta transferencia monetaria, de manera automática, cada
vez que se pague en un comercio.
Estas opciones son reversibles, de modo que si se tiene durante un tiempo una de ellas como
predeterminada, se puede adoptar la otra, siempre desde la página personal del usuario a la que
entra con sus claves.
Entre las ventajas de PayPal, cabe destacar las siguientes:
ƒ
Los datos de la cuenta bancaria o de la tarjeta de crédito se introducen solamente una vez al
inscribirse en el servicio. Así, no se tendrá que escribir estos datos en ningún comercio
online, ya que únicamente se pagará con las claves de PayPal. El sistema evita así introducir
los datos en páginas fraudulentas y ejerce de barrera contra posibles usurpaciones. También
evita que los datos del usuario se repliquen en innumerables servidores -tantos como en
comercios compre-. Ahora bien, salvo por estos hechos no es ni más ni menos seguro que un
protocolo SSL.
ƒ
Es un sistema cómodo, porque para pagar basta con disponer de la clave del usuario en
PayPal -, sin la necesidad de acudir de forma continuada a la cartera o al bolso con el fin de
ver los datos de la tarjeta de crédito –son pocos quienes los recuerdan de memoria-. En este
sentido, gana mucho en usabilidad y resulta apropiado para las personas que compran a
Página | 40
menudo en Internet.
ƒ
Como está muy extendido, se puede usar en numerosos comercios online sin problemas.
ƒ
Permite realizar micropagos de cantidades tan pequeñas como se deseen, lo que resulta muy
cómodo para comprar pequeños servicios de la creciente industria del ocio en streaming y
en descarga, como son canciones en MP3, reproducción de películas y series, libros
electrónicos, etc.
Entre sus inconvenientes, se pueden mencionar los siguientes:
•
No se puede considerar PayPal como un banco por su forma de operar, por lo que no se rige
por las mismas leyes que las entidades bancarias, lo que hace que los usuarios estén menos
protegidos legalmente en comparación con las entidades bancarias (tanto compradores como
vendedores).
•
Tampoco dispone de entidades crediticias que puedan avalar la operación, a diferencia de
otros medios de pago tradicionales, como la mayoría de las tarjetas de crédito.
•
Por estos motivos resulta inseguro en caso de que una de las dos partes actúe de mala fe o
falle en la operación. Se cuenta únicamente con la garantía que ofrezca la empresa de
resarcir al pagador por la operación fallida.
•
El hecho que los datos de la cuenta bancaria estén seguros no quiere decir que el usuario no
pueda ser víctima de un fraude. Puede ser que unos timadores usurpen las claves del usuario
de su cuenta PayPal -hay ingentes cantidades de ataques por spam y phishing que lo
intentan-, y las utilicen para realizar las más variadas compras. Incluso, modificando las
preferencias de procedimiento de transferencias entre cuentas.
De todos modos, se debe puntualizar que PayPal también ofrece a los comercios su uso como
simple pasarela de pago SSL, en la que los usuarios pueden introducir los datos de su tarjeta sin
tener una cuenta en el servicio. En este caso, PayPal sólo actúa de intermediario técnico y el
traspaso dinerario sí que estaría avalado por bancos o entidades crediticias, por lo que aquí si se
cuenta con un aval.
Un sistema alternativo a PayPal
Página | 41
es la empresa canadiense AlertPay, pero no tiene web en
castellano y está menos extendido.
Otros servicios para pagos sin tarjetas.
Existen otros servicios para pagar sin tarjeta, sobre todo para hacer micropagos, son iTunes Store y
Amazon Payments.
•
Google Checkout.
Google dispone de su propio sistema de pago electrónico, Google Checkout, creado para competir
con Paypal, aunque se centra únicamente en comprar y vender productos en Internet. De esta forma,
Google logra un doble objetivo porque ofrece a otras empresas una forma de pagar sus servicios
publicitarios que, al mismo tiempo, le beneficia si éstas, después, lo utilizan para vender sus
productos. Así, dispone de un botón que se inserta en sus anuncios por palabras y que permite a los
visitantes adquirir algún producto directamente a través de Checkout.
Funciona de manera sencilla aunque se encuentra menos extendido que Paypal. Checkout también
sirve para pagar las aplicaciones que se compran en el Android Market, la tienda de descargas para
los teléfonos móviles y tabletas que funcionan con este sistema operativo y que muchas veces no
llegan al euro. Por tanto, se realiza la compra mediante la introducción del nombre y la clave de
usuario en servicio y el monto total de micropagos se ve reflejado en la factura de VISA o
Mastercard mensual.
•
Amazon Payments.
Amazon, otra de las grandes empresas de Internet, ha seguido el camino de Paypal y Checkout y ha
lanzado recientemente su propio sistema de pago electrónico, denominado Amazon Payments.
Para promocionarlo con rapidez lo ha vinculado automáticamente a las cuentas de usuario de este
popular comercio. De esta manera, las personas que le han confiado anteriormente los datos de su
tarjeta de crédito pueden pagar a otros establecimientos sin necesidad de proporcionarla de nuevo.
Página | 42
Este sistema se espera que esté operativo en España en breve, dado que Amazon ya ha decidido,
hace poco tiempo, su entrada en nuestro país25.
•
iTunes Store.
Finalmente, un sistema de micropagos especial por su ámbito cerrado es el de iTunes Store. Cada
vez que un usuario de un dispositivo fabricado por Apple quiere darlo de alta, por ejemplo, para
activar la garantía, debe inscribirlo en el servicio iTunes Store. La primera vez le exigirá dar todos
sus datos, incluidos los de su tarjeta de crédito, pero en las siguientes le bastará con el nombre de
usuario y la contraseña. De un modo muy similar a Amazon Payments, esta inscripción habilita al
usuario para comprar en la tienda de iTunes, ya sean aplicaciones para el móvil, videojuegos,
canciones o vídeos. El usuario sólo debe dejar sus claves en el servicio cada vez que compre algo y
al final de mes recibirá la factura por el monto total. Este sistema de micropagos funciona sólo en
iTunes con la garantía de seguridad de Apple, por lo que no tiene aplicación fuera de este entorno.
25
Expansión: Amazon compra BuyVip por 70 millones de euros.
(http://www.expansion.com/2010/10/01/empresas/digitech/1285924967.html)
Página | 43
9. El fraude. ¿Por qué nos engañan?
¿Qué es el fraude?
Se considera fraude todo tipo de estrategia, o conjunto de estrategias, que tenga como objetivo
provocar que el consumidor transfiera al "ciberdelincuente" información privada o dinero sin su
permiso ni su conocimiento, de una forma ilícita y haciéndole creer que está realizando una acción
distinta de la que en realidad hace.
