Las campañas promocionales como el Black Friday, la Navidad o “las rebajas”, concentran un volumen excepcional de tráfico digital, derivado por ofertas masivas, compras aceleradas y gran volumen de actividades online, que convierten el entorno digital en el preferido para los consumidores… y para los ciberdelincuentes.
La buena noticia es que la tecnología es capaz de frenar gran parte de los fraudes digitales, aunque también plantea una pregunta clave: ¿de quién es la responsabilidad de proteger al comprador: de las plataformas o del propio consumidor? Desde All4Sec defienden que la responsabilidad es compartida.
Fraudes digitales
- Falsos SMS de empresas de mensajería (smishing)
Los atacantes a menudo recurren al envío de mensajes en los que afirman que un paquete no ha podido entregarse y solicitan el pago de una tasa mínima para reprogramarlo.
El SMS incluye un enlace a un sitio web fraudulento que replica la apariencia de la empresa de mensajería, pero con un falso dominio. Así, al introducir los datos bancarios, el usuario queda expuesto con cargos no autorizados en cuestión de apenas unos minutos.
Frente a este tipo de fraudes, las entidades financieras y comercios suelen aplicar sistemas avanzados de prevención basados en análisis de comportamientos y autenticación reforzada para bloquear ciertas operaciones.
Por parte del usuario, la medida más eficaz para bloquear este tipo de ataques es evitar acceder a enlaces incluidos en mensajes y acudir siempre a la web oficial del proveedor introduciendo manualmente la dirección de Internet, si es necesario.
- Chollos con plazos cortos de validez
Los enlaces con ofertas que prometen descuentos muy altos, durante un periodo de tiempo muy corto, pueden provocar decisiones impulsivas que lleven a sitios ilegales, a menudo clonados con dominios idénticos a los oficiales. La detección de este tipo de puntos de venta ilegal interesa tanto a los compradores como a los fabricantes o comercializadores de los productos originales.
Los fabricantes tienen herramientas para sondear Internet en busca de este tipo de vendedores y denunciarlos. Asimismo, la participación de otros actores como entidades de pago y los propios consumidores finales resulta indispensable. Los sistemas de seguridad de los bancos, por ejemplo, pueden detectar movimientos atípicos y activar controles adicionales para frenar el fraude de la transacción. Por su parte, el usuario debe poner en cuarentena aquellas oportunidades aparentemente irresistibles y realizar al menos algunas comprobaciones básicas como verificar la URL o incluso los procedimientos de entrega y medios de pago solicitados.
- Procesos ficticios de devoluciones (vishing)
A veces, el fraude surge tras una hipotética compra. No es extraño recibir llamadas telefónicas en las que se comunica al comprador que ha habido un error en su envío y que, cuando llegue el producto, ha de procederse a su devolución. Durante ese proceso, es posible que el delincuente solicite información sobre algún código de control que el comprador va a recibir de forma inmediata.
La recepción sincronizada con este aviso de códigos de control no solicitados, debe ser un motivo de alerta ya que, normalmente, no tienen nada que ver con procesos de devolución y sí con el cambio de contraseña de alguna cuenta del usuario. Por tanto, resulta indispensable no compartir ningún tipo de información clave y verificar con la fuente emisora el origen y razón del envío.
¿Quién es responsable si algo sale mal?
En este contexto, evitar que un fraude acabe por completarse es responsabilidad de todos: vendedores, compradores e intermediarios.
En la actualidad, la mayor parte de las plataformas online implementan sistemas de análisis de comportamiento que son capaces de identificar patrones habituales de sus usuarios y solicitan verificaciones extras cuando se detectan cambios significativos.
Por su parte, las entidades financieras implementan medidas adicionales en sus plataformas de pago aplicando mecanismos de autenticación tanto de usuario como de destino de la transacción, siguiendo normativas europeas como DORA o PSD2; y son capaces de identificar posibles fraudes cuando los dispositivos de los usuarios se encuentran potencialmente comprometidos, activando barreras preventivas cuando el comportamiento sale de los patrones cotidianos.
En cuanto a los compradores, su participación resulta indispensable para que el fraude tenga o no éxito. Evitar compartir códigos de seguridad, valorar y validar cuidadosamente las ofertas que encuentren o reciban, monitorizar movimientos bancarios o emplear las funciones de seguridad disponibles en sus dispositivos móviles, son algunas de las medidas más elementales. Sin embargo, nada de esto garantiza que un intento de fraude no tendrá éxito. La realidad, por evidente que parezca, es que solo podemos afirmar que, al menos, la materialización del fraude será más difícil.
