Daute Delgado es miembro del equipo de seguridad del Centro de Computación Internacional de Naciones Unidas e instructor de IronHack. Advierte de que la campaña de compras que arranca con el Black Friday y continúa en Navidad es terreno propicio para los fraudes. Se pueden evitar y él da las claves.
Un estudio de TransUnion afirma que el 20% de las compras del Black Friday del año pasado fueron fraudulentas. ¿Se mantiene este porcentaje todo el año?
Realmente, los ciberdelincuentes están a la orden del día. Estos días es normal que tengamos más casos de estafas y de ‘hackeos’, pues existe una correlación: más gente en internet, más gente con inexperiencia y más intentos fraudulentos. El fraude encontrará una mayor tasa de éxito. Aun así, la ciberseguridad se practica en el día a día, incluso con pequeñas acciones: qué hacemos y qué dejamos de hacer en internet porque consideramos que no es seguro.
Imagino que en el Ciber Monday, con compras exclusivamente en internet, el fraude será mayor.
Las campañas fraudulentas suelen nacer a finales de octubre y suelen continuar hasta las Navidades. El pico se concentra en esos días clave. La actividad de comprar por internet por impulso o sin la investigación necesaria nos puede llevar al punto que no deseamos. Este año se espera que se mantenga la tendencia al alza en las compras en el Ciber Monday, por lo que probablemente el número de casos sea similar o mayor.
¿Cuál es el método más utilizado?
Se crea una web falsa atractiva e incluso difícil de diferenciar de la real, con direcciones similares y con falsas placas de pago seguro. Todo muy bonito. Suelen mandar enlaces cortos porque se esconden tras publicidad engañosa o fraudulenta, entramos en ellos y no nos cercioramos de que sea la web original. Aunque exista un certificado y nuestro navegador diga que la web es segura, hay que saber que los certificados falsos se pueden conseguir gratis. Las grandes empresas tienen que pagar miles de euros por un certificado con garantías. Si el navegador nos dice que no es segura, directamente debemos abandonar la página.
¿Hay algún ámbito comercial más proclive a los engaños?
El sector tecnológico es uno de los más utilizados, por la sencilla razón de que las consolas, ordenadores… suelen ser caros. Si vemos una oferta muy llamativa podríamos comprar por impulso. Pero no se puede descartar ningún sector. Los grupos criminales clonan cientos de páginas de marcas, empresas y webs conocidas.
Chollos imbatibles, ofertas que no podemos rechazar… Caemos en trampas obvias. ¿Son los ciberdelincuentes muy listos o los compradores muy descuidados?
La sociedad avanza en internet pero no tan rápido como ella. Y los grupos se mueven más rápido incluso. Cuando aprendemos algo, ya hay algo nuevo inventado que no conocemos. En España existe poca cultura de ciberseguridad, pero no podemos culpar a los ciudadanos. Es algo relativamente nuevo y desconocido para muchos. Cuando das un consejo, a los dos meses ya ha derivado en otro o existe otra tendencia.
Podría ser falta de formación, pero también influye que estamos hiperconectados
España tiene fama de ser el paraíso de los hackers. ¿Falta formación?
Es una respuesta complicada. España está en un puesto considerable de ciberataques porque tiene compañías y potenciales sectores de ataque muy avanzados. Hay empresas españolas que invierten miles de euros en ciberseguridad. Pero en casa estamos solos contra el mundo. Estamos cansados de pantallas, anuncios, estimulaciones y muchas veces es la razón por la que caemos en un descuido. Podría ser por formación, pero también por lo hiperconectados que nos encontramos a día de hoy.
Una estafa en una compra es desagradable, pero lo realmente peligroso es la apropiación de datos.
Hay un mantra que ya muchos tenemos interiorizado: si es gratis, tú eres el producto. Las grandes empresas manejan muchísimos datos sobre nosotros: dónde estamos, a qué hora, qué hacemos, con quién hablamos, a quién no queremos ver, e incluso nuestros datos de salud si tenemos un smartwatch o activamos estas opciones en nuestros smartphones. Esos datos son muy caros, pero seguro que sentimos más que accedan a nuestra tarjeta de crédito con 6.000 euros de límite.
Conocen dónde estamos, con quien hablamos y hasta nuestra salud con los smartwatch
¿Qué debemos hacer cuando percibimos que nos han engañado?
El orden correcto sería desactivar la tarjeta lo más rápido posible. Los bancos cuentan con equipos para ello las 24 horas del día. A continuación, dirigirse a la comisaría más cercana e interponer una denuncia para dejar constancia de que esa actividad no es legítima. A partir de ahí, ir a nuestro banco y reclamar el dinero con la denuncia en mano. No es el proceso más cómodo, pero de este modo nuestro dinero probablemente vuelva. Para evitar esto, podríamos usar una tarjeta de prepago o de un uso e introducir exactamente el importe a pagar, sin dejar ni un euro metido en esa tarjeta. En España tenemos el número de atención cibersegura al ciudadano, 017, donde nos informan del protocolo a seguir en cada caso.
¿Puede concretar unas pautas básicas para evitar engaños?
No usar redes públicas, evitar webs engañosas, solo fuentes oficiales o las compañías que queremos visitar. Revisar la barra de direcciones para asegurarnos de que estamos en el sitio correcto. No fiarnos de los precios excesivamente bajos y, sobre todo, tener cuidado con dónde introducimos nuestros datos. Tampoco debemos de fiarnos de los primeros resultados de los buscadores en estos días, pues es tan sencillo como pagar para aparecer en el top y tu página fraudulenta ya está bien posicionada. Debemos evitar los anuncios y dirigirnos a las páginas en concreto.
No sabemos quién está detrás de la wifi de un aeropuerto ni qué datos recoge
Además de estar alerta en los procesos de compra, también hay que cuidar la seguridad de los dispositivos y redes que usamos. ¿Cómo saber si una red wifi es segura?
Lo más seguro es no conectarnos a ninguna red que no sea de confianza, por duro que suene. Con esto me refiero a ningún restaurante, aeropuerto, tienda u otros establecimientos. Por la sencilla razón de que no sabemos cuál es la infraestructura que hay detrás de esa red, qué datos se recogen ni si alguien está vigilando nuestras conexiones. El mejor consejo es utilizar solo las redes de total confianza.