El fraude siempre se ejecuta a través del engaño -el delincuente engaña al usuario para conseguir
que le entregue lo que desea y crearle un perjuicio-. Para conseguirlo, se explotan aspectos
emocionales como la codicia, la ignorancia, la ambición, el afán de mejora física, el miedo, la
lujuria, etc. Son aspectos, todos ellos, que caben en cualquier persona y que, normalmente, son
controlamos de forma consciente.
¿Quién hay detrás del fraude?
El fraude, en este sentido, está diseñado para estimular la parte inconsciente que da salida a estas
emociones y sentimientos sin la modulación de la consciencia, de modo que se activan sin que
apenas nos demos cuenta. Los ejecutores de los fraudes en Internet no se parecen ya a los llamados
"hackers" que, a finales de los años 90 del pasado siglo, retaban a los gobiernos y las corporaciones
atacando sus páginas web. Se trataba de jóvenes que querían demostrar su valía y poner en
evidencia los fallos de seguridad de páginas tan importantes como las gubernamentales. Ahora, esos
primeros "hackers" son, en muchos casos, directivos de grandes empresas de seguridad en la Red
que se ganan la vida asesorando a aquellos a los que en su juventud "hackearon". Incluso muchos de
ellos son ahora los autores de los protocolos de seguridad que actualmente se utilizan en las
transmisiones de información, incluidas las pasarelas de pago.
El "ciberdelincuente" no busca demostrar sus conocimientos en informática, sino que quiere ganar
Página | 44
dinero de forma delictuosa y sin ningún escrúpulo. Es más, la gran mayoría apenas tiene
conocimientos técnicos ni los necesita: es un delincuente común, o una organización criminal, con
negocios ilícitos en el mundo físico. La base de su negocio no es la ingeniería informática, sino el
conocimiento y la manipulación de las emociones humanas. En este sentido, los "ciberdelincuentes"
son unos grandes ingenieros emocionales. Intentan utilizar el mínimo de las técnicas informáticas,
ya que se rigen por la ley del mínimo esfuerzo, es decir, cuánto menos inviertan en una estrategia de
fraude, mayor será el beneficio que acabarán obteniendo.
¿Qué nos motiva a caer en el fraude?
Con todo lo seguros que son los pagos en Internet, siempre hay alguna persona que sale
damnificada de una operación al introducir sus datos en una web para realizar un pago. ¿Por qué?
La respuesta no es sencilla porque entra más en el campo de las emociones que en el de la lógica
matemática. ¿Por qué deseamos? ¿Por qué nos gusta ganar? ¿Por qué tenemos ilusiones, miedos,
ambiciones, sueños? Porque somos seres humanos.
Como ya se ha explicado, es esta humanidad de sentimientos complejos y, en ocasiones,
contradictorios lo que explotan, a veces con exquisita excelencia, los "ciberdelincuentes". La
máxima a tener en cuenta al hablar de estos personajes es que son mucho mejores psicólogos que
informáticos. Si los timadores clásicos detectan al instante "de qué pie cojea" cada persona, los
"ciberestafadores" no conocen tan al detalle las debilidades de cada internauta, pero sí saben,
que en un grupo amplio de usuarios, habrá muchos que sufran de las debilidades más
comunes: miedo, ambición, ignorancia, despiste, codicia, etc… Son, al fin y al cabo, emociones
perfectamente normales, aunque en ocasiones resulten peligrosas, lo que conlleva a que muchos
internautas o consumidores y usuarios caigan en las redes de los “ciberestafadores”.
Quien haya tenido la oportunidad de observar algún intento de fraude en Internet, se habrá fijado en
que, en muchas ocasiones, el diseño de las páginas web y mensajes fraudulentos son muy pobres y
simples. A los "ciberdelincuentes" no les importa tal hecho, no buscan al usuario que se para a
pensar unos segundos antes de actuar e identificar que la página o mensaje que tiene en frente es
imperfecta o inverosímil. Buscan a aquel usuario que por sus circunstancias, tanto personales como
Página | 45
del momento, no reparará en estos detalles y se dejará llevar por el automatismo de las emociones.
Buscan a la persona que sucumbe al miedo frente a un mensaje que le avisa de que un balance
bancario registra aquellas operaciones que él o ella no ha permitido, y no cae en la cuenta de que en
que su banco jamás le avisaría por correo de tal cosa -lo haría por carta o por teléfono.
Buscan al usuario que por desconocimiento del medio, por exceso de buena voluntad o por su
codicia, se cree una historia rocambolesca en la que un desconocido le escribe un correo y le ofrece
un piso seminuevo en la Costa del Sol a precio de ganga porque le ha salido un trabajo en Sudáfrica
y debe irse por diez años. Este ejemplo de fraude fue, hace cinco años, motivo de enorme revuelo
porque el supuesto desconocido con prisa por irse a Sudáfrica sustrajo importantes cantidades de
dinero a varias personas mayores, todas ellas mujeres de más de cincuenta años solteras, separadas
o viudas: el perfil para el que probablemente estaba diseñado el fraude. El supuesto desconocido era
una red que operaba desde algún lugar de África.
Hay que tener en cuenta que gran parte el éxito de un fraude depende de una cuestión de
probabilidad. Si el campo de usuarios al que llegan los fraudes de estos “ciberdelincuentes” es lo
suficientemente grande, la probabilidad de que un porcentaje de ellos "dé con el perfil" en alguna de
las estafas será la necesaria para que el rédito de las mismas compense la inversión hecha en el
engaño. Así, mientras que el esfuerzo en diseñar una estafa o fraude con una página falsa de
pago suele no ser muy grande -ya se ha dicho que, en muchos casos, el diseño de las páginas
falsas deja bastante que desear-, basta con enviarlo a cinco mil personas para que caigan en el
engaño cuatro. Si de ellas se obtiene una media de seiscientos euros, el esfuerzo quedará
claramente compensado, lo que implicará que prosigan en su cometido, defraudando o estafando
de la misma manera a los usuarios de Internet.
¿Cómo es una estafa tipo?
En la elaboración de este estudio, se han buscado datos sobre los porcentajes de estafas sobre el
total de las transacciones dinerarias realizadas en la Red, ya sea trimestral, semestralmente o en los
últimos años. El resultado es que no se han encontrado demasiados datos fiables, entre otras cosas
porque a nadie le gusta reconocer que ha cedido a los impulsos de los que luego se ha arrepentido,
ni que le han engañado con alguno de los supuestos que más adelante se verán en la tipología del
Página | 46
fraude.
