Fraudes en sistemas de pagos on line: tu información personal vale mucho más de lo que creés

Typography

Todo servicio gratuito se paga con tu información personal y eso vale mucho más de lo que creés. Quien sentencia esta frase a modo de introducción para hablar sobre vulnerabilidad en los sistemas de pago por Internet es Cristóbal del Pino, Senior Security Specialist de Mkit, una compañía global destacada en servicios de seguridad informática.

 

 Hacia él acudimos para conocer mejor ese mundo por el que cotidianamente transitamos dando nuestros "OK, entendido"; "Acepto"; "Confirmo"; "Leí todas las condiciones", confiando nuestra identidad, números de cuentas bancarias o datos personales, sin saber lo que ocurrirá con ellos al momento de clickear en esos botones de conformidad en letra chica que casi nadie lee. 

"Al utilizar nuevas aplicaciones es importante tener esto presente: los servicios  que utilicemos van a tener el manejo absoluto de los datos que les brindemos", apunta Del Pino.

Para entender mejor sobre el tema, acudimos a este especialista que supo ir aclarando una a una nuestras dudas.

¿A qué tipo de riesgos está expuesta una persona que coloca sus datos financieros y/o bancarios al hacer una compra virtual?

El principal riesgo es el modo con el que manejan y almacenan dicha información en este tipo de entidades o plataformas. Como usuarios, no estamos al tanto de lo que sucede detrás de la página Web, como por ejemplo, de qué manera guardan en la base de datos la información de la tarjeta de crédito o el dato bancario que se esté brindando. Por otro lado, si el sitio no mantiene su política de seguridad actualizada, puede suceder que mantenga vulnerabilidades que pongan en peligro la información del usuario.

El robo de datos financieros y/o bancarios existe en todos los ámbitos. Es un riesgo que está contemplado por las entidades financieras porque es un problema real. Puede ocurrir que te clonen una tarjeta de crédito o débito cuando vas a pagar a un lugar. O también, como hace un tiempo sucedió con la aplicación Todo Pago, que permitía crear una cuenta y asociar una tarjeta de débito sólo validando el DNI correspondiente al dueño de la tarjeta. El error es que a diferencia de una tarjeta de crédito, que cuando se da de alta te genera un recargo con un código de verificación, en la tarjeta de débito, no se hace este recargo inicial. De esta manera, el atacante podría realizar extracciones de la cuenta de la víctima.

En general, ¿las plataformas de ecommerce y/o sistema financieros son conscientes de los posibles fraudes de los cuales pueden ser víctimas sus clientes?

Sí, conscientes son porque es una amenaza constante. Sin embargo, los estafadores mejoran sus herramientas y ataques continuamente. Por esto mismo, si te clonan una tarjeta y lo reportás al banco, tienen sus métodos de investigación y te devuelven el dinero, porque es algo que lo tienen previsto dentro de los riesgos posibles. Lo mismo sucede en caso de que te roben los datos a través de un skimmer (un clonador de tarjeta, que suelen poner en los cajeros automáticos). Es un riesgo latente, que normalmente está cubierto. Sin embargo, está en juego el prestigio de cada una de esas empresas y su atención, por lo que lo recomendado y esperable es minimizar la cantidad de fraudes efectuados a sus clientes.

¿Qué consejos daría a un comercio o tienda online al momento de elegir qué medio de pago utilizar para sus compras?

No creo que haya gran diferencia entre medios de pagos, todo depende qué busque el comercio o la tienda virtual para sus clientes. Lo que sí aconsejaría es un manejo correcto de la información. Asesorarse mejor en torno a la seguridad de los datos y tener metodologías de corroboración de identidad. Al fin y al cabo, el robo de identidad es una de las estafas más viejas que existen, el famoso "cuento del tío", versión 3.0.

¿Qué tipo de seguridad debe tener una empresa  de sistemas de pago para no perder su credibilidad?

En mi opinión, tienen que tener políticas de seguridad fuertes y estar certificados con las normas ISO 27001 como corresponde. Al margen de eso, tienen que hacer un buen manejo de los datos del usuario como mencioné anteriormente. Es algo que no siempre se mantiene seguro, ya sea por falla del sistema o porque no lo verifican correctamente. A su vez, deben tener un equipo de seguridad o contratar empresas expertas en ello para mantener sus sistemas lo más actualizados posibles.

Por otra parte, deberían tener una buena asistencia al usuario cuando suceden estafas. No es seguridad de la información en sí, pero es seguridad hacia el cliente. Hay empresas, como  Mercado Pago, que tienen el servicio para petición de dinero, cuyo  objetivo es poder enviarse plata entre usuarios como si fuera una billetera electrónica. El problema con ésto es cuando un vendedor utiliza esta opción para agregar dinero sobre la transacción, ya que una vez transferido el monto, el usuario que lo recibe lo puede extraer en el momento. De esta manera, se deja una posibilidad de estafa, en la cual un vendedor hace peticiones de dinero a un comprador, y una vez recibido y extraído, el dinero desaparece.

¿Qué es lo más avanzado que podemos encontrar en materia de seguridad informática y mercados de pago?

En cuanto a mercados de pago tradicionales no veo un avance importante en materia de seguridad, pero con la introducción del reconocimiento facial en celulares y computadoras posiblemente veamos un cambio relevante hacia ese nuevo paradigma.

Otro avance importante es la introducción de Bitcoin. Muchos vendedores optan por la criptomoneda gracias al crecimiento que está teniendo, así también por el hecho de que no se cobran comisiones por su uso y el anonimato que ofrece. También por la descentralización que ésta ofrece respecto de las entidades financieras.

Existen espacios físicos donde las personas interesadas en este tipo de temas puedan educarse más y conocer mejor sobre seguridad informática.

Es bueno difundir eso ya que todo el mundo cree que los especialistas en seguridad informática somos entes solamente virtuales. O asocian la palabra hacker a una figura anónima destinada a hacer ciberataques, cuando en realidad estamos haciendo todo lo contrario.

Un importante punto de encuentro se realizará en Buenos Aires, el Andsec 2018. Será una excelente oportunidad para que se encuentren los interesados en este tipo de cuestiones. En este tipo de conferencias se encuentran perspectivas defensivas y ofensivas en torno al hacking, en las cuales se abordan estos temas desde perspectivas técnicas pero también filosóficas y teóricas. Son espacios abiertos al público realmente interesantes.