6 nov. 2018

Se aproxima el Black Friday ¿cómo evitar ser estafados?

El próximo 23 de noviembre será aprovechado por los compradores para acceder a grandes descuentos en el mercado, pero también por los cibercriminales para estafar a la gente. Estas son algunas recomendaciones.
Los tiempos han cambiado, la música decembrina que comienza a sonar en las principales emisoras del país ha perdido su exclusividad al momento de anunciar la temporada navideña. Fechas especiales como el Black Friday, o ‘Viernes Negro’, también se caracterizan por eso, ya que los descuentos que ofrecen los comercios para ese día se traducen en oportunidades de ahorrar al comprar regalos. 
Manuel tenía claro lo anterior, ya que el año pasado había sido uno de los primeros en aprovechar el Black Friday para hacer sus compras. Según cifras entregadas por Mercado Libre, una de las principales plataformas de comercio electrónico en la región, en tan solo 60 segundos, pasada la media noche, ya su sistema había registrado alrededor de 100 transacciones. Aquel ‘Viernes Negro’ de 2017, en promedio, cada minuto se consolidaron 50 compras.
Este año Manuel sabía que volvería a aprovechar la temporada para disfrutar de las rebajas. Parecía contar con suerte, ya que un mensaje de WhatsApp, reenviado por uno de sus amigos, le permitía aprovechar la fecha desde antes. Una consola de videojuegos con el 80% de descuento terminó cautivando su atención. 
Afanado abrió el link incluido en el mensaje. Efectivamente, allí estaba su producto, exhibido en la página web de uno de los principales almacenes de cadena. Solo debía ingresar unos datos para adquirirlo, concretamente el número de su tarjeta de crédito, el código de seguridad de la misma y la fecha de vencimiento. “Datos de rutina que suelen pedir los comercios electrónicos”, pensó. Minutos después se enteró que había sido estafado. 
Técnicamente Manuel fue víctima de la principal ciberamenaza que actualmente hay en América Latina, el ‘Phishing’, un ataque que mezcla la ingeniería social con la suplantación de identidad para engañar a la gente y hacerles creer que ingresan a sitios web legítimos, cuando en realidad están accediendo a portales diseñados para robar sus datos.  
El secreto que esconden los cibercriminales detrás de esta amenaza es diseñar portales web que aparentan ser los de un centro comercial, almacén de cadena o entidad bancaria. Allí ellos tienen el control, la información sensible que cualquiera ingrese a los mismos es servida en ‘bandeja de plata’ para que estos atacantes la usen a su antojo.
Según cifras entregadas por la empresa de seguridad informática,Kaspersky Lab, esta fecha es apetecida por los cibercriminales. Muestra de ello, según sus reportes, es que mientras en América Latina, en un día promedio, se registran alrededor de 101.000 ataques tipo Phishing, un ‘Viernes Negro’, la cifra fácilmente puede superar los 384.000.


¿Cómo saber evitar ser víctima de esta amenaza?


En el marco del Foro de Seguridad Informática de ESET, adelantado esta semana en la ciudad de São Paulo , Brasil, el especialista en esta materia para la región, Miguel Mendoza, dio a El Espectador algunas recomendaciones para evitar ser estafados en esta época.
“Por lo general, son ofertas que suenan bastante tentadoras. Nosotros decimos que cuando algo suena demasiado bueno para ser cierto es probable que sea malicioso”, afirma el profesional. Para Mendoza, la principal recomendación es desconfiar de los descuentos exagerados; si ese es el caso lo prudente será cerciorarse de que la página web que contiene esa promoción en efecto es legítima. 
Una de las prácticas más utilizadas por las personas al momento de verificar la seguridad de un sitio web es revisar si tiene un candado, o si la URL del lugar comienza con “https://”. Si bien, este es un indicador que da buenas señales del sitio, se ha comprobado que existen páginas fraudulentas que contienen ese mecanismo de seguridad, por lo que la pericia de las personas deberá ir más allá y emplear pasos adicionales para descartar cualquier irregularidad. 
“Lo que se debe hacer es verificar que el certificado corresponda con la URL”, agrega Mendoza. Lo anterior se puede hacer de manera sencilla con unos cuantos clics; simplemente el usuario debe presionar el candado que acompaña la dirección del sitio y elegir la opción ‘Certificado’. Posteriormente le aparecerá el nombre de a quién le emitieron dicho aval y la autoridad que lo hizo. 
Por ejemplo, en el caso de El Espectador, el “www.elespectador.com” que aparece en la dirección de la página corresponde al nombre de a quién le otorgaron la certificación. En este caso la compañía que brindó la credencial fue ESET. 
En palabras simples, si la dirección afirma ser la de un almacén de cadena tipo Éxito, Falabella o Flamingo, entre otros, el certificado, en la sección “Otorgado a”, debe referenciar el nombre de la compañía. Si aparece una mención distinta, extraña para el comercio, es una clara señal de que esa página muy probablemente pertenece a un atacante. 
Otra de las recomendaciones brindadas por este profesional es verificar, casi que con lupa, las letras que componen la url de la página. Un ataque de ‘phishing’ registrado por ESET detectó una página cuya URL era “www.nike.com” pero la ‘i’ tenía un punto en la parte inferior. A esto se le conoce como homografía y es utilizado por los atacantes para refinar el proceso de hacer creer a sus víctimas que se encuentran en un sitio web legítimo.
Hasta el momento los principales motores de búsqueda, como Google, no han desarrollado tecnologías que permitan detectar estas amenazas de manera automática, por lo que la recomendación final que otorga Mendoza es adquirir un antimalware, programas que al instalarse en los computadores pueden identificar estas amenazas.
Lo anterior es de especial importancia en medio del contexto actual, ya que, según cifras entregadas por la Cámara Colombiana de Comercio Electrónico (CCCE), el e-comerce ha mantenido un sostenido crecimiento en los últimos años, en todo 2017 esta actividad económica movió 14,6 billones, por lo que su potencial es importante para el país, sin embargo, así como en el mundo físico, en el digital también se deben tomar precauciones. 
*Enviado especial al Foro de Seguridad Informática ESET 2018 En São Paulo , Brasil. 
Nota: La historia de Manuel fue utilizada para recrear uno de estos ataques.

SHARE THIS

0 comentarios:

Nota: solo los miembros de este blog pueden publicar comentarios.