Sin embargo, el Instituto Nacional de Tecnologías de la Comunicación (INTECO), dependiente del
Ministerio de Industria, Turismo y Comercio, realiza, desde el año 2007, un informe anual detallado
sobre el fraude a través de Internet. Los datos que proporciona este Estudio sobre el fraude a través
de Internet (Informe anual 2009)26 resultan muy útiles para entender cómo llega el fraude a los
ordenadores de los usuarios y cómo se producen los pagos en la Red que se derivan de las estafas.
En el examen llevado a cabo por este estudio, se procedió a analizar a los usuarios de Internet
mediante encuestas periódicas y se realizó un análisis online de los equipos de los hogares
españoles.
El estudio muestra, desde una perspectiva evolutiva, un diagnóstico de la incidencia de situaciones
que podrían crear intentos de fraude entre los usuarios de Internet, y el impacto que las mismas han
ejercicio, desde un punto de vista económico, como desde el punto de vista social, en cuanto a los
cambios en los hábitos de uso de los servicios de banca o compra electrónica.
Del mencionado estudio se extrae el siguiente texto con conclusiones claves en torno a la seguridad
y el fraude online:
"El 34,1% de los usuarios de Internet españoles declara, en el cuarto trimestre de 2009 (39,6% a
principios de año), haber recibido alguna petición de visitar páginas web sospechosas en los tres
meses previos a la realización de la encuesta. Por detrás de ella, el 29,4% (35,6% en el primer
trimestre) afirman haber recibido correos electrónicos ofertando servicios no solicitados. Los casos
de ofertas de trabajo potencialmente falsas o sospechosas y la recepción de un correo electrónico
solicitando las claves de usuario son más infrecuentes, y son declarados por un 23,1% y 21,6% de
los usuarios, respectivamente. Ambos porcentajes han descendido a lo largo de 2009. En las formas
adoptadas por el remitente de la comunicación sospechosa de ser fraudulenta destacan los bancos
o entidades financieras que, aumentando a lo largo de 2009, se sitúan en un 43,1% en el último
trimestre. El porcentaje de usuarios que declara haber sufrido algún perjuicio económico debido a
un fraude a través de Internet o telefónico es muy escaso (3,8% en el último trimestre de 2009),
concentrándose la distribución del importe defraudado por debajo de los 400 euros (límite que
26
Inteco: Estudio sobre el fraude a través de Internet (Informe anual 2009).
(http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Estudios_e_Informes_1/estudio_fraude_2009)
Página | 47
establece la ley para diferenciar entre falta y delito)."
Es decir, que la mayor parte del fraude por Internet llega en forma de correo electrónico no
deseado, al menos de forma consciente. En otras palabras, en envío del correo electrónico se hace
desde direcciones que no conoce el usuario o que han sido debidamente manipuladas para
hacerse pasar por otras que sí conoce. Estos correos invitan al usuario de Internet, de manera muy
sibilina y apelando a su subconsciente, a ver páginas que le ofrecen oportunidades de mejora laboral
inmediata; negocios rápidos, limpios, seguros y de altísima rentabilidad; casas de ensueño en
lugares estupendos por un coste diez veces menor; ofertas en subasta a precio de saldo; relojes y
joyas (de imitación) tirados de precio, etc…
¿Quién se resistiría a estas propuestas? Si fueran reales, ninguna persona se negaría a ellas. El
problema es que estos correos llevan al usuario a páginas falsas donde muchas veces el usuario o
consumidor cree que está comprando un objeto, o adelantando un dinero, cuando en realidad lo que
se está haciendo es regalar a un delincuente la información privada de sus cuentas bancarias, por
ejemplo.
La mayoría de los usuarios de Internet se percatan del fraude en seguida, pero hay quienes, por sus
circunstancias personales del momento o por su personalidad, caen en la tentación o saben muy
poco sobre esta casuística como para darse cuenta del engaño. En ocasiones, las páginas falsas
finales donde se dejan los datos, están bien elaboradas y, a primera vista, el engaño no es
perceptible. Son pocos los usuarios que declaran haber sufrido algún perjuicio económico a través
de estos fraudes, según revela el estudio. Pese a ello, el montante económico medio sustraído a los
usuarios no alcanza los cuatrocientos euros, pero no por ello al que le toca le duele menos.
En este gráfico se aprecia claramente la tipología de los intentos de fraude más comunes y su
incidencia, según datos del Informe anual 2009 de INTECO:
Página | 48
Por otro lado, llama la atención la numerosa recepción de correos electrónicos solicitando las claves
del usuario. Generalmente, se trata de correos falsos que manipulan y usurpan los logotipos y la
identidad de las entidades financieras y de los propios servicios de micropagos como puede ser
PayPal y otros. Los delincuentes no saben si el usuario al que envían el correo electrónico tiene
cuenta en alguna de las entidades financieras o servicios, pero, por pura probabilidad, aciertan con
algunos de ellos y les remiten correos de alarma con frases del tipo:
•
"¡Saludos, respetado cliente! Estamos en el deber de comunicarle que el servicio de apoyo
técnico de nuestro banco debe realizar una serie de trabajos profilácticos".
•
"En la entidad bancaria X nos gusta garantizar la seguridad de nuestros clientes. Para esto,
entidad bancaria X acaba de crear un nuevo sistema de seguridad en línea. Es obligatorio
para todos nuestros clientes, usar este nuevo sistema de seguridad. En la aplicación, debe
introducir sus datos de acceso. Si el registro no es celebrado en 48 horas, su cuenta y
planos de inversiones online serán temporalmente suspendidas, hasta que su registro sea
completado."
Página | 49
•
"Caja X: Aviso de seguridad. Coordenadas bloqueadas para su canal de Internet. Para
desbloquearlas pulse aquí"
•
"Apreciado cliente; el servicio X ha detectado algunos movimientos sospechosos en sus
cuentas del servicio, por lo que le urgimos a que entre en la siguiente dirección y
compruebe si nuestras apreciaciones son correctas".
•
"Estimado cliente. Tiene 1 mensaje de seguridad Nuevo! Acceda a su cuenta a través de este
enlace y verifica sus mensajes para resolver el problema."
•
"Notificación: Cuenta Desactivada. Su cuenta permaneció inactiva las ultimas horas,
teniendo problemas constantemente para la conexión por lo cual nuestro Centro de
Seguridad decidió proteger su privacidad desactivando su bandeja de entrada de forma que
su información se mantenga guardada. Para reactivar su cuenta haga clic en: Activar
Cuenta."
