BlackFriday: a dónde van nuestros datos cuando compramos por internet

02.12.2019 11:18 |  A la hora de consumar una compra online existe un momento de duda que aparece segundos antes de concretar la transacción: la instancia donde se deben colocar nuestros datos personales y los de nuestra tarjeta. ¿Quién puede llegar a ver esto? ¿Y si alguien ajeno al vendedor tiene acceso a esta información? ¿Qué tan seguros están mis datos? La realidad es que con la tendencia cada vez más fuerte del e-commerce, tanto las empresas como sus clientes se vuelven protagonistas al momento de establecer las cuestiones de seguridad.

Ahora bien, ¿qué pasa con nuestros datos? Al realizar transacciones online, nuestros datos viajan desde el navegador a los servidores encargados del procesamiento de los pagos. Para poder operar con tarjeta de crédito o débito los sitios deben cumplir con ciertos requisitos de seguridad que procuran que la transacción se da en un entorno controlado y alineado a mejores prácticas, standars y certificados. En sentido contrario, podría ocurrir que un sitio apócrifo emule a un sitio web válido con el solo objetivo de obtener nuestros datos.

Si hablamos de sitios confiables y seguros, nadie puede visualizar nuestra información en ningún punto de una transacción con tarjeta. Los datos que enviamos sólo deberían usarse para procesar la solicitud. De esta manera no quedará información confidencial almacenada en ningún punto. Si por algún motivo fuese necesario que la información quedase almacenada en el servidor (por ejemplo, para garantizar pagos mensuales de un servicio), debiera ser de forma tal que los datos estén encriptados e inaccesibles para los ojos curiosos, inclusive de miembros de la organización que presta el servicio.

En la mayoría de los casos, el robo de datos en la compra online se da por descuidos del propio usuario, ya sea accediendo a links recibidos por mail para obtener una supuesta mejor oferta o navegando a través de una red WIFI abierta. Si bien los cibercriminales utilizan distintos modus operandi para llevar adelante sus campañas de engaño, las técnicas más habituales son el phishing y la captura de datos en medios inseguros.

El phishing es aquella estafa que consiste en enviar a las víctimas un mail haciéndose pasar por un sitio válido, en primera instancia confiable, con links que redirigen al usuario a una página en apariencia igual a la oficial del vendedor pero que fue creado por los delincuentes para concretar el delito. Al ingresar los datos, estos pueden ser capturados y posteriormente empleados por quien generó la campaña. Por su parte, la captura de datos se produce cuando utilizamos vínculos inseguros (como un WIFI abierto y gratuito) para realizar operaciones comerciales. Este access point podría estar recolectando la información que transferimos a través él, derivando hacia situaciones riesgosas.

De todas maneras, las transacciones online son cada vez más frecuentes y seguras gracias a que los mecanismos de ciberseguridad.

En cuanto a controles y formas de mitigar riesgo en las organizaciones y sus servicios, sin duda hay una multiplicidad de alternativas, dependiendo de la realidad de cada una. El desarrollo seguro, auditoria de código y el análisis frecuente del sitio publicado, sin dudas deberían ser algo común en cualquier empresa que ofrezca servicios online. Si además, a esto le sumamos un proceso de gestión de seguridad adecuado y medidas técnicas compensatorias (encripción de los datos, firewalls de la aplicación y autenticación de doble factor) para reducir aquellos riesgos detectados a un nivel aceptable, estaremos mejor preparados para enfrentar los desafíos actuales y futuros, siempre recordando que la seguridad no es una acción de única vez, sino un proceso de mejora continua.