En esta captura puede verse cómo están diseñados este tipo de mensajes que apelan a la alarma del
usuario:
Luego les piden que entren en unas direcciones web que les ofrecen en el correo electrónico,
asegurando que son los nuevos diseños del banco, caja o servicio, y les sugieren que introduzcan
Página | 50
sus claves y naveguen para comprobar que funciona bien. En el caso de la falsa Caja España, la web
donde se conmina a entrar es esta:
La página web que le proponen al usuario es falsa y sólo sirve para robar las claves abusando
de la buena intención de colaborar. Sólo hay que fijarse en la dirección URL no coincide en
absoluto con la de Caja España:
Si el usuario tiene por casualidad una cuenta en el servicio o entidad financiera con cantidades
importantes de dinero, puede que se sienta alarmado y el miedo no le permita apercibirse de que
está frente a una estafa. En consecuencia, el usuario puede entrar en la página que le proponen e
introducir sus claves, con lo que se consumaría la usurpación de su identidad.
En el siguiente gráfico se relatan los principales tipos de suplantaciones que detectó el Informe
anual 2009 de INTECO:
Página | 51
En resumen, para tipificar el fraude en los pagos por Internet se exponen las siguientes
apreciaciones:
•
Llega por el servicio de correo electrónico del usuario como un mensaje no deseado, es
decir, como spam. Generalmente los servicios de correo electrónico como Gmail, Hotmail o
Yahoo! Mail tienen "filtros antispam" que mandan el 99% de estos mensajes a la carpeta
de correo basura, pero en ocasiones se pueden colar a la carpeta de recibidos.
•
Los mensajes son de dos tipos principales:
A) En un primer grupo englobamos a los correos o mensajes que proponen maneras exóticas
de ganar dinero que aparentan gran facilidad, los que ofrecen trabajos temporales bien
pagados, o bien, los que proponen ofertas de productos o gangas.
B) En el segundo grupo incluimos a aquellos que informan sobre los cambios o alertas en
los servicios, en su mayoría, que mejoran la seguridad, donde el usuario está suscrito.
Página | 52
Al final ambos tipos, de un modo u otro, lo que tratan es que el usuario que recibe los mensajes,
acabe pinchando en una dirección web falsa y preparada para la ocasión, cuyo objetivo es robarle
las claves de sus cuentas o conseguir que haga un pago por el que no va a recibir ninguna
contrapartida. Siempre hay una dirección o un enlace para descargarse un programa en el ordenador,
en el que los estafadores quieren que el usuario acceda directamente a ellos, o bien, una dificultad
en la lectura del mensaje que se soluciona haciendo clic con el ratón en una determinada página
web.
Ya hemos mostrado cómo es gráficamente una página fraudulenta que apela a la alarma y a la
seguridad bancaria. (Grupo B).
A continuación mostramos un correo típico fraudulento del grupo A, que, en este caso, ofrece
anabolizantes con descuento:
Es importante hacer notar que existen servicios de correo, en este caso presentamos como ejemplo
el de Gmail, que detectan si el mensaje es fraudulento y advierten al usuario. Aún así, al leer el
contenido, la persona puede verse tentada y hacer clic en alguno de los dos hipervínculos que se
ofrecen (marcados en azul). Si se hace clic en la opción "mostrar detalles", se verá que la dirección
no es la de Pfizer, sino de un timador:
Página | 53
Si el usuario o usuaria comete el error de hacer clic en uno de los hipervínculos, llegará a una
página con la dirección similar a ésta:
Por supuesto que no pertenece a la empresa Pfizer, sino que muestra la siguiente página:
En ella, se ofrecen diversas sustancias a precios supuestamente de ganga, tal vez sustancias que son
Página | 54
difíciles de conseguir en España, están prohibidas o resultan muy caras. En principio, la página
parece bien diseñada, y en la parte inferior aparenta tener todo tipo de políticas de seguridad y
privacidad, pero cuando el usuario decide comprar algún producto, y se dispone a pagar, no le
aparece una dirección URL segura del tipo "https://" sino la siguiente:
Tampoco la cabecera cambia de color y mucho menos aparece el candado en la parte inferior
derecha de la página, como se puede observar en la siguiente captura:
No obstante, la página falsa intenta dar la sensación de seguridad a través de signos que encierran
seguridad, como un gran candado en la parte superior izquierda, así como diversos logos de
supuestas entidades certificadoras, que, en realidad, todo es falso. Para estar seguros basta con hacer
clic en la cabecera de la dirección URL, y aparece la siguiente ventana:
Página | 55
Por lo tanto, la página es fraudulenta, no está autenticada y ninguna entidad certificadora responde
por ella. Sólo tiene el fin de hacerse con los datos bancarios del usuario, o bien, robarle una
cantidad de dinero. Como esta misma página fraudulenta nos podemos encontrar miles en nuestra
carpeta de spam.
Página | 56
10. La nomenclatura del fraude.
Como hemos venido señalando en los apartados anteriores, el fraude es una combinación de
estrategias que tienen como resultado la sustracción del dinero o de los datos de una persona usuaria
de Internet. Enumeramos, a continuación, muchas de las estrategias que conllevan fraudes a los
usuarios. Estas son las siguientes:
ƒ Spam.
Es el envío de correo electrónico no solicitado de forma expresa por el usuario ni deseado. No
procede de ninguna de sus amistades ni de personas con las que mantenga relación de ningún tipo.
Es el caballo de Troya con el que el "ciberfraude" entra en nuestras vidas.
El spam alcanzó gran notoriedad durante la pasada década porque llegó a convertirse en un
problema muy incómodo para miles de usuarios que veían su bandeja de correos entrantes
colapsada por mensajes, donde le anunciaban todo tipo de productos, le pedían dinero para las
causas más peregrinas, o le proponían negocios inverosímiles y, en general, trataban de sacarle “los
cuartos” de las formas más variadas posibles. En medio se encontraban los mensajes que no eran
spam y que de verdad interesaban al usuario.
En estos momentos el spam parece un problema casi solucionado, desde el punto de vista del
Página | 57
usuario, porque los filtros “anti spam” de los servicios de correo son muy eficaces y potentes.
Pero no han desaparecido: basta con que miremos en nuestras propias cuentas de correo, para
apreciar cuántos mensajes se acumulan en la bandeja de spam... Siguen ahí y cuesta anualmente
miles de millones de euros en todo el mundo en gasto de servidores, ancho de banda y consumo
energético. Además, de vez en cuando los filtros pueden fallar y dejar pasar un mensaje de este tipo,
con contenido fraudulento, a la carpeta de recibidos del correo del usuario, o al contrario, que el
filtro lleve a la carpeta de spam correos de personas conocidas, que incluso previamente nos han
remitido algún correo no fraudulento.
ƒ Phishing.
Phishing es el término informático que define la estrategia por la cual un "ciberdelincuente"
lleva a un usuario a dejar sus datos bancarios en una página falsa. Dichos datos irán a parar al
criminal, que los usará para sus fines. El caso relatado al final del apartado anterior es un típico caso
de phishing, la estrategia más habitual para consumar el fraude en Internet. Otro ejemplo de página
fraudulenta es la siguiente:
Página | 58
En muchos casos, consiste en un correo spam con un texto que incita, mediante argucias, a hacer
clic en una dirección web, en la que el usuario acabará dejando sus datos. El phishing también son
esos mensajes de correo electrónico que se hacen pasar por comunicados de bancos o servicios
de Internet, que reclaman la atención de los clientes para actualizar sus claves de acceso o
confirmar su número de tarjeta de crédito, a través de un enlace que les conduce a páginas
web falsas. Al final, los datos son capturados y los delincuentes pueden suplantar la identidad de la
víctima para realizar todo tipo de operaciones en la Red.
ƒ Pharming.
Es una variante sofisticada del phishing que implica la apertura de un correo adicional al que
contiene la página falsa, normalmente una aparente réplica del correo que contenía el texto del
phishing. En teoría se usaría para cazar al usuario desconfiado y que sabe que no debe dejar datos
en una página web que se abre desde un correo electrónico de origen desconocido.
El pharming consiste en manipular el archivo de dominios que utiliza el usuario para
desviarle, cuando teclea la dirección de la página real de su banco, a otra web falsa y que
aparenta ser la de la entidad, sin que la víctima se percate. Para manipular el ordenador del
internauta, los delincuentes le envían un correo electrónico aparentemente vacío, pero que, al
abrirlo, se activa un programa que les permite modificar los nombres de dominio. Aunque se trata
de una estrategia poco conocida y de un procedimiento poco claro, los especialistas policiales en
estos delitos aconsejan no abrir nunca los correos cuya procedencia se desconozca.
ƒ Troyanos bancarios.
Los troyanos son programas maliciosos que los usuarios descargan en su ordenador creyendo
que son otra cosa. Cuando se produce la descarga, el troyano se esconde en el ordenador del
usuario y espía sus movimientos, las páginas que visita, e incluso los números y las letras que
escribe o introduce el usuario en distintas páginas web. Cuando el ordenador se conecta a la Red, el
troyano aprovecha para enviar la información que ha recabado sobre el usuario, al delincuente que
provocó su descarga, generalmente engañando al usuario.
Página | 59
Por ejemplo, cuando un usuario quiere ver vídeos pornográficos en una página, ésta puede pedirle
que se instale un programa especial para ver el vídeo. Si el usuario accede a la descarga y activación
de dicho programa, también se activará la instalación del troyano que le espiará y pasará al
delincuente toda la información privada recabada.
Otro caso de troyano encubierto puede ser el siguiente:
En este caso estamos ante un programa que nos unirá a una red de juego donde, supuestamente,
ganaremos mucho dinero, lujosos coches, etc... En realidad, lo que está haciendo es descargar un
troyano para que nos pueda espiar.
El bancario es un tipo de troyano específico destinado a la comisión de fraudes. Consiste en un
código malicioso que espiará las credenciales de banca electrónica de entidades concretas cuando,
Página | 60
por ejemplo, el usuario pulsa las mismas en el teclado, o bien porque los rastrean en los archivos y
el correo electrónico que contenga el ordenador.
La extrapolación estadística de los datos del Informe anual 2009 que elabora INTECO, que
anteriormente ya ha sido mencionado, revela que un 7,8 % de los ordenadores españoles están
infectados con troyanos bancarios. En la mayoría de los casos, estos troyanos pueden haberse
colado al abrir un correo spam o al navegar por páginas web donde se pide la activación de
determinados programas. En dicho informe aparece un gráfico mostrando la proporción de troyanos
bancarios sobre el total de malware:
Según el Informe, las familias de troyanos bancarios más populares, que efectúan ataques dirigidos
contra entidades bancarias, son las siguientes: bancos, bank, banker, silentbanker, zbot, sinowal,
torpig, fraud, zeus, infostealer, ambler, stealer, yessim, yaludle, banload, bankpatch, multibanker,
nethell, chromeinject, goldun, banspy, bancodoor y bancodo. Ahora bien, conviene aclarar que no
todos los equipos que alojan troyanos bancarios acaban necesariamente en un fraude, puesto que
para que esto se produzca, se han de dar tres circunstancias, que son las siguientes:
•
Que el equipo del usuario ha de estar infectado por este tipo de troyanos.
•
Que el espécimen que infectó la máquina del usuario ha de atacar a la entidad bancaria con
la que opera el usuario. En otras palabras, se tiene que dar la casualidad de que el usuario
Página | 61
espiado por el troyano lo sea a la vez del mismo banco para el que el éste ha sido diseñado.
Cada Troyano ataca a una entidad bancaria específica, o a unas pocas con características de
seguridad similares, pero no a todas.
•
Que el usuario ha de iniciar la sesión en su espacio de banca electrónica y rellenar los datos
adicionales que se le soliciten. Es decir, debe darse la circunstancia de que el usuario utilice
su servicio de banca online desde el ordenador infectado.
Por otro lado, estos troyanos afectan al sistema operativo mayoritario Windows, pero no a los
minoritarios Mac OS ni Linux en sus versiones. A todo esto, conviene añadir que se han reportado
muy pocos casos de estafas mediante estos troyanos bancarios.
ƒ Subastas y ventas ficticias.
Los delincuentes ponen a la venta en páginas reales de subastas y de compra-venta de artículos,
productos inexistentes con precios altamente atractivos. De esta forma, cuando un usuario se
pone en contacto con ellos, le convence para salir del circuito de pago que usan esas web, con el
argumento de que así se evitan las comisiones y se reduce el precio. El pago se hace entonces a
través de una transferencia de dinero, a cambio de la que el comprador no recibirá nada.
A este respecto, hay que advertir que un gran porcentaje de las estafas realizadas en Internet que
provienen de las subastas online, no cuentan con una regulación específica ni en España ni en
ningún otro país -no tienen cabida en la legislación relativa al comercio electrónico-, por lo que,
aunque se denuncie la estafa, será difícil recuperar el dinero.
ƒ Scam.
Es scam es un tipo de spam que no busca la estafa mediante phishing, sino por vía de implicar al
usuario en un negocio, en teoría, altamente lucrativo, aunque a veces sea de apariencia ilegal.
Se consideran scam los mensajes electrónicos con propuestas para conseguir dinero fácil trabajando
desde casa, para aceptar ingresos de dinero que luego se deben transferir a otra cuenta,
notificaciones de haber ganado una lotería extranjera u ofertas para comprar un vehículo barato en
otro país, etc... Todos estos mensajes suelen ser publicidad engañosa, en el mejor de los casos, o una
Página | 62
estafa descarada para blanquear dinero ilícito, en el peor de ellos.
El mensaje más común es el de una oferta de trabajo fácil a cambio de sustanciosas comisiones. A
veces se trata simplemente de retener en las cuentas del banco durante un tiempo una determinada
cantidad de dinero recibido, para después reenviarlo a cambio de cobrar un porcentaje. Suele
tratarse de dinero procedente de negocios ilícitos que se blanquea en las cuentas del usuario, con los
problemas que esto implica. Bien porque la policía detecta el blanqueo e implica al usuario, bien
porque los delincuentes le proponen al usuario cobrar su porcentaje participando en negocios de
estructura piramidal que terminan también en estafa.
ƒ Spim.
Se trata de programas maliciosos que aprovechan posibles vulnerabilidades en los servicios de
mensajería instantánea del ordenador para aparecer suplantando a los contactos del usuario.
Así, mediante tretas, incitan al usuario para que abra determinados archivos que contienen troyanos
bancarios o, directamente, le seducen para que envíe sus claves bancarias. Por ejemplo, un caso
(real) de spim sería que nos aparezca un contacto -en realidad es una usurpación de identidad- del
sexo opuesto en el Messenger diciéndonos "adivina qué ropa interior llevo puesta hoy" e
incitándonos a que abramos un archivo que tiene apariencia de contener una foto. Cuando lo
abrimos se activa el troyano. Es un tipo de contagio muy puntual y minoritario que ha ido
desapareciendo con el perfeccionamiento de los servicios de mensajería instantánea.
Página | 63
11. Protocolo de actuación para comprar con total
seguridad en la Red.
Como conclusión a lo hasta ahora explicado, en este apartado se recomiendan una serie de medidas,
la mayoría de ellas de sentido común, con el fin de realizar una compra en Internet con las máximas
garantías de seguridad.
Prevención del fraude.
•
Nunca hay que abrir un correo electrónico no deseado ni de procedencia
desconocida. Lo mejor es no dejarse tentar por su contenido que siempre será engañoso, y
enviarlo directamente a la carpeta de spam del servicio de correo electrónico.
•
Los bancos nunca avisan a la persona que tiene cuentas bancarias con ellos (sus
clientes) por correo electrónico de posibles incidencias, cambios de diseño, nuevos
servicios, etc... Tampoco lo realizan los servicios de micropagos (tipo PayPal) u otros. Y
mucho menos piden al usuario que entre en la página de su servicio desde una
dirección URL que le ofrecen en el mensaje. En caso de dar un aviso de este tipo, se
requeriría que el usuario entre en su página personal desde la barra de direcciones del
navegador. Cualquier mensaje de este tipo es spam.
•
No hay que abrir jamás archivos que provengan de mensajes de spam, es muy
probable que contengan troyanos bancarios u otro tipo de malware.
•
Si se tiene cualquier duda o reticencia sobre la seguridad de una página a la hora
de pagar, lo mejor es comprobar, tal como se hizo en el apartado siete, que la página
cumple los requisitos de seguridad de las páginas seguras SSL. Es decir:
Página | 64
•
Dispone de una dirección URL que comienza con "https".
•
El skin que precede a la dirección URL ha cambiado de color al entrar en la
página de pagos.
•
Con las dos comprobaciones anteriores no basta, ya que los delincuentes
pueden diseñar páginas que simulen ser un protocolo SSL. Por eso, es
determinante comprobar que la página en cuestión muestra el candado en la
parte inferior derecha del navegador, o bien, en la superior, en función del
navegador utilizado.
•
Al hacer clic sobre el candado o sobre el skin que acompaña a la URL debe
aparecer una ventana con información sobre la empresa certificadora
(Verisign, COMODO, etc…), además de otra ventana, donde al pichar en "más
detalles", nos informe sobre el tipo de protocolo de cifrado simétrico utilizado.
También el navegador debe informar sobre si la página ha sido cifrada para evitar
escuchas.
•
Los navegadores modernos tienen filtros “anti phishing” que detectan cuándo
una página podría ser falsa. Se basan en unas listas blancas de páginas no falsas que les
sirven para saber si la página sospechosa está fuera de la normalidad. Hay que fiarse
siempre de ellos y no seguir con la compra si avisan de una posible página falsa.
Antes de comprar en Internet hay que tomar precauciones.
•
Se deben realizar compras en tiendas dentro del ámbito de la Unión Europea, Estados
Unidos y Canadá. La razón es que el ámbito legislativo es similar o está armonizado, lo
que ahorra muchos dolores de cabeza a la hora de reclamar.
•
Si se quiere comprar fuera de este entorno "seguro" deben asumirse riesgos y
ponderar si la cantidad que se paga merece el riesgo que se corre. Muchas tiendas de
China, Japón, Australia, Corea, etc... funcionan muy bien y cumplen su cometido con
seriedad, -a veces mejor que algunas tiendas de países como Rumanía o Bulgaria-, pero el
envío puede tardar o, incluso, perderse. Una buena alternativa cuando se compre en estas
tiendas es intentar pactar el pago contra reembolso.
Página | 65
•
En cualquier caso y ante cualquier entorno geográfico, si se tiene dudas sobre la
autenticidad o la veracidad de una página o un comercio online, el usuario debe fijarse en
los detalles antes enunciados sobre las páginas SSL. Esto dará una orientación sobre la
seguridad del comercio o tienda online.
•
Las grandes cadenas otorgan más seguridad que los pequeños comercios, ya que un
fraude les afectaría en su dimensión pública, y esto les supondría, consecuentemente,
graves repercusiones económicas. Esto no significa que las pequeñas tiendas vayan a
estafarnos, puesto que si cumplen con la mayoría de los requisitos especificados, no hay
por qué desconfiar de ellas.
•
Salvo que se opte por el pago contra reembolso, se debe pagar siempre por páginas
seguras SSL, aunque se sugieran descuentos por hacer transferencias, envíos de dinero o
similares. Tanto las tarjetas de crédito y débito como los servicios de micropagos y pagos
sin tarjeta, ofrecen garantías de devolución en caso de conflicto y permiten, además,
rastrear la transferencia.
•
También el usuario debe fijarse en si el comercio online cumpla o no con todos los
requisitos a los que le obliga la ley:
o Debe informar sobre la Ley de Protección de Datos Personales y sobre su política
de privacidad, y confirmar que se cumple con las medidas de seguridad adecuadas.
o Debe mostrar en un sitio visible y/o accesible el domicilio social de la empresa, si
tiene alguna delegación en España, así como un teléfono de contacto y/o una
dirección de correo web para contactar.
o Debe informar sobre el tipo de legislación a la que se acoge en caso de conflicto o
reclamaciones.
o Debe disponer de un servicio de atención al cliente, aunque sea únicamente una
dirección web y/o un número de teléfono.
o Debe especificar al usuario o comprador las condiciones contractuales de la compra
Página | 66
con antelación suficiente, y obligarle a aceptarlas, de manera explícita, para poder
finalizar el proceso de pago. Con esto se logra que, al menos, no le pasen
desapercibidas y tenga oportunidad de leérselas. Siempre es recomendable leérselas
para evitar que las condiciones contractuales incluyan cláusulas abusivas, en
perjuicio del comprador o usuario.
• Si no se cumple alguno de estos requisitos, es mejor sospechar de la página y no
continuar con la compra en dicho comercio o tienda virtual.
Protección del ordenador.
Para proteger nuestro ordenador conviene realizar lo siguiente:
•
Mantener siempre el sistema operativo del ordenador actualizado. Windows
actualiza periódicamente sus principales versiones para corregir vulnerabilidades. Por muy
pesado que sea el proceso de actualización, siempre es mejor que arriesgarse a sufrir un
disgusto.
•
Asegurarse de instalar un cortafuegos en el ordenador (en el caso de Windows),
que esté actualizado y activado constantemente.
•
Instalar el sistema antivirus (en el caso de Windows) y preocuparse para que éste
permanezca continuamente activado y actualizado. Si no se dispone de un antivirus hay
que instalarlo de inmediato.
•
Usar periódicamente programas limpiadores del ordenador. En la Red se pueden
encontrar numerosos, algunos son gratuitos y otros de pago.
•
Mantener el navegador o navegadores que se utilicen actualizados a la última
versión, no de pruebas que se haya lanzado a la Red.
Página | 67
12. Conclusiones.
Con este estudio sobre "La seguridad en los medios de pago en Internet" se ha buscado determinar
cuáles son los factores que incentivan la desconfianza del usuario a la hora de efectuar una compra
en un medio tan nuevo como es el digital, y ver si la percepción de peligro que experimentan
algunos consumidores es real o infundada. El objetivo de tal análisis ha sido promover remedios y
estrategias que no sólo apaciguaran las cuitas existentes, sino que también proporcionaran una
mayor calidad en las operaciones en materia de seguridad.
Como fin último, el estudio pretende que los consumidores mejoren su "experiencia de compra" en
el medio digital y aumenten así la frecuencia con que realizan este tipo de operaciones en el futuro.
La importancia de las mismas no es poca, ya que gran número de comercios que venden sus
productos o prestan sus servicios están migrando sus operaciones al ámbito de la Red donde, en
muchas ocasiones, presentan ofertas más agresivas que las de las tiendas físicas, y ante las cuales el
comprador o usuario puede beneficiarse en mayor medida.
Comprar en Internet no se diferencia tanto como aparenta de hacerlo en una tienda física, ni
técnicamente, ni legalmente, ni en el espíritu de la transacción. Sin embargo, hay numerosos
factores que sí resultan novedosos para el usuario común, acostumbrado como está a percibir el
producto que adquiere de una forma más directa. En el ámbito digital, es decir, en el comercio
electrónico, no se pueden aplicar los sentidos a la compra; el objeto no se ve, ni se huele, y tampoco
se puede tocar.
Además, a la hora de realizar la compra, el comprador no se lleva el producto inmediatamente, sino
que debe esperar a que se lo traigan a su hogar, con lo que a la hora de reclamar juega con la
desventaja de que el vendedor puede encontrarse a una notable distancia física. Por otro lado, la
transferencia se realiza con un proceso técnico, en apariencia novedoso, y sobre el que se han
escrito muchas páginas negativas en los medios de comunicación, arrojando la sombra de la
desconfianza.
Por lo tanto, aunque el proceso de compra digital sea equiparable al físico en todos los aspectos,
debe ofrecer unas garantías adicionales que aseguren una experiencia de usuario satisfactoria y no
dejen al comprador angustiado e inseguro sobre el destino de su dinero. Estas garantías deben
Página | 68
reflejarse tanto en el aspecto gráfico de las páginas web de los comercios, que deben cumplir con
una serie de requisitos legales para informar y amparar al consumidor, como en el rigor de los
sistemas de pago utilizados, que deben tener determinados niveles de seguridad.
Si se dan estas garantías y a la vez se ofrece al usuario un protocolo de compra que le asegure evitar
todo tipo de fraudes y estafas, la "experiencia de compra" aumentará sensiblemente en la mayoría
de los internautas, sobre todo en los de edad mediana y avanzada, que son los que, a pesar de tener
el mayor poder adquisitivo, están menos familiarizados con el mundo de las nuevas tecnologías.
El resultado: una evaluación dispar.
El resultado de la evaluación y del estudio de los comercios, así como de los sistemas de pago
existentes -tanto los que son mayoritarios como los que no lo son tanto-, resulta dispar. Mientras
que en el apartado técnico, referido a los protocolos de seguridad a la hora de realizar las
transferencias, el nivel es el estándar requerido y, por tanto, sobradamente eficaz; en cambio, en el
caso del cumplimiento gráfico de algunas páginas, según se desprende de la bibliografía estudiada,
es francamente mejorable en no pocos casos.
La percepción de los usuarios en cuanto a la usabilidad y la accesibilidad es muchas veces
deficiente, y si además, los sitios están respaldados por compañías importantes, el no poder ejecutar
el proceso de compra con comodidad y rapidez, induce a la confusión e incentiva una percepción
ficticia de que el método no es seguro, cuando en realidad sí que lo es.
Es, además, importante que los comercios implementen sistemas de atención al usuario visibles y
que funcionen con eficacia: son el equivalente al dependiente que nos atiende en una tienda física, y
del que esperamos el mejor trato y respuesta a nuestras dudas y requerimientos. Por otro lado, si las
garantías con las que se cuenta, según la debida protección legal, están expuestas de una manera
clara, la percepción de seguridad aumenta significativamente. No siempre ocurre así por desgracia.
No se puede obviar, sin embargo, que ésta es una batalla en la que la mayoría de empresas con
comercios en la Red se hallan inmersas. Se trata de desarrollos de mejora de procesos que, en
ocasiones, resultan caros, pero no por ello son menos imprescindibles. A medida que se expande el
comercio electrónico en España, tales mejoras se hacen más patentes, por lo que es de esperar que
en un futuro estas garantías se conviertan en un estándar como lo son ahora los protocolos de
Página | 69
seguridad de las transacciones.
El fraude como origen del miedo.
Pero la principal conclusión del estudio es que el miedo a la compra, por muy segura que sea ésta,
en la mayoría de los casos, se deriva de procesos paralelos que no tienen relación directa con la
experiencia de compra en los comercios más habituales. El gran enemigo de la seguridad en la
compra son las estrategias fraudulentas que producen perjuicio a algunos compradores. Aunque
están publicitados tal vez en exceso, no dejan de existir algunos casos en los que el comprador ha
tenido experiencias penosas y ha perdido su dinero sin recibir a cambio el producto que esperaba.
Sin embargo, tales experiencias no se dan en las compras normales sino que llegan por cauces
inusuales como son el correo basura o spam, principal punto de entrada de casi todas las tentativas
de fraude. Lo normal es que el spam no alcance la bandeja de correo entrante del internauta, pero en
ocasiones consigue saltar los filtros y acceder.
A partir de ese momento, depende de la cautela del usuario el evitar que tal mensaje acabe
constituyendo un fraude. Para los usuarios formados en las nuevas tecnologías y con conocimiento
del contexto no suele ser difícil identificar este tipo de peligros, pero, en otros casos, la
desinformación o la ignorancia respecto al riesgo potencial acaban en fraude. Cuando tales casos
ven la luz pública a través de los medios, se dispara la sensación de inseguridad de algunos
consumidores respecto al comercio electrónico, aunque no haya una relación causal directa.
Con el fin de romper la retroalimentación entre riesgo de fraude, publicidad negativa y miedo a la
compra, tanto en el presente estudio como mediante la guía que HISPACCOP también ha realizado,
se ha confeccionado un protocolo de compra segura que ayude a identificar el nivel de seguridad de
una compra y prevenir los fraudes potenciales. El objetivo es que el comprador tenga la certeza de
que su operación llegará a buen puerto y adquiera la necesaria confianza para persistir en la compra
online.
Página | 70
13. Bibliografía.
•
eCommerce and Online Retailing (http://www.retailresearch.org/onlineretailing.php)
•
Forrester Research: The State Of Retailing Online 2009
(http://www.slideshare.net/fred.zimny/forrester-the-state-of-retailing-online-presentationmonaco-oct-2009)
•
Comisión del Mercado de las Telecomunicaciones: Informes de Comercio Electrónico
(http://www.cmt.es/cmt_ptl_ext/SelectOption.do?nav=publi_info_comercio_elect)
•
Observatorio Nacional de las Telecomunicaciones y de la Sociedad de la Información
(ONTSI). Estudio sobre comercio electrónico B2C. Octubre 2010.
(http://www.ontsi.red.es/hogares-ciudadanos/articles/id/4877/estudio-b2c-2010.html)
•
Eroski Consumer. Estanis Martín de Nicolás, director general de PayPal España: "La
mayoría de las empresas españolas usan su sitio web sólo para mostrar información
corporativa" (http://www.consumer.es/web/es/tecnologia/internet/2010/10/07/196141.php)
•
Comunica-web: El comercio electrónico español facturó cerca de 6.500 millones de euros en
2009 (http://www.comunica-web.com/verarticulo-e-commerce_203.php)
•
Alzado.org Eduardo Manchón: El subdesarrollo del comercio electrónico en España
(http://www.alzado.org/articulo.php?id_art=821)
•
Estudio ‘Digital World, Digital Life’ de TNS: Los españoles desconfían de la privacidad en
Internet (http://www.tns-global.es/actualidad/noticias/los-espanoles-desconfian-de-laprivacidad-en-internet%28196%29/)
•
El comprador online: La desconfianza es el principal freno a comprar por Internet
(http://www.compradoronline.es/la-desconfianza-es-el-principal-freno-a-comprar-porinternet.html)
Página | 71
•
Eroski Consumer. Alberto Calvo, Director de Comunicación de Arsys: "El comercio
electrónico sigue pautas parecidas a las de cualquier negocio a pie de calle"
(http://www.consumer.es/web/es/tecnologia/internet/2009/07/09/186292.php)
•
Real Decreto 1163/2005, de 20 de febrero, por el que se regula el distintivo público de
confianza en los servicios de la sociedad de la información y de comercio electrónico, así
como los requisitos y el procedimiento de concesión.
•
Confianza On line (http://www.confianzaonline.es/)
•
Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio
electrónico.
•
Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto
refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes
complementarias.
•
D. J. Berstein (http://cr.yp.to/papers.html#cachetiming)
•
Bruce Schneider (http://www.schneier.com/blog/archives/2005/05/aes_timing_atta_1.html)
•
Scott Fluhrer, Itsik Mantin y Adi Shamir: Ataque al CR4 (http://www.jcea.es/artic/rc4.htm)
•
Muy
computer.
Proyecto
piloto
de
pagos
con
el
móvil
en
Sitges.
(http://www.muycomputer.com/Actualidad/Noticias/Pagos-via-movil-enEspana/_wE9ERk2XxDBhZHUFxjyv1XyRUX8WNKU2cS78mOCEaxN2xeIknGBvkr3pbhfvIdr)
•
PayPay: PayPal favorece el desarrollo del comercio electrónico móvil (https://www.paypalpress.es/content/detail.aspx?ReleaseID=377&NewsAreaId=2)
•
Payments news: Pan-european mobile payment initiative falls apart
Página | 72
(http://www.paymentsnews.com/2005/06/simpay_paneurop.html)
•
Wikipedia: Transacción electrónica segura
(http://es.wikipedia.org/wiki/Transacci%C3%B3n_electr%C3%B3nica_segura)
•
Wired: The Money Shot (http://www.wired.com/wired/archive/9.09/paypal.html)
•
Expansión: Amazon compra BuyVip por 70 millones de euros
(http://www.expansion.com/2010/10/01/empresas/digitech/1285924967.html)
•
INTECO: Estudio sobre el fraude a través de Internet (Informe anual 2009)
(http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Estudios_e_Informes_1
/estudio_fraude_2009)
Página | 73
Confederación Española
de Cooperativas
de Consumidores
y Usuarios
20 años
c/ Vallehermoso, 15. 1º. 28015 Madrid
T. 915 930 935
[email protected]
www.hispacoop.es
colabora:
GOBIERNO
DE ESPAÑA
MINISTERIO
DE SANIDAD,
POLÍTICA SOCIAL
E IGUALDAD
INC
INSTITUTO
NACIONAL
DEL CONSUMO
El presente proyecto ha sido subvencionado por el Ministerio de Sanidad, Política Social e Igualdad
Instituto Nacional del Consumo, siendo su contenido responsabilidad exclusiva de HISPACOOP